本公司明訂資訊安全事件通報與處理程序,依其事件等級進行對應層級之通報與處理,同仁如發現疑似資安事件之情形應立刻通知資訊處,並由資訊處人員判定是否為資安事件,如確認為資安事件則評估事件等級及填寫資安事件通報單並向資安長報告,若同時屬重大偶發事件亦須依「重大偶發事件處理辦法」辦理相關作業。資安事件處理小組則立即啟動相應的處理程序,完成損害控制或復原作業並留存相關記錄,重大事件需要持續調查追蹤和提出改善報告,以確保本公司資訊資產的機密性、完整性及可用性。2024年,國票金控集團並未發生資訊外洩事件。
本公司訂有「資訊安全政策」,集團內各子公司均應遵循,另已訂定「電腦資訊安全維護管制及作業細則」、「電腦主機及伺服器安全管理作業細則」、「網路管理作業細則」、「電腦機房緊急應變細則」及「傳染疾病異地辦公作業實施細則」等規定,旨在促進集團內資訊業務與相關資訊資產之安全,強化資訊風險管理,防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之資安事件,以及確保資訊處理作業能安全有效地運作。
各子公司依循本公司資訊安全政策,訂定個別公司之資訊安全政策,並根據其業務屬性及實務作業,訂定適當且充足之資訊安全管控措施,確保資訊蒐集、處理、傳送、儲存及使用之安全,以保障員工、客戶與公司自身之權益。2024 年成立之國票金租賃為確保公司各項作業流程、操作使用皆能符合本集團資安水準,亦已訂立「電腦資訊安全維護管制及作業要點」、「電子郵件管理作業要點」等,確保公司不會受到內部機密、授信戶資料等資訊洩漏帶來的損害。
本公司由資訊處負責整體資訊安全規劃及管理。2023 年訂定「國票金控集團資安管理應變小組設置要點」,成立集團資安管理應變小組,由本公司總經理擔任該小組召集人暨金控資安長,成員則為各子公司資安長。該小組定期召開集團資安會議,建立集團資安事件應變標準,每月各子公司應呈報資訊安全管理情形,以便該小組即時掌控集團內資安狀況並分享資安訊息,以達到資安聯防之運作。集團資安管理應變小組應將全集團資安工作項目及管理情形,定期向董事會報告。
| 公司別 | 資安投入硬體費用 | 資安投入軟體費用 | 資安投入最大筆之採購 費用 |
資安教育訓練 總時數 | 資安教育訓練總人次 |
|---|---|---|---|---|---|
| 國票金控 | 6,686,883 | 4,089,500 | 3,760,000 | 234 | 56 |
| 國際票券 | 13,288,409 | 3,173,887 | 3,430,000 | 770 | 232 |
| 國票證券 | 29,159,945 | 7,753,617 | 2,980,000 | 3,607 | 3,548 |
| 國票創投 | - | 88,200 | 88,200 | 14 | 14 |
| 國票投顧 | 139,200 | 130,924 | 70,000 | 92 | 79 |
| 國票期貨 | 6,084,760 | 10,432,091 | 2,000,000 | 1,022 | 250 |
| 國票金租賃 | 8,644,000 | 3,066,000 | 5,680,000 | 2 | 1 |
| 國旺租賃 | 722,970 | 1,037,984 | 574,600 | 52 | 52 |
| 合計 | 64,726,167 | 29,772,203 | 24,262,800 | 5,793 | 4,232 |
註:人民幣換算匯率1RMB=4.42NTD
隨著資訊科技快速發展,國票金控集團為強化公司內部資訊安全及維護消費者之個人資料安全,目前內部運用機制及應變計畫如下:
- 資安監測機制、資安聯防運作
資訊人員根據防火牆紀錄分析監控及接收金融資安資訊分享與分析中心( F-ISAC ) 各類情資,資訊處更於2022 年導入CloudCoffer ( 未知威脅偵測平台) 防禦外部網站主機,從使用端至伺服端擴大由內而外的外部網站防護,全面提升資安威脅管理能力,並達成主管機關提倡行動方案2.0 的目的。 - 資安防護與演練作為
