臺灣土地銀行

資通安全管理政策

為保障資訊安全管理及土銀業務永續運作，確保資訊資產之機密性、完整性及可用性受到妥善保護，防範土銀營運受到資安事件衝擊，土銀以三道防線建立安全可靠之資訊作業環境，以確保資料、電腦設備、系統及網路安全，第一道防線各單位依土銀各項資安規範辦理資安事務；第二道防線資訊安全處依職掌規劃、監控及執行資安管理作業；第三道防線稽核處查核資訊安全相關防護及控制措施之有效性。另為確實遵守及落實主管機關所定之相關個人資料保護法規，致力執行個人資料檔案安全維護之監督及管理，以保障客戶隱私。

土銀在早期即導入建置資訊安全管理制度（ISMS），於 2008 年獲得 BSI 驗證通過取得 ISO/IEC27001:2005 資訊安全管理制度標準證書，其後接續通過每年複評及每三年重審。2015 年完成 ISO27001:2013 資訊安全管理制度新版國際標準之轉版認證，2022 年度通過複評驗證作業，藉由持續的規劃、執行、監控及優化資訊安全管理制度，強化土銀資安管理能力，降低資安風險，提供客戶更安全的服務。

土銀已建置個人資料管理制度（PIMS），於2013 年獲得 BSI 驗證通過取得BS10012:2009 個人資料管理制度標準證書，其後接續通過每年複評及每三年重審。2018 年完成BS10012:2017 個人資料管理制度新版國際標準之轉版認證，2022 年度通過複評驗證作業，藉由個人資料管理制度以系統化之方式識別、盤點並管理個人資料，有效保障資料安全，實踐土銀維護客戶個人資料安全之承諾。

資訊安全治理架構

土銀為有效推行資通安全工作，設置資通安全推動小組，由資訊安全長擔任召集人，總行各單位主管擔任小組成員，每半年至少召開一次會議，對於需跨單位橫向溝通之重要資通安全事項進行研議，凝聚共識推動各項方案並落實執行，確保資通作業之安全性。土銀2022 年已採購「資訊安全顧問服務案」，並於合約中明定顧問應依土銀通知參與資安相關議題之高階會議( 如董事會、常董會) 備詢，增納資安專業人士參與董事會運作。另訂定「資通安全政策」，其核決層級為董事會，每年至少評估一次，以反映政府法令、技術及業務等最新發展現況，確保資通安全實務作業之有效性。2022 年資訊安全聯繫會議已召開5 次，資通安全推動小組已召開3 次。

此外，土銀遵循資通安全管理法、金融監督管理委員會所管特定非公務機關資通安全管理作業辦法，以及行政院 2021 年核定土銀為資通安全責任等級 B 級之特定非公務機關等相關規定，訂定資通安全維護計畫，並設定資通安全量化型目標及質化型目標，定期檢討目標之適切性。

資訊安全目標

1. 量化型目標

2. 質化型目標

資通安全教育訓練

為提升同仁對資訊安全之認知，土銀定期舉行教育訓練及各式宣導活動，以強化同仁資訊安全意識，保護資訊資產免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖，確實落實資安控管。

資訊安全成效

2022 年土銀配置資安專責人員 17 名，並鼓勵取得資安防護相關證照；投入 1.56 億元的資安預算，佔資訊預算12.36%，將用於部署資通安全防護設備，如防毒系統、網路防火牆、電子郵件過濾裝置、入侵偵測及防禦系統、應用程式防火牆、進階持續性威脅攻擊防禦措施等，並適時進行軟、硬體之更新或升級。土銀2022 年度「資安治理成熟度評估」已於2022 年9 月19 日辦理完成，並已建立資安監控機制，部署資安監控系統，監控資安事件並以Email 及時告警，及辦理電腦系統資訊安全評估、資訊安全整體執行情形評估。

土銀每年亦委託外部顧問執行電腦系統資訊安全評估，依據土銀「電腦系統資訊安全評估計畫」於2022 年 03 月 14 日起至 11 月 30 日期間執行電腦系統資訊安全評估作業，經實際檢測、人員訪談、文件檢視及實地檢視表單紀錄，並提交「電腦系統資訊安全評估報告」，評估結果無發現事項。此外，土銀實施異地備援演練切換至異地後，備援環境主機即切換為正式營運，演練期間已納入存放款交易、ATM 自動化設備自行與跨行提款、個人網路銀行交易等實際業務驗證。

土銀依據財政部 2022 年資通安全稽核計畫推動資通安全管理及防護，經財政部資通安全稽核小組實地稽核結果，整體資安整備度評定為優等。除此之外，土銀亦配合金管會辦理 2022 年金融資安入侵模擬演練，整體資安架構佈署方式皆合乎金管會之相關規範，資安防護防禦成效良好，在 2022年 8 月 1 日至 13 日警戒專案期間，積極配合辦理「關鍵基礎設施領域資安事件通報應變小組」事項達成任務，並依據金管會來函對參與辛勞人員予以敘獎。