資訊安全

資訊安全治理制度、目標與策略

董事會負責核定金控公司資訊安全政策,以及決策資訊安全相關重大議題,並督導各子公司資訊安全執行狀況。每年會由董(理)事長(主席)、總經理、總稽核、資訊安全專責單位主管聯名出具資訊安全整體執行情形聲明書,由董事會及高階管理階層完善監督治理之責,本公司董事會當中有包含資訊背景之董事成員。玉山銀行設有資安長(CISO),督導全公司資訊安全作業執行以及資安風險管理機制之有效性,並定期向董事會陳報整體資訊安全管理組織相關資安管理作業制度執行成效,為資訊安全最高負責主管。

為提升資訊安全治理,2017年9月成立「玉山金控資訊安全管理委員會」(ISMC,簡稱資安管理委員會),並於2019年建立資訊單位的資安主管制度,推行及落實資安作業。資安管理委員會負責審視「玉山金控資訊安全政策」,該政策適用於玉山金控下所有子公司,除審視治理政策外,亦會監督全金控資安管理運作情形,並定期向董事會報告資安治理概況,包含政策的修訂、風險揭露及處理等。
玉山以打造嚴密有效的資安防禦網為資訊安全願景,在此願景之下,我們以資安治理一致性為基礎,逐步提升金控全方位防護能力,矢志成為資安治理成熟度標竿企業。
資安管理處負責全金控資訊安全治理、推動及風險管理,在資安治理方面,統籌全行制度及合規遵循,並推動相關作業的落實,持續提升資安意識與專業能力。透過技術的運用,識別資安風險與弱點,並進行有效的強化,建構完善的治理制度與全方位的資安防護能力,同時培養同仁良好的資訊安全意識。


資訊安全管理機制

玉山已於2013年7月取得「資訊安全管理系統(ISMS)ISO/IEC 27001:2005」驗證,並於2015年5月完成最新版 ISO/IEC 27001:2013 改版驗證,2018年5月完成三年審查,證書持續有效;信用卡收單系統也於2017、2018及2019年持續取得「支付卡產業資料安全標準認證(PCI DSS)」。
玉山銀行於2019年精進並擴大資訊安全管理系統適用範圍,於策略面、管理面、技術面及認知面四個面向,建立制度的標準化,進而提升資安治理的深度及廣度,透過制度的精進有效因應業務的快速變化,並委請第三方專業國際機構(BSI)分析玉山資訊安全成熟度,塑造PDCA持續改善的資安文化。
2019年已規劃投保資安險來降低業務中斷風險與賠償責任,預計2020年上半年完成採購,同時擴大企業風險管理的戰略布局,接軌國際,確保顧客在資訊服務的使用及個人資料的保護都有最好的保障。

資訊服務持續營運計畫

為確保資訊服務遭受突發的重大災害時,透過採取正確之應變措施,能將業務所造成的衝擊降至最低,並於最短時間恢復持續運作。本公司已制定「資訊服務持續營運計畫」(BCP),每年進行兩次資訊系統災害備援回復演練,透過定期的演練提升災害處理的應變能力,2019年度的相關演練結果皆符合要求。 扣除計劃性停機維護時間,2019年核心帳務系統可用率達99.99%,2019年共有一件異常事件導致核心帳務系統服務受影響,影響時間約23分鐘,該事件發生在清晨時段,由本行客服人員第一時間通報資訊人員,相關單位立即進行系統修正,異常時段無收到顧客申訴,故無作業風險損失,後續已提出矯正預防措施。玉山銀行以提供7x24不中斷的線上系統服務為目標,2020將持續優化系統可用率,提供顧客流暢且便利的資訊服務。
2019年 資訊系統異常事件發生次數 1
2019年 資訊系統異常造成財務損失金額 TWD: 0

資訊安全防護與檢測分析

為因應外部多變的攻擊手法,如分散式阻斷服務攻擊(DDoS)、進階持續性攻擊(APT)及社交工程攻擊等,本公司在安全防護措施方面,採用多層次縱深防禦架構,佈署防火牆、防毒、垃圾郵件過濾、入侵偵測防禦、上網行為管理等系統,並委請符合行政院技服中心評鑑的優良資安廠商協同進行滲透測試及多種情境之攻防演練,檢視本公司防禦之有效性及事件應變能力。
此外,在系統開發及維運的各階段中,定期執行弱點掃描及修補作業,並依規定辦理電腦系統資訊安全評估,檢視合規、資訊架構、網路活動、網路/伺服器/端末設備安全設定、應用程式安全性等,綜合各項安全測試,發現並修補資安威脅與弱點,以降低對外服務暴露之風險,確保資訊系統的穩定度及資安管控的有效性。
2019年,本行透過外部第三方評估單位檢測出一由外部開發之網頁應用元件漏洞,主動通報台灣電腦網路危機處理暨協調中心(TWCERT/CC)、銀行局及金融資安資訊分享與分析中心(F-ISAC)分享情資,並於弱點發佈前完成修補。