近年來,外部攻擊威脅不斷升級,包括分散式阻斷服務攻擊( DDoS )和資料隱碼攻擊( 如SQL injection )等多種形式。為因應挑戰,本公司積極部署多層次安全系統,包括防火牆、未知威脅偵測平台、防毒軟體、垃圾郵件過濾、個資稽核及加密系統等,以有效防禦潛在威脅。
本公司每年定期進行社交工程演練,以寄送多封擬真社交工程郵件進行測試,並針對未通過演練員工安排加強資安教育訓練,以提高同仁對於惡意電子郵件威脅之瞭解與警覺性。此外,本公司每年定期進行資訊安全檢視作業,包括合規性、資訊架構、網路活動、伺服器、個人電腦和物聯網設備等,藉以提升整體資訊系統安全性。
國票金控集團重視客戶之個人資料及隱私保護,主要依循「個人資料保護法」及「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」等主管機關法令,集團內部已訂定相關規範及作業細則,以利各公司進行個人資料蒐集、處理、利用及各項安全維護之管理機制或管理程序時,有所依循。
截至2024 年底,國票金控集團訂定與客戶個人資料保護相關之內部規章,合計有
32 則,重點規章如下:
- 個人資料檔案安全維護辦法
- 個人資料清查及風險評估作業作業細則
- 各類業務個資蒐集處理及利用期限及屆期之處理原則
- 履行個人資料保護法所定告知義務作業要點
- 電腦個資安全維護管制作業要點
- 電子郵件管理作業要點
- 個資檔案室及檔案櫃設置及使用要點
- 辦理當事人行使個資法第三條權利作業要點
- 檔案卷宗等紙本資料銷毀作業要點
- 個人資料事故應變通報及預防作業要點
- 個資保護管理規程
- 個人資料檔案安全維護計畫要點
- 個人資料安全管理作業細則
- 電子郵件防資料外洩作業基準
- 個人資料檔案安全維護計畫作業細則
- 電子郵件管理作業細則
- 應用系統個資使用管理作業要點
- 經紀業務個人資料調閱作業要點
- 電子商務部個人資料檔案安全管理標準作業流程
- 客戶資料調閱作業要點
國票金控每年定期檢視各單位持有之資料檔案是否善盡管理及保密責任,擬具 2023 年度個人資料檔案風險評估報告,以確認各單位是否落實管理;且為強化全體同仁個人資料保護意識,除於每年舉辦「個人資料保護法宣導」教育訓練課程外,並不定期向同仁及管理階層宣導個人資料保護法相關資訊。
國票金控集團及子公司之集團客戶資料保密承諾,係依據金融控股公司法、金融控股公司子公司間共同行銷管理辦法、個人資料保護法及主管機關相關法令規範辦理,對於客戶之個人資料檔案,採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,以善盡客戶資料保密之職責。國票金控內部與各子公司間進行之個資保護機制如下:
- 金控與各子公司間使用防火牆控管隔離,並使用IP 控管模式。
- 分層管理個人資料,並利用資訊安全技術防止未經授權者入侵。
- 建置符合個資內外部法規控管機制,確保個人資料保護完善。
- 定期採用外部個資掃描機制,盤點公司內部個人資料保存情況及呈核。
另子公司國際票券及樂天銀行依「金融控股公司及銀行業內部控制及稽核制度實施辦法」第 28 條第2 項及金管會函令規定,已委託資誠會計師事務所辦理 2023 年度個人資料保護專案查核,納入內部控制制度查核報告,會計師出具之報告書並已報送金管會備查在案。
國票金控及子公司於 2023 年與個資相關的資訊外洩事件占比為 0%,未有經證實與侵犯客戶隱私權或遺失客戶資料之事件發生,也未涉及個人可識別資訊外洩之情形,無客戶受影響。國票金控將持續強化相關個資保護機制,落實客戶隱私保護之責任。
- 國票金控與樂天銀行株式會社 (Rakuten Bank, Ltd.) 及日本樂天信用卡株式會社 (Rakuten Card Co., Ltd.) 共同發起設立之純網路銀行樂天國際銀行除了於 2021 年獲頒英國標準協會 (BSI) ISO 27001 資訊安全管理系統標準及 BS 10012 個人資料保護雙項國際標準驗證。
- 國票證券於 2022 年 12 月導入 ISO 27001 資訊安全管理系統標準並通過驗證,目前 ISO 27001 證書之有效期為 2022 年 12 月 27 日至 2025 年 10 月31 日。
- 國際票券於 2023 年12月啟動 ISO 27001 認證專案,預計於 2024 年 7 月進行SGS驗證。
