跳到主要內容
永續發展
:::

資通安全管理政策

為保障資訊安全管理及土銀業務永續運作,確保資訊資產之機密性、完整性及可用性受到妥善保護,防範土銀營運受到資安事件衝擊,土銀以三道防線建立安全可靠之資訊作業環境,以確保資料、電腦設備、系統及網路安全,第一道防線各單位依土銀各項資安規範辦理資安事務;第二道防線資訊安全處依職掌規劃、監控及執行資安管理作業;第三道防線稽核處查核資訊安全相關防護及控制措施之有效性。另為確實遵守及落實主管機關所定之相關個人資料保護法規,致力執行個人資料檔案安全維護之監督及管理,以保障客戶隱私。

土銀在早期即導入建置資訊安全管理制度( ISMS ),於 2008 年獲得 BSI 驗證通過取得 ISO/IEC 27001:2005 標準證書並於2013 年取得BS10012:2009 證書,且於 2015 年完成 ISO 27001:2013 新版國際標準之轉版認證、2018 年完成BS10012:2017 新版國際標準之轉版認證,其後接續通過每年複評及每三年重審,於2021 年 8 月通過 ISO27001 複評驗證作業、2021 年 7 月通過 BS 10012 重審驗證作業,確保土銀資訊安全管理制度之有效性,落實土銀資訊業務安全控管機制。

資訊安全治理架構

土銀為有效推行資通安全工作,設置「資通安全推動小組」,由資訊安全長擔任召集人,總行各單位主管擔任小組成員,統籌土銀資通安全政策及目標、資通安全維護計畫及實施情形、其他重要資通安全事項等之研議,並由督導資訊安全處之副總經理兼任資訊安全長,綜理資訊安全政策推動及資源調度事務;定期召開資通安全推動小組會議,確保資通作業之安全性。另亦訂定「資通安全政策」,其核決層級為董事會,每年至少評估一次,以反映政府法令、技術及業務等最新發展現況,確保資通安全實務作業之有效性。

CH-02-04-資訊安全-資訊安全治理架構

此外,土銀遵循資通安全管理法、金融監督管理委員會所管特定非公務機關資通安全管理作業辦法,以及行政院 2021 年 5 月 19 日核定土銀為資通安全責任等級 B 級之特定非公務機關等相關規定,訂定資通安全維護計畫,並設定資通安全量化型目標及質化型目標,定期檢討目標之適切性。

資訊安全目標

1. 量化型目標

CH-02-04-公司治理-資訊安全-量化型目標

2. 質化型目標

CH-02-04-公司治理-資訊安全-質化型目標

資通安全教育訓練

為提升同仁對資訊安全之認知,土銀定期舉行教育訓練及各式宣導活動,以強化同仁資訊安全意識,保護資訊資產免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖,確實落實資安控管。

CH-02-04-公司治理-資訊安全-資通安全教育訓練目標

資訊安全成效

2021 年土銀配置資安專責人員 17 名、投入 2 億元的資安預算,建置資訊安全監控管理系統、端點偵測與回應系統 (EDR)、遠端瀏覽器隔離上網系統 (RBI)、聯網設備資安整合平台,可釐清異常事件發生原因屬於惡意程式或使用者不當操作,強化土銀資安監控告警事件分析能力,提供使用者於瀏覽外部網站時達成上網隔離,以加強網站閘道安全。

每年土銀也會委託外部顧問定期評估土銀電腦系統的資訊安全,並依據土銀「電腦系統資訊安全評估計畫」於 2021 年 03 月 17 日起至 2021 年 11 月 30 日期間執行電腦系統資訊安全評估作業,經實際檢測、人員訪談、文件檢視及實地檢視表單紀錄,並提交「電腦系統資訊安全評估報告」,辦理矯正預防措施,定期追蹤檢討。

最後更新日期:2022/07/20