兆豐國際商業銀行110年 年報

85 營 運 概 況 85 管理，並對未授權軟體及軟體黑名單進行管控。 (9) 進行機敏資料安全防禦閘道器 (NDLP) 及 APT 硬體汰換，汰換即將 EOL 之硬體設備。 (10) 進行特權帳號管理系統提升，以提高系統資安防護能力及錄影檔留存年限。 (11) 進行資訊資產 管理系統擴充，以擴充納管日益增加之資訊資產設備。 (12) 另持續整合資安系統以提昇資安政策符規管理，強化資安 防護。 (13) 國內各單位 Cisco 網路設備汰換提昇案。 (14) 網路加速器提昇汰換案。 (15)SD-WAN 導入提昇案。 (16)ACI SDN 獨立測試環境及 ACI 網管系統建置提昇案。 (17) 雙中心線路分流 F5 設備汰換及內部 DNS F5 汰換提昇案。 (18)Cloud WAF 導入。 (19)IP 信譽評判暨流量可視性管理平台評估案。 (20) 網管系統第二階段擴充提昇案。 (21) 上網 行為管控及網頁快取設備提昇案。 （三）緊急備援與安全防護措施 為使意外發生後能夠儘快恢復所有關鍵業務資訊至可接受水準，本行持續進行技術面與管理面相關檢核，提升軟 硬體設備資源並改善作業流程，並建立重要系統異地主機備援及異地資料備份機制，定期進行系統復原演練以確保復 原機制有效。 為持續強化本行資訊安全並善盡保護客戶個人資料之企業社會責任，建置有防火牆、防毒、入侵防禦、進階持續 威脅偵測、分散式阻斷服務攻擊防禦、應用程式防火牆、郵件清洗系統、偽冒本行釣魚網站及行動應用程式偵測與下 架，及資安事件監控等系統，並加入金融資安資訊分享與分析中心 (F-ISAC) ，藉由資安情資之分享與回饋，參與金融 業資安聯防機制。 本行自 104 年導入資訊安全管理制度及取得 ISO27001 國際資安認證， 110 年規劃導入 ISO22301(BCMS ， Business Continuity Management System) 營運持續管理系統，並預計於 111 年度通過驗證取得國際認證，結合已 具相當成熟度之 ISMS 資訊安全管理系統，強化管理系統綜效，提升並維持高度系統穩定、可用、可靠性，以應變突 發資訊資安事件。 六、資通安全管理 本行依金管會「金融控股公司及銀行業內部控制及稽核制度實施辦法」第 38 條之 1 規定，設置資訊安全專責單 位，掌理本行資訊安全政策之訂定與維護，並已建立整體資訊安全防護機制及緊急應變計畫，由副總經理擔任資訊安 全長。另為統籌本行資訊安全管理事項，定期召開跨部門「資訊安全對策會報」會議，對業務或交易、資訊交互運用 等資安議題討論，建立資訊安全防護機制及相關緊急應變計畫，以支持本行營運目標。 為強化資訊暨網路安全管理，建立安全及可信賴之作業環境，及確保本行資通系統滿足監理機關要求之一致性基 本安全防護，本行訂定有「資訊安全政策」及「資通安全防護基準要點」，以作為實施各項資訊安全措施之依據。另 為將資安制度標準化與國際化，本行自 104 年導入資訊安全管理制度及取得 ISO27001 國際資安認證，並於 110 年 繼續通過每三年之重審認證。除針對各式資訊風險導入管控工具加強管理措施外，為檢驗本行資安環境抵禦能力及風 險狀況，每年定期委託專業資安廠商執行滲透測試及各項資訊安全評估檢測。 為因應金融環境、法令規定等變化，即時評估及掌握各項風險 ( 資訊科技風險、作業風險、防制洗錢風險等 ) ，本 行除以風險導向內部稽核制度 (RBIA) ，定期監控風險指標，另針對網路攻擊事件辦理資安事件通報與應變演練，並定 期舉辦電子郵件社交工程演練，強化同仁資安意識，避免因瀏覽惡意電子信件，影響網路安全，發生個資洩漏事件。 本行電腦系統不論係自建與委外維運，均依「電腦系統資訊安全評估計畫」辦理資訊安全評估作業，檢視既有電 腦資訊系統設備與其相關資訊安全控制措施，發現潛在資通安全威脅與弱點，強化專案範圍內資通安全作業與資通系 統安全防護能力。 為實際評估本行縱深防禦能力及關鍵資產保護能力，透過「紅隊演練」第三方之資安專業團隊，採目標導向式資 安演練。藉由測試以提升本行面對新型態攻擊模式之應變處理能力，以降低資安事件對本行的衝擊，並驗證系統控制 措施之有效性。 110 年度及截至年報刊印日止，本行未因重大資通安全事件而遭受損失。