1 Mega Bank 95 95 型主機單機平行處理建置專案。(19)IBM大型主機開發與測試環境上雲建置專案。(20)大型主機基碼建置TKE工 作站提升專案。(21)公務上網連線架構優化建置專案。(22)信用卡系統備援架構優化暨IBM中介軟體版本提升專 案。(23)核心資料保全建置專案。(24)資訊安全訊息與事件管理(SIEM)系統優化專案。(25)境外第三地SWIFT低 軌衛星服務建置專案。 (三)緊急備援與安全防護措施 為使意外發生後能夠儘快恢復所有關鍵業務資訊至可接受水準,本行持續進行技術面與管理面相關檢核,提 升軟硬體設備資源並改善作業流程,並建立重要系統異地主機備援及異地資料備份機制,定期進行系統復原演練 以確保復原機制有效。 為持續強化本行資訊安全並善盡保護客戶個人資料之企業社會責任,建置有防火牆、防毒、入侵防禦、進階 持續威脅偵測、分散式阻斷服務攻擊防禦、應用程式防火牆、郵件清洗系統、偽冒本行釣魚網站及行動應用程式 偵測與下架,及資安事件監控等系統,並加入金融資安資訊分享與分析中心(F-ISAC),藉由資安情資之分享與回 饋,參與金融業資安聯防機制。 本行持續取得ISO27001資訊安全管理認證及ISO22301營運持續管理認證,強化系統管理綜效,維持高度 系統穩定性、可用性、可靠性,並提升災害復原能力,以因應突發資訊、資安事件及提高整體營運韌性。 六、資通安全管理 本行依金管會「金融控股公司及銀行業內部控制及稽核制度實施辦法」第38條之1規定,設置資訊安全專責單 位,掌理本行資訊安全政策之訂定與維護,建立整體資訊安全防護機制及緊急應變計畫,另指派督導副總兼任資訊安 全長,綜理資訊安全政策推動及資源調度事務。另為統籌資訊安全管理事項,每半年召開「資訊安全對策會報」,由 資訊安全長擔任召集人,就審議資訊安全對策擬案及預算、審議稽核部門抽查各單位施行基準情形報告、全盤檢討評 估等內容進行討論,以達到對業務或交易、資訊交互運用等,建立資訊安全防護機制及相關緊急應變計畫,以支持本 行營運需要。 為強化資訊暨網路安全管理,建立安全及可信賴之作業環境,確保資料、系統、設備及網路安全,保障客戶權益, 訂定有「資訊安全政策」,以作為實施各項資訊安全措施之依據,另為確保本行資通系統滿足監理機關要求之一致性 基本安全防護,訂有「資通安全防護基準要點」。為將資安制度標準化與國際化,並納入本行內部文化,於104年導 入資訊安全管理制度並取得 ISO27001 國際資安認證,爾後每年皆依國際組織要求,通過驗證,113 年通過新版 ISO27001:2022 驗證,並由SGS外部驗證單位完成重審作業,證照持續有效(效期自113 年7 月15 日至116 年7 月15日)。另為檢驗本行資安環境抵禦能力及風險狀況,每年除定期委託專業資安廠商執行滲透測試及各項資訊安全 評估檢測外,亦自行辦理海外分行外部網路及對外服務網站滲透測試作業。 為因應金融環境、法令規定等變化,即時評估及掌握本行各項風險(資訊科技風險、作業風險、防制洗錢風險等), 除以風險導向內部稽核制度(RBIA)定期監控風險指標,另針對網路攻擊事件辦理資安事件通報與應變演練。為提升本 行同仁對電子郵件的警覺性,避免因瀏覽惡意電子信件,而影響網路安全、發生個資洩漏事件,定期舉辦電子郵件社 交工程演練,強化資安概念,以降低誤中釣魚郵件之資安風險。 本行電腦系統不論係自建與委外維運,均依「電腦系統資訊安全評估計畫」辦理資訊安全評估作業,檢視既有電 腦資訊系統設備與其相關資訊安全控制措施,發現潛在資通安全威脅與弱點,強化專案範圍內資通安全作業與資通系 統安全防護能力。 為實際評估本行縱深防禦能力及關鍵資產保護能力,持續辦理「紅隊演練」專案,透過駭客攻擊手法實測資安監 控與防護機制之有效性,以攻防演練方式提升本行同仁面對新型態攻擊模式之應變處理能力,以降低資安事件對本行 的衝擊,並驗證系統控制措施之有效性。113年度及截至年報刊印日止,本行未因重大資通安全事件而遭受損失。
RkJQdWJsaXNoZXIy MTAyODAyMQ==