圖說圖說圖說

企業永續(2020)

資訊安全防護

資訊安全管理架構

兆豐依據資訊安全政策成立集團「資訊及數位業務委員會」,由金控總經理擔任召集人,資訊部督導副總經理為副召集人,各子公司督導資訊及數位金融之副總經理擔任委員,每年至少召開一次會議,並得視業務需要隨時召開,討論及審視各子公司資訊安全、新型資訊科技、數位發展與資安事件等議題,並由資訊部負責執行或協調委員會之相關決議,重大議題或決議則呈報至董事會、風險管理委員會。

兆豐銀行依金管會「金融控股公司及銀行業內部控制及稽核制度實施辦法」之規定,於2018年6月設置資訊安全專責單位,掌理全行資訊安全政策之訂定與維護,及建立整體資訊安全防護機制及緊急應變計畫,並由資訊安全處單位主管擔任資安長(CISO),負責規劃、監控及執行資訊安全管理作業。同時為強化資訊暨網路安全管理,建立安全及可信賴之作業環境,確保資料、系統、設備及網路安全,保障客戶權益,設置跨部門之「資訊安全對策會報」,每年6月及12月定期召開會議,對業務或交易、資訊交互運用等資安議題進行討論,建立資訊安全防護機制及相關緊急應變計畫,以維護資訊安全。

資訊安全政策

兆豐金控訂有資訊安全政策,作為金控及子公司實施各項資安措施之依據,闡明員工在資訊安全工作規劃、實踐與持續改進過程中所應扮演之角色與權責。本政策每年至少評估一次,或於發生重大變動時重新評估,以符合相關法令、技術及組織、營運之最新發展現況。

資安與網路風險管理

對於科技發展所帶來的網路威脅與風險變化,兆豐持續檢視確認相關規範與措施之妥適性,建立完整的網路及電腦安全防護系統,重要網段施予防護與監控機制、定期進行系統弱點掃描及修補、執行滲透測試、社交工程演練與資通安全教育訓練,以確認資安與網路風險控管的適當性及有效性。銀行、證券、產險等子公司除了完備資安相關規範、強化系統防護外,並加入金融資安聯防體系,以提升組織資安應變及防護能量。

兆豐銀行為落實資安制度標準化、國際化,於2015年導入資訊安全管理制度,並取得ISO 27001資安管理系統驗證,並於2018年通過每三年之重審認證。另為檢驗銀行資安環境抵禦能力及風險狀況,每年定期委託專業資安廠商執行滲透測試及各項資安檢測,以因應網路威脅及新興科技應用所帶來的資訊風險,另已投保「電子商務及資訊安全保障責任保險」,確保銀行永續經營與信譽。

兆豐證券持續強化資訊安全,網頁交易系統每日進行比對偵測,防止公司網頁遭竄改,並於2019年12月增設網路應用程式防火牆(WAF),加強防範駭客事件。

兆豐產險因應網路保險服務所衍生的資安風險,導入資訊安全管理制度,全面提升資訊安全防護,於2017年5月取得「ISO 27001資訊安全管理系統」驗證,並於2019年5月通過SGS第三方稽核之ISO 27001年度驗證,加強資安系統,持續提升防護能力,且已投保資安險。

電子郵件社交工程演練與資訊安全教育訓練

兆豐持續透過每月寄送宣導郵件、訓練來加強同仁辨識來路不明之郵件,減少惡意連結或開啟附件造成的資安危害,並定期辦理資安及個資教育訓練。此外為驗證員工對於電子郵件社交工程攻擊之警覺性,每半年對員工辦理電子郵件社交工程測試。2019年下半年兆豐銀行進行員工電子郵件社交工程測試,共計有6,923個帳戶(含海外分行及信用卡處),通過測試比率98.51%。誘騙成功率較前一年度減少2.49個百分點,顯示同仁資安意識的明顯提升,對於未通過測試之員工,已對其進行強化社交工程意識教育訓練,以提升其資安意識。

為提升員工對資訊安全之認知,以建立整體資安意識及文化,兆豐銀行每年對員工進行3小時以上資訊安全相關認知教育訓練,2019年皆無發生資訊安全事件,或違反資安涉及客戶個資之情事或因違反資安給付罰鍰情事。

資訊安全措施

兆豐銀行為防範資訊及網路系統遭受攻擊,除建置有防火牆、防毒、入侵防禦及資安事件監控等系統外,為利資訊安全事件發生時,能迅速掌握情況、進行通報程序及緊急應變處置,期能在最短時間內回復資訊及網路系統功能,以確保各項業務之正常運作,訂定有「資訊安全事件管理及通報作業須知」。

兆豐銀行定期透過獨立第三方執行「電腦系統資訊安全評估作業」、「SWIFT CSCF自我認證評估」、「電子支付專案查核」,檢視整體電腦系統既有控制措施之完整性與妥適性,及時發現潛在之資安威脅與弱點,藉以實施技術面與管理面相關控制措施,改善並提升網路與資訊系統安全防護能力。

守護客戶個資

兆豐銀行重視每一位顧客的隱私權保護,內部個資保護相關規章皆依據最新國內外法規標準訂定,確保遵循標準與世界接軌,並由總經理領導,每年定期完成全行個資自我評估報告,以為改善基礎;每年亦委託外部會計師進行個資保護專案查核,將查核結果併入內部控制報告提報董事會,建置完整之個資保護法令遵循架構。依據所訂定之「資訊安全政策」、「資訊安全作業要點」建構具持續改善機制之資訊安全管理系統,於網路重要節點設置防火牆及偵測惡意病毒防禦設備,並定期演練,讓員工熟悉重要應變程序。另不定期進行弱點掃描、入侵滲透測試,以接近駭客手法之測試方式,多面向評估銀行資安整體防禦能力,以補足滲透測試之不足,並經由測試,提昇同仁面對新型態攻擊模式之應變處理能力,以降低資安事件對銀行的衝擊,而測試結果可供強化資安發展規劃之依據。