資通安全管理

在新興科技高速發展的時代,資訊安全已成為企業運營韌性不可或缺的一環;金融服務加速數位化成為了企業獲利的新引擎,但也帶來更多、更複雜的資訊安全威脅樣態,如何因應新興科技的應用強化資訊安全的防禦縱深架構,已成為公司治理的核心。

本公司資通安全管理架構

群益金鼎證券在資訊安全議題,依據管理和技術面陸續配置專責人力,自民國107年於資訊部下轄策略發展處,並由策略發展二科負責(資訊安全專責單位)統籌資訊安全及營運持續管理相關政策制定、執行、風險管理與遵循年度查核等作業,每年並向管理審查委員會彙報管理成效與未來方向。

近年因應主管機關強化風險預防三道防線之政策,已於民國113年將策略發展二科升格成立資訊安全處,並規劃於115年依主管機關強化三道防線要求,明確區分資訊安全治理與技術防護權責,並以資訊部及相關業務單位為第一道防線,負責依公司政策落實資安控制與執行;資訊安全職能為第二道防線,負責確保公司資安政策合規性,以落實風險管理和監督職能;稽核單位為第三道防線,負責落實獨立查核作業。

為落實公司整體資訊安全治理,並依資訊安全治理政策及各項資安推動業務之性質,本公司設置下列全公司層級之資訊安全相關組織。

外聘資訊安全顧問

為董事會幕僚單位,視資訊安全管理及技術需求聘用相關學者專家,並得視需要列席本公司會議,外聘資訊安全顧問,主要提供董事會資訊安全諮詢服務,得以提供本公司管理階層進行資訊安全政策方針及技術工具導入評估等諮詢服務。

管理審查委員會

由總經理擔任召集人,各部室主管擔任委員,負責督導、檢視及審查本公司資訊安全與營運持續相關作業之執行情形,確保治理機制有效運作。

資訊安全推行小組

由總經理擔任召集人,並由資安長擔任副召集人,亦設置資訊安全專責主管為執行秘書,小組成員由集團各單位主管擔任,董事會和稽核室主管得視需要列席會議,此小組若遇新增或調整重大資安防護作業且須跨部門合作時召開會議。

資訊安全事件應變小組

由總經理擔任召集人,小組成員為法令遵循部主管、企劃室主管、管理部總務室主管、管理部公關室、資訊部、經紀部、公司發言人組成,此小組視異常事件或災害事件狀況啟動小組會議以進行緊急通報及處理。

持續營運小組

由總經理擔任召集人,小組成員包括總公司及子公司之管理、資訊、各業務單位及人力資源等相關單位,事先規劃營運持續及應變作業流程,於事件發生時即時啟動相關作業,以確保關鍵營運流程持續運作,並將對公司營運之衝擊降至最低。
前述應變與復原相關組織包括危機處理小組、業務持續營運小組及資源提供小組,並透過定期演練與檢討機制,驗證備援人力及相關資源規劃之有效性。

資通安全政策

為保護資訊資產免於遭受內外蓄意或意外之破壞,並確保企業永續經營,本公司透過資訊安全政策之制定,宣示管理階層支持資訊安全之決心,及使相關人員有所依循,除降低任何資訊安全事件所可能帶來之衝擊外,亦持續運作及改善資訊安全體系同時保障公司與客戶之權益。

資通安全風險管理機制

已導入及建立資訊安全管理系統(ISMS),且採用「Plan-Do-Check-Act, PDCA」循環運作模式,建立資訊安全管理體系並維繫其有效運作與持續改進。

具體管理方案

除遵循政府相關法令規定外,亦依據本公司內部控制制度規範,結合資訊科技發展趨勢及資安新興風險,採取制度化與風險導向之管理作法。每年定期執行資訊安全風險評鑑、查核與改善作業,持續維持 ISO 27001 資訊安全管理系統驗證之有效性,並規劃及執行各項安全控管措施,以防範公司可能面臨之資安風險。

此外,本公司每年召開管理審查委員會,檢視資訊安全相關作業之執行情形,並由資安長定期向功能性委員會及董事會報告資訊安全推動進度與整體執行成果,以強化治理層之督導效能與決策支持。 具體執行措施如下:

  • 資安防護措施導入:

    導入程式碼安全檢測、網路應用程式防火牆、網頁程式防竄改及偽冒行動應用程式偵測等防護機制,降低系統與應用服務遭受攻擊之風險。

  • 資安通報、因應與預防機制:

    透過 F-ISAC 情資分享、資安事件通報及重大訊息發布機制,強化資安威脅預警、通報與應變能力。

  • 全天候資安監控作業:

    辦理 7×24 小時安全監控,包含異常 IP 與登入行為監控、端點防護(EDR)威脅告警,以及資安監控服務分析管理(SOC/SIEM),即時掌握資安異常事件。

  • 定期資安檢測與演練:

    定期辦理資通安全健診、滲透測試與弱點掃描、行動應用程式安全檢測及攻防演練,持續檢視與提升防護成效。

  • 資安治理成熟度檢視:

    每年透過資安治理成熟度評估及資安總體檢,全面審視公司在管理制度、技術防護及專業能力等面向之強項與待精進項目,作為後續改善與精進之依據。

資訊安全治理之資源投入與人員培育

本公司透過制度化管理、資源投入與人員培育等多元作法,持續強化全體同仁之資訊安全意識,使資訊安全不僅為專責單位之責任,更能落實於全體員工日常作業與管理流程中,作為公司推動資訊安全治理與風險管理之重要基礎。

關鍵作為

  • 在國際認證方面,本公司持續取得 ISO 27001:2022 資訊安全管理制度、ISO 22301:2019 營運持續管理制度以及 BS 10012:2017 個人資料管理制度等國際標準驗證,並確保相關證書持續有效。
    目前三項國際標準驗證證書之有效期間如下:
    1. ISO 27001:2022:2024 年 3 月 13 日至 2027 年 3 月 12 日
    2. ISO 22301:2019:2023 年 11 月 26 日至 2026 年 11 月 25 日
    3. BS 10012:2017:2024 年 10 月 08 日至 2027 年 10 月 07 日
  • 在資源配置方面,本公司於 115 年續保資料保護險,保障範圍涵蓋客戶資料外洩可能衍生之相關費用,藉此強化組織對資訊安全風險之認知,並降低資安事故對客戶權益及公司營運之衝擊。
  • 在資安預算投入方面,115 年資安預算較 114 年增加新臺幣 5仟萬元以上,重點投入於治理機制強化(包含 AI 、零信任及委外管理)、資安偵測與事件應變、基礎防護及營運韌性提升,展現公司對資訊安全之持續投入。
  • 人員培育與意識提升方面,統計至 114 年底 :
    1. 資安專責人員共 9 名(含專責主管 1 名、,除完成每年 15 小時專業教育訓練課程外,並已取得 22 張資訊安全國際證照,包含 2 張持續營運國際證照。
    2. 全體員工除完成每年 3 小時資安教育訓練外,亦已取得 51 張國際資安證照,包含 5 張持續營運國際證照。
    3. 本公司自 112 年起,亦每年規劃對董監事及高階主管辦理資訊安全教育訓練,另透過包班方式協助及鼓勵同仁取得資訊安全相關證照,以持續提升整體資訊安全管理能力。

持續不斷的強化資訊安全

隨著數位化進程的加速及資安威脅手法日益多元,本公司將會配合主管機關金融發展藍圖及永續發展計劃,持續推動零信任架構,並精進各項資訊安全防護措施,以確保客戶權益與資料安全,同時強化公司整體營運之穩定性與韌性。