台新新光金控

永續治理
永續治理

資訊及交易安全

資訊安全管理架構

台新新光金控訂定《資訊安全政策》與《網路安全管理要點》等資安規範作為資安防護持續有效的指導原則,採用「Plan-Do-Check-Act」(PDCA) 之循環運作模式,建立資訊安全管理體系,並持續投入資源維繫其有效運作與持續改進;明訂各項資訊資產之處理及保護規則,以提升資訊處理軟硬體的可靠度,及電腦設備之實體安全維護;同時建置資安監控中心(SOC),強化安全防護並取得全球情資,以應對資安威脅。針對委外資訊作業訂定《資訊委外作業管理要點》,規範第三方資訊服務業者應遵守之資訊安全要求及責任範圍,完善專案之安全管理。


台新新光金控設立「資訊安全委員會」,由具資訊/ 資安專業之金控董事、金控總經理、金控資安長、金控一級主管及各子公司資安主管擔任委員,每季召開會議,討論資訊安全相關議題及改善措施;每年上半年向董事會成員報告整體資安治理情形與年度資安治理規劃,下半年報告資安計畫執行成效;另每季綜整最新資安威脅與趨勢後,向董事會成員報告後取得其資安治理方針。2025 年度資訊安全委員會開會4 次,董事出席率為100%。

本公司設有資安長( CISO ),為資訊安全最高負責主管,督導全公司資訊安全作業執行以及資安風險管理機制之有效性。為健全組織營運持續管理之角度規劃與管理資訊安全風險,並提升整體資安維護能量,由各子公司資安專責單位或資安專責人員做為推動成員,負責推動資訊安全委員會對於集團資訊安全制定之政策、目標及決議事項,並將推動結果回報委員會。金控資安部門定期通過推動成員,向全體員工宣導資安議題及相關要求,以建立全員資安意識。

資訊管理制度認證

外部驗證

台新新光目前主要子公司與營運業務皆已通過相關國際資安管理制度認證,包含銀行、證券及人壽子公司。台新銀行、新光銀行、台新證券及新光人壽皆已取得
ISO 27001 資訊安全管理系統 (Information Security Management Systems, ISMS) 國際標準證書,打造安全可信賴的資訊環境,保障企業資產與利害關係人權益。

台新銀行、台新證券及新光人壽持續取得 ISO 22301 營運持續管理系統 (Business
Continuity Management Systems, BCMS) 證書,確保在發生重大災害或事故時,能快速恢復核心業務運作,減少對利害關係人、金融市場和社會的影響,實踐永續
經營的精神。台新銀行持續取得 ISO 27701 隱私資訊管理系統 (Privacy Information Management Systems, PIMS) 證書,以提升個人資料管理及保護能力並強化資安控管,持續提供更穩定、更安全、更優質的金融服務,同時確保其資料安全並維護客戶權益。

內部稽核

台新定期執行資訊科技固有風險評估、專案與一般事項之自評暨自行查核,並持續維護與監控各項資訊安全風險指標,確保能及時偵測與處理各項安全隱患,以強化資訊安全內部控制機制及提升資訊安全防護水準。除上述作為,台新金控暨子公司稽核單位亦進行內部查核,金控公司依據【台新金控內部稽核制度】每年至少辦理一次一般業務查核,每半年至少對金控公司及其子公司辦理一次專案查核,分別包含的資安項目如: 資安政策制定與執行、資通系統安全管理、伺服器及網路安全管理等,並作成內部稽核報告,交付審計委員會查閱。

資安事件應變演練

為建立完善資安防護鏈,台新新光金控、台新銀行、新光銀行、台新證券及新光人
壽等,皆透過各種管道蒐集全球資訊安全相關情資,如駭客手法與最新威脅攻擊趨
勢等,同時審視內部之防護措施是否能即時偵測與因應,定期以駭客思維與技術進
行攻防演練、社交工程演練等安全測試,發現潛藏風險並降低攻擊面及暴險,並依
駭客之攻擊實例,將防禦能量持續擴展至整體金控,提升整體資安防護等級,並於
2025 年以國際資安框架 (FFIEC /CAT 或CRI/Profile) 進行資安治理成熟度評估。
台新銀行、新光銀行、台新證券及新光人壽訂有系統弱點掃描管理程序,每年執行
之資安演練包含分散式阻斷服務應變 (Distributed Denial of Service, DDoS)、紅隊攻
防演練、資安災害演練等,2025 年演練如期完成,並且透過每季執行一次內部弱
點掃描、每年執行一次外部滲透測試,持續檢視系統弱點及資安防禦系統有效性。

資訊安全營運持續計畫

為因應突發資安災難事件,台新新光建立營運持續計畫 (Business Continuity Plan,
BCP),以確保在可接受的最低營運水準下可持續提供關鍵服務項目予重要客戶。
計畫內容包含營運衝擊分析、最低資源需求、測試演練等,如辦公場所及設施、
電腦設備、軟體應用系統、通訊設備、電腦網路、重要文件、電子檔或紙本資料
等備援資源。
台新新光定期模擬各種主要資訊系統重大異常事件,透過不同情境進行應變計
劃的演練,驗證並確保各重要資訊系統可符合營運衝擊分析 (Business Impact
Analysis, BIA) 對於復原目標時間、可容忍的資料損失時間的要求,演練後檢討演
練測試結果及執行缺失改善事項,將檢討報告呈報高階管理階層,以確保系統備
援環境完整性,使系統與資料復原的程序更臻流暢,俾以提供更穩定可靠的金融
系統服務,保障客戶交易安全。
此外,台新新光每半年執行異地備援 (DR) 演練;每年執行人員逃生演練,檢視資
訊系統可用性及人力資源安全性。

