資安管理委員會
資訊安全風險管理架構
本公司於民國95年8月30日成立資訊安全管理委員會,委員由總經理及各處室主管組成,總經理擔任召集人,營運服務處主管擔任執行秘書,資訊安全管理委員會每二個月召開一次會議,以了解公司資訊安全狀況並評估討論相關資安議題,作為公司資安政策之調整依循,每半年向董事會報告公司核心營運系統韌性及資訊安全運作情形。
【資訊安全管理委員會規程】

為維持日常資安業務順利運作,本公司指派1名資安主管以及2名資安人員,負責規劃執行各項資訊安全業務以及資訊安全管理委員會決議之各項資安防護措施,資安主管亦定期向資安管理委員會呈報資安業務執行情形。
113年資訊安全管理委員會運作情形如下:
  • 本公司資訊安全管理委員會於95年8月30日成立,委員由總經理及各處室主管組成,總經理擔任主席,營運服務處主管擔任秘書,共計10人,另請稽核室主管列席。
  • 委員會每2個月開會一次,113年開會日期及主要議題如下:

    開會日期 主要議題 實際參加人數 出席率(%) 備註
    113/4/16
    1.112年度公司整體資安執行情形
    2.112年今檢查核缺失處理進度說明
    3.主機弱點掃描低、中、高風險漏洞補強措施
    9 90  
    113/6/18
    1.金管會資訊安全專案查核
    2.資訊辦法新增及修訂
    3.呈報113年度上半年評估核心營運系統及設備,確保營運持續、韌性之能力報告
    10 100  
    113/8/13
    1.7/4本公司資安事件說明
    2.金管會資訊安全專案查核
    3.資訊辦法新增及修訂
    9 90  
    113/10/15
    1. 資訊及資安辦法新增及修訂
    2. 證交所資安查核
    3. 期交所資安查核
    4. 113年個人資料檔案自我評估報告
    9 90  
    113/12/17
    1. 113年度社交工程演練
    2. 每年檢討修正資訊安全政策
    3. 金管會資通安全檢查
    4. 增修訂資訊相關辦法
    10 100  
    備註:113年2月份適逢農曆春節,未召開會議

  • 113年委員會議出席情形如下:
部門 姓名 實際出席次數 委託出席次數 實際出席率% 備註
總經理 林禎民 5 0 100 召集人
總經理室 江韶真 3 0 60  
風險管理室 陳淑娟 5 0 100  
法令遵循室 陳立雲 5 0 100  
營運服務處 姜峰國 5 0 100  
財務處 謝佩蓉 5 0 100  
經紀業務處 廖宏彬 5 0 100  
資本市場處 張煥昌 5 0 100  
投資交易處 林秀鴻 5 0 100  
數位金融處 朱良成 4 0 80  
資訊安全政策之訂定及揭露
公司資訊安全政策除了依主管機關之法規要求進行調整,每年也至少一次進行評估是否需要修正補強,同時於公司官網揭露資訊安全政策內容,本公司【資訊安全政策】已於112年12月21日修訂並公告。
資訊安全具體管理方案
1.實體防護
本公司重要資訊設備及系統皆與廠商簽訂維護保固合約,設備皆置於中華電信IDC機房及總公司自建機房,機房設有嚴密門禁保全及環控設施,確保設備不被外力破會或因電力、空調、消防設施異常影響使用。
2.應用系統及服務之防護
公司對外服務之系統皆架設防火牆並申請中華電信DDoS防護服務,避免遭受外部攻擊,對外服務前端架設應用程式防火牆(WAF)以及入侵防禦系統(IPS),加強駭客攻擊之防禦能力。
3.員工端點保護
導入端點防護系統保護所有端點設備,公司email系統設置郵件防護機制,避免遭受垃圾郵件、釣魚郵件、社交詐騙郵件的攻擊。
4.權限管理
所有系統皆依循電腦使用權限管理辦法設定權限,帳號及權限都需先經申請,經權責單位主管核可後才可使用,人員離職隨即註銷帳號,避免帳號遭到盜用。
5.弱點及漏洞修補
公司每年進行主機弱點掃描、災難備援演練,修補資安漏洞,強化主機安全,確保備援機制能夠迅速啟用及正常轉換。
6.資訊業務持續營運
每半年執行各項資訊業務持續營運計畫,確保發生異常時能迅速啟用備援機制,或將資料復原,維持業務正常運作。
7.資安宣導與教育訓練
公司每年進行員工資安教育訓練及社交工程演練,加強員工資安意識,避免因使用資訊設備或上網習慣不良,造成個人的電腦、上網設備受駭,進而破壞公司內網設備。
8.收集資安情資加強資安防護能量
因新興科技應用越來越廣泛、隨之而起的各種資安事件層出不窮,公司也加入金融資安資訊分享與分析中心(F-ISAC)以及台灣電腦網路危機處理際協調中心(TWCERT/CC),隨時接收業內或政府的資安情資,進行資安聯防,並交換防護心得,加強資安人員防護技能。