資安管理委員會
資訊安全風險管理架構
本公司於民國95年8月30日成立資訊安全管理委員會,委員由總經理及各處室主管組成,總經理擔任召集人,營運服務處主管擔任秘書,資訊安全管理委員會每二個月召開一次會議,以了解公司資訊安全狀況並評估討論相關資安議題,作為公司資安政策之調整依循,每年至少一次會向董事會報告公司資訊安全運作情形。【資訊安全管理委員會規程】
為維持日常資安業務順利運作,本公司指派1名資安主管以及2名資安人員,負責規劃執行各項資訊安全業務以及資訊安全管理委員會決議之各項資安防護措施,資安主管亦定期向資安管理委員會呈報資安業務執行情形。
112年資訊安全管理委員會運作情形如下:
-
本公司資訊安全管理委員會於95年8月30日成立,委員由總經理及各處室主管組成,總經理擔任主席,營運服務處主管擔任秘書,共計10人,另請稽核室主管列席。
-
委員會每2個月開會一次,112年開會日期及主要議題如下:
|
開會日期 |
主要議題 |
實際參加人數 |
出席率(%) |
備註 |
|
112/2/14 |
1.公司資安政策告知所有合作資訊廠商
2.111公司整體資安執行情形
3.111年資安防禦設備建置進度報告
4.導入ISO27001之評估研究
|
10 |
100 |
|
|
112/4/18 |
1.資安人員取得資安證照
2.ChatGPT以及生成式AI的資安風險
3.弱點掃描
|
10 |
100 |
|
|
112/6/13 |
1.調整112年度資訊安全防護執行計畫
2.安永會計師半年報資訊查核
|
10 |
100 |
|
|
112/8/15 |
1. 接獲F-ISAC有同業發生撞庫攻擊,檢查並未發現遭受攻擊狀況
2. 期交所查核資安部分未發現重大異常及缺失
3. 資安教育訓練提前至9月執行
4. 社交工程演練提前至10月執行
|
10 |
100 |
|
|
112/10/17 |
1. 依照金管會發布「證券商作業委託他人處理應注意事項」,修訂現有辦法資訊設備委外廠商管理辦法以及資訊設備委外廠商遴選辦法
2. 112年度下半年弱點掃描
3. 112年度社交工程演練
|
10 |
100 |
|
|
112/12/12 |
1. 營運服務處修訂資訊安全政策
2. 營運服務處修訂電腦系統帳號及權限管理辦法
3. 呈報112年度下半年評估核心營運系統及設備,確保營運持續、韌性之能力報告
4. 呈報113年資安防護執行計畫
5. 為依法完成金管會「證券商作業委託他人處理應注意事項」之要求,預計113年3月底定稿,4月開始訂定本公司相關辦法,目前進行中之委外作業於113/8/31後,皆須符合所制定之辦法的規定。
|
8 |
80 |
|
-
112年委員會議出席情形如下:
|
部門 |
姓名 |
實際出席次數 |
委託出席次數 |
實際出席率% |
備註 |
|
總經理 |
林禎民 |
5 |
0 |
83 |
召集人 |
|
總經理室 |
江韶真 |
6 |
0 |
100 |
|
|
風險管理室 |
陳淑娟 |
6 |
0 |
100 |
|
|
法令遵循室 |
陳立雲 |
5 |
0 |
83 |
|
|
營運服務處 |
姜峰國 |
6 |
0 |
100 |
|
|
財務處 |
謝佩蓉 |
6 |
0 |
100 |
|
|
經紀業務處 |
廖宏彬 |
6 |
0 |
100 |
|
|
資本市場處 |
張煥昌 |
5 |
1 |
83 |
|
|
投資交易處 |
林秀鴻 |
6 |
0 |
100 |
|
|
數位金融處 |
朱良成 |
5 |
1 |
83 |
|
資訊安全政策之訂定及揭露
公司資訊安全政策除了依主管機關之法規要求進行調整,每年也至少一次進行評估是否需要修正補強,同時於公司官網揭露資訊安全政策內容,本公司【資訊安全政策】已於112年12月21日修訂並公告。
資訊安全具體管理方案
1.實體防護
本公司重要資訊設備及系統皆與廠商簽訂維護保固合約,設備皆置於中華電信IDC機房及總公司自建機房,機房設有嚴密門禁保全及環控設施,確保設備不被外力破會或因電力、空調、消防設施異常影響使用。
2.應用系統及服務之防護
公司對外服務之系統皆架設防火牆並申請中華電信DDoS防護服務,避免遭受外部攻擊,對外服務前端架設應用程式防火牆(WAF)以及入侵防禦系統(IPS),加強駭客攻擊之防禦能力。
3.員工端點保護
導入端點防護系統保護所有端點設備,公司email系統設置郵件防護機制,避免遭受垃圾郵件、釣魚郵件、社交詐騙郵件的攻擊。
4.權限管理
所有系統皆依循電腦使用權限管理辦法設定權限,帳號及權限都需先經申請,經權責單位主管核可後才可使用,人員離職隨即註銷帳號,避免帳號遭到盜用。
5.弱點及漏洞修補
公司每年進行主機弱點掃描、災難備援演練,修補資安漏洞,強化主機安全,確保備援機制能夠迅速啟用及正常轉換。
6.資訊業務持續營運
每半年執行各項資訊業務持續營運計畫,確保發生異常時能迅速啟用備援機制,或將資料復原,維持業務正常運作。
7.資安宣導與教育訓練
公司每年進行員工資安教育訓練及社交工程演練,加強員工資安意識,避免因使用資訊設備或上網習慣不良,造成個人的電腦、上網設備受駭,進而破壞公司內網設備。
8.收集資安情資加強資安防護能量
因新興科技應用越來越廣泛、隨之而起的各種資安事件層出不窮,公司也加入金融資安資訊分享與分析中心(F-ISAC)以及台灣電腦網路危機處理際協調中心(TWCERT/CC),隨時接收業內或政府的資安情資,進行資安聯防,並交換防護心得,加強資安人員防護技能。
