資訊及交易安全
資訊安全管理架構
台新金控訂定《資訊安全政策》與《網路安全管理要點》等資安規範作為資安防護持續有效的指導原則,採用「Plan-Do-Check-Act」(PDCA) 之循環運作模式,建立資訊安全管理體系,並持續投入資源維繫其有效運作與持續改進;明訂各項資訊資產之處理及保護規則,以提升資訊處理軟硬體的可靠度,及電腦設備之實體安全維護;同時建置資安監控中心(SOC),強化安全防護並取得全球情資,以應對資安威脅。針對委外資訊作業訂定《資訊委外作業管理要點》,規範第三方資訊服務業者應遵守之資訊安全要求及責任範圍,完善專案之安全管理。
本公司設立「資訊安全委員會」,由具資訊/ 資安專業之金控董事、金控總經理、金控資安長、銀行總經理及一級主管擔任委員,每季召開會議,討論資訊安全相關議題及改善措施;每年上半年向董事會成員報告整體資安治理情形與年度資安治理規劃,下半年報告資安計畫執行成效;另每半年綜整最新資安威脅與趨勢後,向董事會成員報告後取得其資安治理方針。2024 年度資訊安全委員會開會4 次,董事出席率為100%。
本公司設有資安長( CISO ),為資訊安全最高負責主管,督導全公司資訊安全作業執行以及資安風險管理機制之有效性。為健全組織營運持續管理之角度規劃與管理資訊安全風險,並提升整體資安維護能量,由各單位資訊安全窗口組成資訊安全小組,並定期召開資安小組會議,宣導資安議題及相關要求,由各資安小組成員為種子成員,利用各類集會場合,宣導資安意識。
資訊管理制度認證
外部驗證
台新目前主要子公司與營運業務皆已通過相關國際資安管理制度認證,包含銀行、證券及人壽子公司。台新銀行、台新證券及台新人壽分別自2010 年、2022 年及2016 年起至2024 年,每年皆已通過ISO 27001 資訊安全管理系統(Information security management system) 國際標準認證,打造安全可信賴的資訊環境,保障企業資產與利害關係人權益。
台新銀行持續取得ISO 22301 營運持續管理制度驗證,確保在發生重大災害或事故時,能快速恢復核心業務運作,減少對利害關係人、金融市場和社會的影響,實踐台新永續經營的精神。
台新銀行重視客戶個資安全,於2024 年取得ISO 27701 隱私資訊管理系統(Privacy Information Management) 驗證,以提升個人資料管理及保護能力並強化資安控管,持續提供更穩定、更安全、更優質的金融服務,同時確保其資料安全並維護客戶權益。
內部稽核
台新定期執行資訊科技固有風險評估、專案與一般事項之自評暨自行查核,並持續維護與監控各項資訊安全風險指標,確保能及時偵測與處理各項安全隱患,以強化資訊安全內部控制機制及提升資訊安全防護水準。除上述作為,台新金控暨子公司稽核單位亦進行內部查核,金控公司依據【台新金控內部稽核制度】每年至少辦理一次一般業務查核,每半年至少對金控公司及其子公司辦理一次專案查核,分別包含的資安項目如: 資安政策制定與執行、資通系統安全管理、伺服器及網路安全管理等,並作成內部稽核報告,交付審計委員會查閱。
資安事件應變演練
為建立完善資安防護鏈,台新透過各種管道蒐集全球資訊安全相關情資,如駭客手法與最新威脅攻擊趨勢等,同時審視內部之防護措施是否能即時偵測與因應,定期以駭客思維與技術進行攻防演練、社交工程演練等,發現潛藏風險並降低攻擊面及暴險,並依駭客之攻擊實例,將防禦能量持續擴展至整體金控,提升整體資安防護等級,並以國際資安框架(FFIEC /CAT)進行資安治理成熟度評估。台新銀行訂有《弱點掃描管理指導書》規範系統弱點管理程序,每年執行之演練包含分散式阻斷服務應變(Distributed Denial of Service)、紅隊攻防演練、資安災害演練等,2024 年演練如期完成,並且透過每季執行一次內部弱點掃描、每年執行一次外部滲透測試,持續檢視資系統弱點及資安防禦系統有效性。台新設有金控層級電腦安全事件應變小組( 以下簡稱金控CSIRT 小組),發揮金融資安整體聯防運作能力,以利即時掌握及支援本公司及所屬子公司資安事件之應變處置,降低事件損害。此外,台新已投保資訊安全保險,預防損失擴大並降低因系統發生資安事件所造成之損失,保障企業資產與權益。
