P25
國泰金控2022 重大議題 GRI 特定主題 衝擊說明 管理方針
隱私與資訊安全 GRI 418:客戶隱私 運用大數據管理,提供客戶需求產品之同時,持續強化客戶關係及隱私管理,遵循資安聯防機制,謹慎維護關鍵資訊系統,並加強資訊安全抵禦能力,對經濟及人權皆有正面影響 CH6.5 服務品質與客戶權益
P112
重大議題─資訊安全
短期目標2023 ● 導入資安管理機制:
P130
前兩大新興風險之營運衝擊評估及其因應措施
風險類別:科技
風險項目/ 敘述 資訊安全風險
人工智慧(AI)、雲端計算、物聯網等新興科技推陳出新,駭客與網路犯罪若運用新技術進行攻擊,可能衝擊資訊安全根據民國112 年世界經濟論壇全球風險報告,網路犯罪與威脅首次列為未來10 年影響全球十大的風險之一,顯示相關風險上升
營運衝擊 國泰在台灣保險客戶數超過800 萬人、網路銀行APP 用戶超過400 萬人、證券電子下單戶
超過140 萬人,若發生資訊安全事件,對本集團衝擊如下:
短期影響:
● 網路攻擊造成營運或服務中斷:網路攻擊可能造成本公司網路相關系統癱瘓,導致業務無法正常運作,影響本公司營運與獲利
● 駭客與網路犯罪造成財務損失:駭客竊取客戶存款、竊取本公司機敏機密資訊,勒索本公司支付贖金等,可能造成本公司嚴重財務損失
中長期影響:
● 個資外洩造成公司聲譽受損:內部資訊系統遭入侵致客戶個資外洩,造成客戶權益受損,若累積發生次數多或是影響層面大,造成客戶不信任,對於本公司聲譽造成負面影響,另外,可能面臨訴訟、罰款等風險
因應措施 ● 定期檢視與執行集團資安藍圖各項措施,包含資安治理、7x24 資安事件監控、邊界防護、內部網路及主機系統滲透測試與弱點掃描等機制,提升對資安威脅的防護能力,以保障客戶服務之安全
● 持續透過資安教育訓練與宣導,強化員工與客戶之資安意識
● 導入ISO 27001 國際資安管理框架,遵循其相關規範,與國
際接軌
● 國泰人壽、國泰世華銀行、國泰產險、國泰證券、國泰期貨及國泰投信、國泰投顧皆已通過ISO 27001 之認證,且持續維持認證之有效性
● 國泰金控導入ISO 27001 國際資安管理框架中,預計於2023 年取得外部第三方認證
● 蒐集與分析外部資安威脅情資與風險,並進行漏洞修補,提升對資安威脅的防護能力;並與金管會F-ISAC、法務部調查局、國際資安情資單位(RSA) 合作,及時掌握資安風險
● 定期執行實兵演練,強化資安事件緊急應變能力
P138
推廣多元法令遵循教育課程,積極培育科技法遵/ 反洗錢人才
為強化員工之法遵意識,培育科技法遵/反洗錢人才,國泰金控提供多元且化且符合科技發展趨勢之法遵/ 反洗錢教育訓練,主題涵蓋法遵基礎認識、疫情下新興金融犯罪趨勢、ESG 新價值對董事責任及公司治理影響、利關人交易案例解析、元宇宙產業風險、金融資安趨勢、內線交易/反賄賂/反貪腐法令及案例研討等,並持續推進培育法遵/ 反洗錢科技人才,以專案應用形式,結合數位科技與實務,充實「數位X 法遵/反洗錢」跨領域人才儲備。
P139
6.4 資訊安全
6.4.1 資安治理
國泰配合金管會推動之「金融資安行動方案」,持續強化資安防護能力,達成安全、便利、營運不中斷的金融服務。國泰金控與主要子公司皆依法規要求設立資安長或成立資安專責單位,負責規劃、監控及執行資訊安全管理作業,並每年於董事會提報前一年度資安執行情形。而國泰金控設有跨公司之金控資訊安全委員會,掌理集團資訊安全政策之擬議及管理制度之推展,另為有效進行橫向溝通聯繫,並達成金控及子公司整體資訊安全管理的一致性,設有跨公司之金控資訊安全聯繫會,全力投入資安控管及提升品質。
強化資安韌性(Resilience)
措施 對應行動說明
訂定資訊安全政策 ● 國泰金控暨各子公司皆訂定「資訊安全政策」,核決層級為董事會,每年定期檢視以確保資訊資產的機密性、完整性、可用性及適法性
