P20 1.4.2 重大議題之可能風險與管理行動
重大議題 可能風險 對應2023WEF全球前十大風險* 風險減緩與回應 執行作為與行動
公司治理與誠信經營 • 營運風險
• 資安風險
• 客戶流失 - • 建立完善之公司治理制度與規章
• 持續強化與實踐永續治理 2.2 實踐永續治理
2.3 誠信經營
資訊安全 • 違規╱法經營風險
• 負面形象
• 客戶流失 大型網路犯罪及威脅(8) • 制定「資訊安全政策」
• 持續精進資訊安全韌性,強化員工資安意識 2.4.4 資安風險
P21
倡議╱議題 參與方式 2022年投入金額(元)
產業經貿發展 本公司加入中華民國工商協進會、台灣金融服務業聯合總會、美國商會,以會員身分參與會議及研討會等活動,並參與建言調查,向政府提供台灣資本市場發展、環境保護、產業升級轉型,以及後疫時代加速開放與數位化、強化資安個資管理與人才發展等議題相關 813300元
P29
董事連堂凱、賴祥蔚具有資安專長
P30
教育訓練
富邦金控將防制洗錢及打擊資恐、個資保護、資安、內部控制三道防線 ,以及法遵制度與法治教育等列為新進人員必修數位課程,課程總時數約3小時。每年定期對全體員工宣導員工誠信、反貪腐、嚴守紀律的經營理念,2022年近100%完成金控暨子公司「誠信行為準則」訓練(含反貪腐)與簽署,要求同仁遵守之誠信行為與不誠信行為處理程序,並鼓勵舉報不誠信行為。同時,定期實施全員必修之法遵與風險管理相關訓練,包括個人資料保護法、洗錢防制法及資訊安全宣導等,以及主管內控管理訓練,以持續強化道德與法治觀念。
P38
2.4.4 資安風險
面對數位金融服務不斷推陳出新,富邦金控持續不斷精進資訊安全治理與防護能力,制定資訊安全政策,適用金控與子公司,並由董事會每年定期檢視。2019年4月成立資訊安全處,由蘇清偉副總經理擔任資安長(CISO)督導資安專責單位,負責規劃、監控及執行資訊安全管理作業。資安長具備資訊相關背景,並擁有25年以上資訊系統研發╱規劃╱建置與推動、科技與網路犯罪偵防工作、電腦鑑識與數位證據解析、資訊網路安全、創新科技應用之實務經驗。在資訊安全治理上,每月向董事長及總經理呈報金控及督導子公司資安辦理情形,每年向審計委員會及董事會提報金控整體資安狀況報告。而審計委員會之獨立董事張榮豐,曾任國家安全會議副秘書長,擁有國家情報系統的情蒐以及協助高科技產業建置保護營業秘密之整合性反情報系統,在公司的資安決策推動上,亦參與並提供相關經驗予以指導。
資安風險管理圖
圖 26 1富邦金控資安風險管理圖
審視外部風險 關注政府、同業或重大資安事件,檢討資安管控措施,及早布署防禦。
審視內部風險 透過資安評估與內部資安檢測、弱點檢測工具等機制,發現弱點,並加以改善。
審梘供應鏈風險 盤點資訊服務供應、辦理供應商教育訓練(資安規範及要求),審視管控供應鏈風險。
建構聯防體系 分析、彙整各項資安事件、情資並打造情資網,加強金控及子公司及時應變處理機制,提高整體資訊安全防護成效。
富邦金控暨子公司皆設立資安專責單位,負責資訊安全制度之規劃、監控及執行資訊安全管理作業,透過定期會議掌握各子公司資訊安全整體狀況及分析交流資訊安全議題,強化資安聯合防禦。為促進各子公司資安管理體系均衡發展,本公司參考國際電腦稽核協會(Information Systems Audit and Control Association, ISACA)建議之「企業資訊安全」四要素:人員、組織、流程、技術,及MITRE ATT & CK架構訂定「資訊安全績效指標」,以推動子公司校準金控資安策略方向,並提供管理者評量資安工作效益、目標之達成狀況。金控以此一致性之「資訊安全績效指標」,藉以驅動子公司校準金控資安策略方向,促進資安管理體系均衡發展,且提升「資訊安全防護能力」之目的,並可提供作為資安人員評量之工作效益及目標之達成狀況依據。
