資訊安全

玉山持續對精進資訊安全治理制度與強化防衛能力,所有資訊作業除了符合國際資安標準外,更要符合國內外資訊安全法令法規。2018年1月玉山銀行董事會通過組織章程,增設獨立且專責之資安單位「資安管理處」及資安長,規劃全金控資訊安全作業。

玉山會秉持「一切業務不得凌駕於風險之上於、一切服務不得逾越於法規之上」的精神,在資訊安全的領域深耕並落實在日常業務的執行中。

資訊安全治理制度及組織運作

為提升資訊安全治理,2017年9月成立「玉山金控資訊安全管理委員會」,資安管理委員會負責審視各子公司資安治理政策,監督全金控資安管理運作情形,並定期向董事會報告資安治理概況。另外於2018年4月成立「資安管理處」,負責全金控資訊安全治理、規劃、督導及推動執行,以建構全方位的資安防禦能力及同仁良好的資訊安全意識。

資訊安全管理機制

玉山已於2013年7月取得資訊安全管理系統(ISMS)ISO/IEC 27001:2005認證,並於2015年5月完成最新版ISO/IEC 27001:2013改版認證,2018年5月完成3年審查;信用卡收單系統也於2017年9月、2018年8月取得PCIDSS認證,每年持續進行驗證。2019年將規劃投保資安險來降低業務中斷風險與賠償責任,同時擴大企業風險管理的戰略布局,接軌國際,以提供顧客在服務的使用及資料都有最高的保障。

企業為追求永續經營,其中的關鍵就在於是否具備「組織韌性」的能力,讓企業能夠繼續生存和繁榮發展。2019年我們秉持著這樣的概念,發揮韌性資安的精神,達到事前精準預測、事中即時偵測、事後快速應變的目標。

因此,2019年的資安發展策略將深化至第一道防線,除了建立資安主管制度,並運用科技的力量,打造資安情資平台,提升整體資安成熟度。玉山不僅要成為金融業的模範生,在資安的發展上也要提升全方位資安防護能力,矢志在2020年成為資安治理成熟度標竿企業。

資訊服務流程管理

玉山的資訊服務流程管理核心概念是以顧客及服務為導向,除已建立事件管理、問題管理、變更管理、上線管理及服務等級管理等ITIL資訊服務管理最佳實務流程,掌握資訊發展趨勢並與國際標準接軌,兼顧資訊服務成長與風險控管。此外,為確保所提供的資訊服務滿足金融科技應用及業務的快速發展,已成立商業分析團隊、架構師團隊、需求管理小組等,提升業務與資訊單位溝通效益及資源有效運用。2018年我們以使用者的服務體驗為中心,精進服務等級協議(SLA),持續提升玉山資訊服務的品質及顧客滿意度。

個資保護管理

玉山存匯與保險代理業務之個人資料管理制度,於2018年底通過英國標準協會(BSI)認證,取得BS10012:2017之國際認證。另外,由「個人資料保護小組」負責建立個資保護規範,包含個人資料蒐集、處理及利用個人資料等管理措施,並進行個資外洩應變演練,確保個資事件處理能力。

對於機敏資料的使用,在系統設計時就遵循個人資料保護開發規範,建立存取控制與保護監控措施,完善個資保護之責任。

除此之外,依據個人資料保護相關法令,每年定期查核確認所保有之個人資料現況,並依循「玉山金控及子公司個人資料管理組織設置要點」,檢視調整「個人資料檔案清冊」及「企業資訊流概覽圖」,界定其納入本計畫及處理方法之範圍。

交易安全管理與安全保護

為確保交易資料之安全性與傳輸之正確性,在交易安全防護措施上,持續強化訊息隱密性、完整性、來源辨識性、不可重複性及訊息不可否認性之安全設計,並遵循「憑證實務作業基準」及「電子支付機構資訊系統標準及安全控管作業基準辦法」,以加強安控機制,維護網路交易安全。此外,透過精進系統管理之安全設計,包含網路區域、存取控制、弱點管理等安全防護策略,持續提升系統可靠性。

為因應外部多變的攻擊手法,如分散式阻斷服務攻擊(DDoS)、進階持續性攻擊(APT)及社交工程攻擊等,玉山已布署相關防禦機制,並委請外部資安專家協同進行滲透測試及多種情境之攻防演練,檢視防禦之有效性及事件應變力。在系統開發及維運的各階段中,透過各類型的檢測技術,進行弱點識別及修補,確保服務使用安全。

資訊安全所投入之資源

玉山持續投入資源於資訊安全相關事務上,2018年度較2017年度投入費用成長28.3%,資源投入事項包含完善治理面及技術面之安全基礎架構、強化資安防禦設備、安全情資分析與教育訓練等,從管理到技術,全面提升資訊安全能力。在人員訓練方面包含資安專業的培訓,截至2018年底共有109位同仁取得ISO27001 Lead Auditor,2018年全公司參與測驗及通過比率為100%,並針對科技人才規劃內、外部資安專業課程達5,990小時,其中85.9%為內部教育訓練,14.1%為外部訓練課程。

資訊安全事件

2018年4月因憑證協定問題造成玉山官方網站使用特殊瀏覽器瀏覽時,會出現網站安全性確認之提醒字樣引發顧客疑慮,其原因為瀏覽器公司與憑證發行商之間的憑證協定設定問題。玉山在第一時間即以客服引導顧客,減緩顧客疑慮,並主動全面檢視及精進憑證管理機制,加強蒐集資安通訊產品之市場重大訊息,強化資安訊息掌握度。
綜觀2018年雖然有發生重大偶發事件影響資訊服務的提供,但經資安管理處檢視資安防禦系統各項監控及告警資訊,確認皆非駭客入侵或病毒感染造成的資安事件。

利害關係人問卷

玉山金控長期秉持「心清如玉、義重如山」的精神,在公司治理、顧客關懐、員工照顧、環境保護、社會參與等各項領域都用心投入,為更準確掌握及蒐集利害關係人意見,敬邀您回饋寶貴的意見,作為本公司制定企業社會責任政策的參考。

 

意見回饋