資訊安全管理
TOP- 資訊安全管理
資訊與網路安全治理架構
永豐金證券具備完整之資訊與網路安全治理架構,董事會為監督集團資訊安全相關策略最高權責單位,並於2021 年由董事會通過設立資訊安全長,由副總經理層級擔任;為有效推行資訊安全工作,本公司設置「資訊安全委員會」,由「資訊安全部」主管擔任召集人,由風險管理處、法令遵循處、行政部、人力資源部及各事業處處長等單位指定專人擔任委員,另得通知稽核處指定專人列席。此外,年度資訊安全整體執行情形均納入內部控制制度聲明書,並由本公司董事長、總經理、稽核主管與資訊安全長聯名出具內部控制制度聲明書。
| 單 位 | 職責 |
|---|---|
| 董事會 | 董事會為監督資訊安全相關策略最高權責單位。 |
| 資訊安全委員會 |
資訊安全政策之擬議、資訊安全管理制度之推展、資訊安全意識提升及教育訓練計畫之擬議、資訊安全管理制度基礎設施之評估、資訊安全管理制度適法性與合宜性之檢視、審議及評估。 |
| 資訊安全部 | 掌理資訊安全發展策略、資訊安全防護規劃、執行及監控資訊安全管理等事項。 |
| 資訊處 | 掌理資訊發展策略規劃、資訊資源整合管理,以及軟硬體投資。 |
永豐金證券訂有「資訊安全政策」以強化本公司之資訊安全管理,建立安全及可信賴之資訊系統,確保資料系統設備及網路安全,提升同仁對資訊安全之認知,保障客戶權益,符合資訊安全相關規定及法令要求,另資訊安全政策每年執行一次審視,修訂時需送經董事會核定。此外,本公司每年均檢視資訊安全政策及資訊安全事件應變流程是否符合營運環境及主管機關之規範要求、對資訊安全重大議題進行評估,並分析公司內部之資安風險及脆弱度。
資安事件通報流程
根據永豐金證券「資訊安全政策」,各單位如發生資訊安全事件,應立即依本公司「緊急事件因應要點」進行通報與處理。資訊安全部應評估影響範圍、擬定因應計畫,並通報資訊安全委員會召集人進行必要決策與工作調度。此外,為確保營運不中斷,本公司每年執行營運持續計畫(BCP)與緊急事件應變程序之測試,確認各作業之回復優先順序,作為相關資源準備策略之依據,以加強營運持續管理之運轉機制,降低資訊作業風險及保障客戶權益,共同確保資訊系統及服務之可用性。本公司於2024年並無發生因資安事件對資訊系統或設備造成損害的罰緩及財務損失。
專業培訓及教育訓練
為強化內部之資訊安全思維,永豐金證券每年針對全體同仁實施資安線上教育訓練,課程內容包括資安基本概念、資訊安全相關趨勢說明、社交工程手法介紹、內部規範宣導、深度偽造認知及資訊安全意識培養等,並已將資訊安全之遵循程度納入員工績效評估項目。
2024年資安教育訓練執行情形
| 對象 | 教育訓練成果 |
|---|---|
| 資安專責人員 |
依證券商內部控制制度標準規範完成15 小時以上之資訊安全專業課程訓練或職能訓練並通過評量,並取得15 張專業證照及22 張上課證明。 |
| 一般同仁 |
依證券商內部控制制度標準規範,對其他使用資訊系統之從業人員完成3 小時以上資訊安全宣導教育訓練,社交工程演練通過比例 98.88%,對於未通過社交工程演練同仁, 則加強相關教育訓練並以考試通過驗證。 |
投入資通安全管理之資源
本公司資訊相關單位(含資安單位)所提供之系統管理、應用軟體開發、委外管理、資料庫管理、網路管理、資訊安全管理和相關基礎設施維運活動等,皆符合ISO27001 之規範,並取得其認證。此外,並持續提升資訊安全防護機制及個資保護管理強度,精進項目包括進階持續性威脅(APT) 防護系統、網路偵測與回應(NDR)設備、防禦DDoS 攻擊、電子郵件內容過濾、惡意軟體偵測、網站及App 弱點掃描及安全檢測;同時也針對高風險系統(如電子交易前台、帳務系統),進行架構隔離及系統防護強化。2024年度投入資安經費(包括軟硬體授權相關費用、人員訓練費用)占全部資訊預算費用之比率為8.02%。