資訊安全所投入之資源

玉山持續投入資源於資訊安全相關事務上,2019年度較2018年度投入費用成長35.21%,資源投入事項包含完善治理面及技術面之安全基礎架構、強化資安防禦設備、安全情資分析與教育訓練等,從管理到技術,全面提升資訊安全能力。 在人員訓練方面包含資安專業的培訓,截至2019年底共有144位同仁取得 ISO27001 Lead Auditor,2019年全公司參與資安測驗及通過比率為100%,並針對科技人才規劃內、外部資安專業課程達6,623小時,其中93.8%為內部教育訓練,6.2%為外部訓練課程。

資訊安全事件

對資訊安全事件的通報與處理,本公司明確訂立資安通報及處理流程,全行資安事件由資訊單位通報窗口進行收錄並訂定事件等級,如為重大資安事件將通報資安管理處及「金控/總行重大事件通報窗口」,資訊單位需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行根因分析與採取矯正措施,以預防事件重複發生。近3年,資訊安全事件及損失如右表,其中2017年1月,本行測試環境防毒系統偵測到惡意程式,經系統管理人員確認,並進行必要之處理後,未造成營運中斷或是費用損失。綜觀2019年雖然有資訊服務異常等相關事件,但經資安管理處檢視資安防禦系統各項監控及告警資訊,確認皆非駭客入侵或病毒感染造成的資安事件。
2017 2018 2019
資訊安全事件數量 1 0 0
因資訊安全事件導致顧客資料遺失 0 0 0
因資訊安全事件受影響的顧客數 0 0 0
因資安造成的個資事件/整體資安事件比例 0 0 0
因資訊安全事件損失的財務 0 0 0

個資保護管理

金融業以信用為根本,顧客資料保護是玉山對顧客的承諾。玉山金控於2012年起訂定「玉山金控公司及子公司個人資料管理政策」,以保護顧客個人資料安全、確保顧客權益。因應資料保護法令規範日漸趨嚴,於2018年訂定「玉山金控及子公司個人資料風險管理要點」,並定期檢視管理制度與作業程序,以落實法令遵循與資料保護,玉山金控已連續3年通過 BS 10012:2017 個資國際標準。
本公司由「個人資料保護推動小組」負責建立個資保護規範,包含個人資料蒐集、處理及利用等管理措施,並依循「玉山金控及子公司個人資料管理組織設置要點」,檢視調整「個人資料檔案清冊」及「企業資訊流概覽圖」,界定其納入本計畫及處理方法之範圍。
玉山金控於2019年擴大內部個資風險管理範圍,個資盤點範圍從原先接觸客群較多的產品線業管單位外,擴大納入海外分行與各業務管理單位,以確保資料保護更全面落實,此外每年進行個資外洩演練,藉由演練來強化同仁對於事件應變的處理能力並驗證內部作業程序是否恰當,以識別個資保護措施不足之處,持續精進改善相關保護措施。


顧客資料二次使用

  • 一、本公司100%監控顧客個人資料的使用,並確實評估資料二次使用之流程是否具備兼容性,方可進行資料二次使用。相關評估原則如下:
    (一)原始目的與二次使用目的關聯性須合理。
    (二)顧客之身分、背景是否適宜進行二次使用。
    (三)二次使用之顧客資料不可為敏感資料。
    (四)二次使用後無法變更、竄改或對原始資料有任何影響之可能。
    (五)二次使用將採取適當保護措施,包含去識別化或代碼化。
  • 二、2019年本公司針對顧客資料進行二次使用比例74.7%,相關控管機制如下:
    (一)資料處理:於遠端桌面進行處理,並採取桌面雲側錄以紀錄使用軌跡。
    (二)名單輸出:名單輸出前會透過「全行顧客接觸規則架構」進行審查,如黑名單、不接受共同行銷等,以排除不宜行銷顧客。

利害關係人問卷

玉山金控長期秉持「心清如玉、義重如山」的精神,在公司治理、顧客關懐、員工照顧、環境保護、社會參與等各項領域都用心投入,為更準確掌握及蒐集利害關係人意見,敬邀您回饋寶貴的意見,作為本公司制定企業社會責任政策的參考。

 

意見回饋