強化交易安全機制
因應近年駭客大量運用網路詐騙( Internet Fraud )及偽冒行動應用程式( Fraud App ),進行水坑式攻擊( Watering Hole )或魚叉式網路釣魚攻擊( Spear Phishing ),及勒索病毒攻擊( Ransomware ),造成全球銀行客戶權益嚴重受損,台新銀行特別針對資訊系統、內外部網路環境與交易網站等已完成多項資安防護建置,並已於全行佈建資訊安全監控中心( Security Operation Center, SOC ),以優化台新銀行之資訊安全防護網,未來將持續強化資訊安全,保障客戶交易安全。
-
全球數位企金網
-
強化多項安全認證及傳輸加密機制,確保資料受到保護。
-
行動裝置
-
透過生物特徵/帳號密碼和一次性密碼驗證,提供快速便利且安全的近端感應式及遠端信用卡交易方式。
-
電子化通路
-
採取行動裝置綁定、即時消費簡訊、交易偵測系統等交易驗證機制。
-
交易網站及APP
-
導入反釣魚詐騙偵測服務,減少大量偽冒網站及APP,以保護消費者交易安全。
資安宣導及資安事件處理
1. 資安體系
-
資安一般教育訓練及宣導
- 全體銀行員工每年接受至少3小時「資訊安全認知宣導」課程及評量,內容包含法令規定、社交工程宣導、基本資安意識、客戶個資保護、資安事件案例剖析等,增進正確資安觀念。2024年涵蓋率及完訓率皆為100 %。
- 資訊安全部依資安時事,不定期發出資安宣導通告給全體銀行員工,持續強化資安意識。
-
資安專業教育訓練
- 金控及子公司( 例如銀行等 )資安專責單位人員,依據各自業務所需,已完成至少15小時以上外部資安專業教育訓練,以加強資安專業能力
- 每年邀各單位資安窗口參加委由外部資安專業人員教授之資安專業訓練課程,強化各單位資安知識
-
社交工程演練
- 全體銀行員工每年不定期執行4次全行社交工程演練如模擬釣魚郵件之測試,並針對測試結果加以分析,找出資安意識較不足之員工,加強宣導與教育訓練,以降低潛在弱點威脅之發生風險
2. 外部聯網供應商管理
台新金控外部連網供應商管理遵循《 資訊委外作業管理要點 》,台新銀行訂有《 資訊委外作業管理要點 》,規範資訊委外事項之作業標準程序與規定,涵蓋電腦軟硬體委外代管、資訊作業及資訊服務委外處理等項目。為確保委外作業的安全性及可行性,銀行專案負責人及資訊處相關人員共同進行完整而嚴謹的廠商評估,並就選定之廠商進行存取風險評估,視情況進行徵信或信用審查,以確認內部之作業品質及安全控制銀行及客戶權益。
3. 資安事件通報與處理
台新金控訂定《台新金控資訊安全事件管理要點》,建立資安事件通報與應變處理流程,由本公司及所屬子公司考量各自資訊安全事件影響之範圍及嚴重程度,進行事件分析與判斷, 如發生重大資安事件將通報範圍相關權責主管、金控資安長及金控資訊長辦公室,並依其資安事件處理程序進行事件控制、根因確認及矯正、恢復服務、檢討及改善,以降低危害及損失。台新遵守本國與各海外當地之法令要求,定期檢視並呈報當地主管機關,2024 年台新所屬子公司發生兩筆與系統相關資料洩漏有關之資安事件,經了解與追蹤,第一起事件係因網頁弱點遭利用而導致,透過資安單位與外部專業鑑識團隊協作,已確認本次事件未有造成營運中斷或是資料受到竄改,對於對外之流量分析,也無發現包含客戶個人資料之外洩,此事件後續已將相關弱點進行修補,並強化相關監控、警示機制,以避免類似事件之發生。
第二起事件為子公司催收信函寄送地址異常及信用卡帳單資料錯置所涉相關,已針對以上事件完善內部控制及作業制度,並建立事前、事中及事後檢核機制,以防範類似事件重演。