圖 26 2 富邦金控資安治理組織架構圖
為建構資安聯合防禦體系,本公司審視並督導各子公司資訊、網路系統、資訊安全維護相關規劃作業之妥適性,建立有效之防駭及除弱措施,以落實客戶隱私保護,並定期委託第三方外部專家模擬駭客攻擊方式進行滲透測試或紅隊演練,持續檢視系統瑕疵或弱點,並依據業務需求,購買資安保險,保險項目包括資料保密及隱私責任、網路安全責任、媒體責任、事故應變、營業中斷等,以展現對客戶權益之重視。
富邦金控訂有資安事件通報及處理流程,並依據事件等級進行分級,且依據分級結果辦理通報及處理流程,當事件發生時人員於第一時間進行事件分類、判別後,發出通報至相關單位窗口,收到通報之處理單位需於時間內確認影響範圍,查找可能根因,提出改善措施並進行回覆,本公司定期與子公司檢討資安通報事件,作為日後調整與優化系統之參考資料。
圖 26 3 富邦金控資訊安全績效指標面向
P39
資安違反狀況 2019 2020 2021 2022
重大資訊安全事件數 8 0 3 0
涉及客戶隱私之違規事件數 0 0 0 0
因資訊洩露致受影響的客戶及員工數量 0 0 0 0
因資訊安全事件而支付的罰款÷罰金總額(單位:新台幣元) 126,494 0 80,000 0
資安行動方案與成果
強化風險管理 • 每年定期進行紅藍隊演練及資訊系統營運持續與復原演練和與弱點檢測等機制。
• 2022年度金控及各子公司均無發生重大資通安全事件,顯示加強管控措施已有明顯成效。
• 24小時監控對外曝險弱點,提高弱點監控及處理效率,降低資安風險。
校準法令法規 • 檢視內部相關作業辦法,以確保符合相關法令與法規,並呼應公會規範及國際資安攻防趨勢。
• 富邦金控及子公司已通過ISO 27001認證,證書生效日:2021年3月15日、證書到期日:2024年3月14日。另2022年9月金控與子公司通過ISO 27001每半年定期第三方驗證單位定期查核,以維持證書之有效性,持續管控整體資訊安全。
強化資安思維 • 資安訓練共39,701人受訓,涵蓋率為100%( 一般人員為3小時,資安專責人員為15小時);每半年進行社交工程演練,其點擊率平均約為0.89%。
• 由董事會核定資訊安全政策,資安專責單位亦定期向董事會提報執行情形。
• 資訊安全政策置於企業入口網站(EIP),提供所有員工遵循。
鞏固縱深防禦 • 2022年舉行12次資安聯合會議,持續校準資安策略方向。
• 完成建置端點偵測回應及自動事件調查系統。
• 以可視化圖形儀表板,掌握整體資安勢態,強化非Windows系統安全檢測。
P48 永續保險
承保件數(件) 承保金額(新台幣百萬元)
永續產品保險承保項目 2019 2020 2021 2022 2019 2020 2021 2022
資安險 36 39 61 74 21.8 24.4 47.6 67.9
P62
4.2 數位服務優化
2022年數位服務亮點與目標指標成果
富邦產險 2016年領先業界首推電子保單,秉持環境保護之社會責任、減低碳排放。客戶於投保後一小時即可在任何電子產品上瀏覽保單內容,且每一筆保單都經過第三方認證,確保個資安全無虞。2018年亦率同業之先,將車險強制險的紙本強制證轉化為電子強制證,不僅提升服務效率,也為節能減碳貢獻心力。