國票金控集團重視資訊安全機制,適時更新資訊安全管理制度,妥善保護相關紀錄,以確保資訊作業能安全有效地運作、降低資安風險。2022 年,國票金控集團並未發生資訊外洩事件。
國票金控集團為促進關係企業資訊業務與相關資訊資產之安全,發揚自律精神,防範資訊處理作業過程發生影響資訊及系統機密性、完整性及可用性之安全事件,以及確保資訊處理作業能安全有效地運作,係由資訊處負責整體資訊安全規劃及管理,集團旗下之國際票券、國票證券、國票投顧、國票期貨內部亦訂定「資訊安全政策」以茲遵循。
隨著資訊科技快速發展,國票金控集團為強化公司內部資訊安全及維護消費者之個人資料安全,目前內部運用機制及應變計畫如下:
- 資安監測機制、資安聯防運作
資訊人員根據防火牆紀錄分析監控及接收金融資安資訊分享與分析中心( F-ISAC ) 各類情資,資訊處更於2022 年導入CloudCoffer ( 未知威脅偵測平台) 防禦外部網站主機,從使用端至伺服端擴大由內而外的外部網站防護,全面提升資安威脅管理能力,並達成主管機關提倡行動方案2.0 的目的。
對於各種金融資安事件、惡意程式與勒索病毒的攻擊事件的發生,資訊處於建立伺服器及個人電腦全機備存機制,並於 2022 年訂定「國票金控集團資安管理應變小組設置要點」,由集團資安長擔任召集人,並於 4 月召開第一次集團資安會議。每月金控下子公司須填具資訊安全管理月報呈報金控,以便即時掌控子公司的資安狀況並分享資安訊息,達資安聯防之運作。 - 資安防護與演練作為
面對外部資訊安全攻擊,資訊處採取部屬防火牆、未知威脅偵測平台、防毒軟體、垃圾郵件過濾、稽核及加密等系統,並協同資安廠商進行社交工程演練、滲透測試演練及個人電腦個資檔案盤點作業,以增加系統防禦力、作業同仁的資安危機意識能力及個人機敏檔案防外洩能力。針對社交工程演練觸發惡意郵件的同仁安排社交工程防治宣導課程,以強化同仁防詐意識。
資訊處依內外法規辦理資訊系統檢視作業:檢視合規、資訊架構、網路活動、伺服器、個人電腦及 IoT 設備,定期實施資訊設備弱點掃描及修補,降低弱點所造成之風險,加強資訊系統的安全。
子公司國票證券配合 2022 年 12 月 23 日公告之「中華民國證券商業同業公會供應鏈風險管理自律規範」修改內部相關規章與資訊服務契約,加入評估資訊服務供應商作業能力、風險管控措施、保密契約、廠商遴選原則、遲延履約、智慧財產權、資訊安全聲明承諾書等控制要項,落實並加強與委外廠商的相關資訊安全規定。亦修訂公司內部作業流程,於修訂內部規章或與廠商簽訂之契約有與資通訊相關之採購、維護、服務等內容,須會同資訊部協助一同審閱,以強化及落實相關資訊安全控制。
| 公司別 | 資安投入硬體費用 | 資安投入軟體費用 | 資安投入最大筆之採購 費用 |
資安教育訓練 總時數 | 資安教育訓練總人次 |
|---|---|---|---|---|---|
| 金控 | - | 953,901 | 550,000 | 189 | 54 |
| 票券 | - | 2,202,333 | 2,202,333 | 802 | 254 |
| 證券 | 1,902,317 | 4,441,925 | 1,650,000 | 4,324 | 1,260 |
| 創投 | 62,690 | - | 45,150 | 24 | 12 |
| 投顧 | 60,500 | 110,638 | 60,924 | 98 | 86 |
| 期貨 | 133,000 | 262,820 | 205,000 | 229 | 211 |
| 合計 | 2,158,507 | 7,971,617 | 4,713,407 | 5,666 | 1,877 |
國票金控集團及子公司對於客戶之個人資料及隱私深具重視,內部已建立相關規範以利遵循。負責個人資料及隱私保護之單位依各子公司內部權責劃分不同,有分法令遵循處或總經理室等單位負責,集團至 2022 年底,與客戶個人資料保護相關之內部規章,合計共訂有 26 項辦法如下所示:
- 個人資料檔案安全維護辦法
- 個人資料清查及風險評估作業要點
- 各類業務個資蒐集處理及利用期限及屆期之處理原則
- 履行個人資料保護法所定告知義務作業要點
- 電腦個資安全維護管制作業要點
- 電子郵件管理作業要點
- 個資檔案室及檔案櫃設置及使用要點
- 辦理當事人行使個資法第三條權利作業要點
- 檔案卷宗等紙本資料銷毀作業要點
- 個人資料事故應變通報及預防作業要點
- 個資保護管理規程
- 個人資料檔案安全維護計畫要點
- 個人資料安全管理作業細則
- 電子郵件防資料外洩作業基準
國票金控每年定期檢視各單位持有之資料檔案是否善盡管理及保密責任,擬具 2022 年度個人資料檔案風險評估報告,以確認各單位是否落實管理;且為強化全體同仁個人資料保護意識,除於每年舉辦「個人資料保護法宣導」教育訓練課程外,並不定期向同仁及管理階層宣導個人資料保護法相關資訊。
國票金控集團及子公司之集團客戶資料保密承諾,係依據金融控股公司法、金融控股公司子公司間共同行銷管理辦法、個人資料保護法及主管機關相關法令規範辦理,對於客戶之個人資料檔案,採行適當之安全措施,防止個人資料被竊取、竄改、?損、滅失或洩漏,以善盡客戶資料保密之職責。國票金控內部與各子公司間進行之個資保護機制如下:
- 金控與各子公司間使用防火牆控管隔離,並使用IP 控管模式。
- 分層管理個人資料,並利用資訊安全技術防止未經授權者入侵。
- 建制符合個資內外部法規控管機制,確保個人資料保護完善。
- 定期採用外部個資掃描機制,盤點公司內部個人資料保存情況及呈核。
另子公司國際票券依「金融控股公司及銀行業內部控制及稽核制度實施辦法」第 28 條第2 項及金管會函令規定,已委託資誠會計師事務所辦理 2022 年度個人資料保護專案查核,納入內部控制制度查核報告,會計師出具之報告書並已報送金管會備查在案。
國票金控及子公司於 2022 年與個資相關的資訊外洩事件占比為 0%,未有經證實與侵犯客戶隱私權或遺失客戶資料之事件發生,也未涉及個人可識別資訊外洩之情形,無客戶受影響。國票金控將持續強化相關個資保護機制,落實客戶隱私保護之責任。
- 國票金控與樂天銀行株式?社 (Rakuten Bank, Ltd.) 及日本樂天信用卡株式?社 (Rakuten Card Co., Ltd.) 共同發起設立之純網路銀行樂天國際銀行除了於 2021 年獲頒英國標準協會 (BSI) ISO 27001 資訊安全管理系統標準及 BS 10012 個人資料保護雙項國際標準驗證。
- 國票證券於 2022 年 12 月導入 ISO 27001 資訊安全管理系統標準並通過驗證,目前 ISO 27001 證書之有效期為 2022 年 12 月 27 日至 2025 年 10 月31 日。
- 國際票券於 2023 年底啟動 ISO 27001 認證專案,預計於 2024 年 9 月進行驗證。