建立7X24 資安監控中心(Security Operation Center,SOC)服務機制 ● 為即時掌握資安風險並能提早進行因應,國泰金控於2020 年建立7X24 資安監控中心服務機制,多維度關聯分析資通安全設備、網路設備、作業系統等日誌,即時預警及判斷資安事件、異常連線等行為,並建立處理追蹤機制,落實資安風險管控措施
資安事件應變 ● 已整合金控集團資源建立跨公司之「資安緊急應變小組」參與應變協助,並透過事件通報以及緊急應變程序,即時掌控本公司及子公司之資安事
件狀況
● 擬定各式情境腳本持續辦理資安事件應變演練,以利同仁熟悉應變流程,若有資安事件發生時能快速應變
● 藉由外部專業資安顧問及應變團隊,以其業界豐富之資安事件應變經驗,提供適切且專業的建議與緊急應變支援
導入ISO 27001:2013
資訊安全管理系統 ● 至2022 年底止,全集團資訊系統導入ISO 27001:2013 之涵蓋率達99.5%,藉此完善資安治理架構與資安管理體系,並強化資安事件的預警、
通報與應變流程,提供客戶安全無虞的金融服務
● 國泰金控於2022 年導入ISO 27001:2013 框架,預計於2023 年完成驗證
● 國泰金控旗下重要子公司皆已通過ISO 27001: 2013 國際標準認證,並持續維持證照有效性
P140
6.4.2 資安管理機制與教育訓練
面對數位轉型的浪潮下,培養同仁的資安意識與文化,確實落實資安控管。
採安全設計(Security by Design)策略 ● 站在業務角度思考,於服務或商業模式設計初期,納入資訊安全為考量因子
● 每個專案萌芽初期,資安人員即參與其中, 並以業務端立場進行安全設計,順使企劃人員理解資安關心的議題
資訊安全教育訓練 ● 每年全體員工「資訊安全教育訓練」達3 小時,各公司2022 年完訓率皆達100%
● 資訊安全專責單位人員每年至少接受15 小時以上專業資訊安全訓練
6.4.3 資安機制驗證與侵害管理
國泰金控暨子公司於發現網路攻擊及惡意程式入侵等重大資安事件時,將啟動「資安事件通報暨緊急應變機制」,各公司之緊急資安事件應變最高層級皆為總經理,並依循「國泰金控暨子公司重大資訊安全事件通報暨緊急應變管理要點」辦理,並統一由國泰金控彙整各公司重大資安事件呈報資安委員會。國泰金控2022 年並未發生重大資安事件,而資訊外洩案件請詳見6.5.4 個資保護。
措施 對應行動說明
駭客入侵演練 ● 國泰人壽、國泰世華銀行、國泰產險及國泰證券每年皆委請專業顧問執行白帽駭客入侵演練,而於2022 年起,國泰投信亦參與入侵演練
● 以各式駭客手法模擬可能遭遇駭客攻擊的漏洞與情境,包含連線狀態管理、存取權限測試、權限提升與跳脫等,並針對演練結果中所發現的的漏洞與風險項目進行改善
電腦系統資訊
安全評估 ● 每年國泰金控暨各子公司委請外部專業廠商執行電腦系統資訊安全評估,包含資訊架構檢視、網路活動檢測、弱點掃描與滲透測試、安全設定檢視、合規檢視等,據此追蹤系統安全狀況並實行改善措施,並要求針對其中所發現重大風險項目完成100% 改善
建立威脅情資
分享與分析機制 ● 已設置有「集團資訊與威脅情資共享機制」,針對重大資安情資進行通報分享,以進行改善及防禦措施
● 與法務部調查局簽署「國家資通安全聯防與情資分享合作備忘錄」,增強國泰金融集團資安聯防之防禦縱深及構築公私資安協作框架建立共同聯防機制
P161
表30 個資安全執行成效
2020 2021 2022
個資教育訓練完成率(%) 100 100 100
資料外洩事件數量(案) - 11 10
個資相關的資料外洩事件佔比(%) - 100 100
因個資違反事件而受影響的顧客數(位) - 6250 120
P162
表31 資訊安全執行成效
2020 2021 2022
資訊安全教育訓練完成率(%) 100 100 100
資安違反事件數(件) 0 0 0
表32 2022 年個資案件數分布
子公司 主管機關公告 自行調查
國泰金控 0 0
國泰人壽 0 8
國泰世華銀行 2 0
國泰產險 0 0
國泰證券 0 0
國泰投信 0 0
總計 2 8
請讀者注意
iThome鐵人賽
看影片追技術