資訊安全管理
在當今數位化高速發展的時代,資訊安全已成為企業運營中的核心議題之一。隨著科技的迅速發展和互聯網的普及,金融服務業的數位轉型不僅提供了便利性,同時面臨的資訊安全威脅也日益多樣化和複雜化。
本公司資訊安全的管理政策
群益金鼎證券在資訊安全管理的技術層面涵蓋了多種工具和作業,為保障資訊資產的機密性、完整性和可用性,本公司於民國107年設立資訊部下轄策略發展處,由策略發展二科負責(資訊安全專責單位)統籌資訊安全及營運持續管理相關政策制定、執行、風險管理與遵循年度查核等作業,並於每年向管理審查委員會彙報管理成效與未來方向等,並於民國113年成立資訊安全處,提升及強化資訊安全的管理及執行。
資通安全管理策略與架構為執行資安策略,確保內部遵循資安相關準則、程序與法規,亦依屬性不同,分別成立以下資訊安全單位。
資安諮詢小組
為董事會幕僚單位,由總經理擔任召集人,資訊部主管、資訊安全長、法令遵循主管擔任委員會成員,並設置資訊安全專責主管為執行秘書,稽核室主管、管理部主管、企劃室主管及相關學者專家得視需要列席會議,此小組視需要召開會議,主要提供董事會相關資訊,得以檢視及決議資訊安全與資訊保護方針及政策,落實資訊安全管理措施的有效性。
資安推行小組
亦由總經理擔任召集人,並由資安長擔任副召集人,亦設置資訊安全專責主管為執行秘書,小組成員由集團各單位主管擔任,董事會和稽核室主管得視需要列席會議,此小組若遇新增或調整重大資安防護作業且須跨部門合作時召開會議。
資安事件應變小組、持續營運小組
亦由總經理擔任召集人,小組成員為法令遵循部主管、企劃室主管、管理部總務室主管、管理部公關室、資訊部、經紀部、公司發言人組成,此會議視異常事件或災害事件狀況啟動小組會議以進行緊急通報及處理。
資通安全政策
資訊安全管理策略與架構
為保護資訊資產免於遭受內外蓄意或意外之破壞,並確保企業永續經營,本公司透過資訊安全政策之制定,宣示管理階層支持資訊安全之決心,及使相關人員有所依循,除降低任何資訊安全事件所可能帶來之衝擊外,亦持續運作及改善資訊安全體系同時保障公司與客戶之權益。
企業資訊安全風險管理與持續改善架構
已導入及建立資訊安全管理系統(ISMS),且採用「Plan-Do-Check-Act, PDCA」循環運作模式,建立資訊安全管理體系並維繫其有效運作與持續改進。
具體管理方案
除符合政府法令外,亦依據本公司內部控制規範,以及技術與資訊科技新知等,每年定期執行資安風險評鑑、查核與改善等作業,持續維持ISO 27001驗證之有效性,並規劃及執行下列安全措施項目,以防範公司可能面臨的風險,並於每年由資安長向董事會進行年度資安整體執行情形報告:
- 導入資安防護措施,如程式碼安全檢測、網路應用程式防火牆、網頁程式防竄改及偽冒行動應用程式偵測等。
- 資安通報進行因應與預防,如F-ISAC情資分享、資安事件通報及重大訊息發布等。
- 進行7*24安全監控,如異常IP及登入行為監控、EDR端點威脅告警及資安監控服務分析管理(SOC/SIEM)等。
- 定期辦理資通安全健診、滲透測試及弱點掃描、APP檢測、攻防演練等。
- 每年透過資安治理成熟度評估及資安總體檢,審視公司管理制度與專業能力等面向的強項與弱項。
- 資訊安全預算
為積極推動資安執行,本公司在資安投入的資源逐年增長,已達22%以上,除了資安政策、資源分配及整體防護策略之規劃,提升資安經費,也提供同仁教育訓練的全額補助,鼓勵全體同仁取得資訊安全相關證照。
塑造企業的安全意識
當今企業越來越重視永續發展,而員工教育訓練在這一過程中也扮演著至關重要的角色。本公司通過員工資安教育訓練,確保員工了解並提升警覺性,降低因安全事件而引起的損失。
關鍵成效
- 本公司全體員工的資訊安全及社交工程教育訓練完訓率為100%。
- 每年皆會進行董監事資訊安全教育訓練。
- 自2024年本公司全體員工共已取得17張國際資安證照。為提升全體員工資安意識及技能,鼓勵同仁取得資訊安全相關證照。
持續不斷的強化資訊安全
隨著數位化進程的加速及駭客手法日新月異,本公司將會配合主管機關金融行動方案及永續發展計劃,積極推動零信任架構,及持續精進資訊安全的防護措施,以保障客戶權益及資料安全。