交易安全機制 說明
  • 全球數位企金網
  • 強化多項安全認證及傳輸加密機制,確保資料受到保護。

  • 行動裝置
  • 透過生物特徵/帳號密碼和一次性密碼驗證,提供快速便利且安全的近端感應式及遠端信用卡交易方式。

  • 電子化通路
  • 採取行動裝置綁定、即時消費簡訊、交易偵測系統等交易驗證機制。

  • 交易網站及APP
  • 導入反釣魚詐騙偵測服務,減少大量偽冒網站及APP,以保護消費者交易安全。

資安宣導與訓練、資訊供應鏈管理及資安事件處理

1. 資安宣導及訓練

  • 資安一般教育訓練及宣導

    • 全體員工每年接受至少 3 小時「資訊安全認知宣導」課程及評量,內容包含法令規定、社交工程宣導、基本資安意識、客戶個資保護、資安事件案例剖析及新興科技資安風險等,增進正確資安觀念。2025 年涵蓋率及完訓率皆為 100%。
    • 資訊安全部依資安時事,不定期發出資安宣導通告給全體銀行員工,持續強化資安意識。
  • 資安專業教育訓練

    • 金控及子公司( 例如銀行、保險、證券等 )資安專責單位人員,依據各自業務所需,已完成至少15小時以上外部資安專業教育訓練,以加強資安專業能力
    • 每年邀各單位資安窗口參加委由外部資安專業人員教授之資安專業訓練課程,強化各單位資安知識
  • 社交工程演練

    • 全體員工每年不定期執行4次全行社交工程演練如模擬釣魚郵件之測試,並針對測試結果加以分析,找出資安意識較不足之員工,加強宣導與教育訓練,以降低潛在弱點威脅之發生風險

2. 資訊委外開發供應商管理

台新新光金控各子公司已訂定資訊委外開發管理相關規範,建立並遵循委託外部廠商開發及維護事項之作業標準程序與規定。 委外負責人於委外前進行資訊安全性、可行性評估等作業,與資訊相關人員共同進行完整而嚴謹的廠商評選,並就選定之廠商進行審查及評估。 委外期間,落實對供應商作業安全管理程序之監控,以確保專案執行品質及安全控管有效性,以符合公司及客戶權益。

3. 資安事件通報與處理

台新新光金控訂定《資訊安全事件管理要點》、《特定重大資訊安全事件通報及應變管理要點》,建立資安事件通報與應變處理流程,由本公司及所屬子公司考量各自資訊安全事件影響之範圍及嚴重程度,進行事件分析與判斷,如發生重大資安事件將通報範圍相關權責主管、金控資安單位及金控資訊單位,並依其資安事件處理程序進行事件控制、根因確認及矯正、恢復服務、檢討及改善,以降低危害及損失。台新新光遵守本國與各海外當地之法令要求,定期檢視並呈報當地主管機關,2025 年台新新光未發生資料洩漏有關之資安事件。另經了解與追蹤,2024 年子公司催收信函寄送地址異常及信用卡帳單資料錯置所涉相關,已針對以上事件完善內部控制及作業制度,並建立事前、事中及事後檢核機制,以防範類似事件重演,惟裁罰結果及罰款金額係於2025 年公布,故於本年度揭露。

意見回饋

意見回饋

懇請您協助撥冗填答問卷,讓台新金控得以做為推動企業社會責任的參考。

您正在離開本站!

您現在欲前往的網站並非搜尋結果台新新光金融控股股份有限公司有限公司(本公司)所有,而是各由其所屬之第三人所有、操縱及控制。 本站對第三人所有之網站亦無任何操縱或控制的權限。 本站上之網路指示連結功能僅為提供您的便利而設。本站及本公司對該第三人所有之網站上的內容品質、效力、正確性、完整性、即時性、適法性,及該網站上之任何言論或聯結不負任何責任。 本站及本公司亦無調查、監視第三人所有的網站上的內容之品質、效力、正確性、完整性、即時性、適法性的義務。本站上之網路指示連結功能無論於任何情形下,不能解釋成為對任何第三人網站的保證、背書、推薦或相類的聲明。 本站及本公司特於此明確宣示對於任何第三人所有網站之內容的品質、效力、正確性、完整性、即時性及適法性不負任何明示或默示的擔保責任。

即將前往的網址 : https://www.tsholdings.com.tw/news/news_04.jsp?newspage=01&readYear=2020&rowid=24441

公告

台新金控與新光金控合併案,業經金融監督管理委員會核准,並已訂定114年7月24日為合併基準日。合併後,台新金控為存續公司(合併後更名為「台新新光金控」)、新光金控為消滅公司。台新金控將以「客戶權益」為優先,兩家金控合併後,所有台新金控旗下子公司客戶的往來的權益及一切權利義務不變,不會因本合併案而受到任何影響,客戶無需做任何變更申請,敬請放心。若您有任何疑問,歡迎洽詢您的業務代表或撥打以下客服專線: 台新銀行: (02)2655-3355、台新證券: (02)4050-9799、台新人壽: (02)2171-1132、台新投信: (02)2501-3838,我們將竭誠為您服務。再度感謝您的長期支持,更期待您未來繼續惠予指導。

很抱歉,您目前使用的瀏覽器無法支援瀏覽。

建議您升級瀏覽器,以利瀏覽此網站的所有內容,謝謝您的配合。

© 台新新光金融控股股份有限公司版權所有

建議瀏覽器:IE10+, Chrome, Safari, Firefox