資安與個資保護

■ 資訊安全治理制度、目標與策略

董事會負責核定金控公司資訊安全政策,以及決策資訊安全相關重大議題,並督導各子公司資訊安全執行狀況。每年由董事長、總經理、總稽核、資訊安全專責單位主管聯名出具資訊安全整體執行情形聲明書,且董事會當中有包含資訊背景之董事成員,由董事會及高階管理階層完善監督治理之責。玉山銀行設有資安長 (CISO),督導全公司資訊安全作業執行以及資安風險管理機制之有效性,並定期向董事會陳報整體資訊安全管理組織相關資安管理作業及制度之執行成效, 為資訊安全最高負責主管。

為提升資訊安全治理,2017 年成立「玉山金控資訊安全管理委員會」(ISMC, 簡稱資安管理委員會),並於 2019 年建立資訊單位的資安主管制度,推行及落實資安作業。資安管理委員會負責審視「玉山金控資訊安全政策」,該政策適用於玉山金控及所有子公司,除審視治理政策外,亦會監督全金控資安管理運作情形,並定期向董事會報告資安治理概況,包含政策的修訂、風險揭露及處理等。

玉山以打造嚴密有效的資安防禦網為資訊安全願景,以資安治理一致性為基礎,逐步提升金控全方位防護能力,期望成為於資安治理成熟度表現傑出之企業。玉山銀行資安管理處統籌全行資訊安全制度及合規遵循,並推動相關作業的落實,持續提升資安意識與專業能力。透過技術的運用,識別資安風險與弱點,並進行有效的強化,建構完善的治理制度與全方位的資安防護能力,同時培養同仁良好的資訊安全意識。

■ 資訊安全所投入之資源

玉山持續投入資源於資訊安全相關領域,2020 年較 2019 年投入費用成長 48.37%,資源投入事項包含完善治理面及技術面之基礎架構、強化資安防禦設備、情資監控分析、事件應變演練與教育訓練等,全面提升資訊安全能力。
在人員訓練方面包含資安專業的培訓,截至 2020 年底共有 162 位同仁取得 ISO27001 Lead Auditor,2020 年全公司參與資安測驗及通過比率為 100%,並針對科技人才規劃內、外部資安專業課程達 7,586 小時,其中 93.4% 為內部教育訓練,6.6% 為外部訓練課程。此外資安管理處每個月亦針對全體同仁進行資安宣導教育訓練,其宣導主題依據時下內外部威脅狀況進行規劃,2020 年度各月份之主題如下表。
2020 年度每月資訊安全教育訓練宣導
月份 主題 月份 主題
1月 社交工程攻擊手法與防範 7月 行內資訊安全須知
2月 惡意程式的防範 8月 行動裝置的使用安全
3月 辨別惡意網站 9月 惡意程式的防範
4月 電子郵件與惡的距離 10月 資訊設備與實體安全
5月 居家辦公的資安防範 11月 辨別惡意網站
6月 物聯網(IoT)之資安威脅 12月 保護資訊設備中的個人資料

■ 資訊安全事件

對資訊安全事件的通報與處理,玉山明確訂立資安通報及處理流程,資安事件由資訊單位通報窗口進行收錄並訂定事件等級,如為重大資安事件將通報金控風險管理處及「金控 /總行重大事件通報窗口」,資訊單位需於目標處理時間內排除及解決資訊安全事件,並在事件處理完畢後進行根因分析與採取矯正措施,以預防事件重複發生。

近三年無發生資訊安全事件及相關損失。惟 2020 年玉山接獲顧客反應網路銀行帳戶疑似遭盜轉,經檢視各資安設備及相關主機狀況,確認並無駭客入侵或病毒感染等情形,網路銀行各項交易流程亦具備完整交易安全控管。經調查結果為顧客手機遭植入惡意程式,導致個人資料外洩並利用於帳戶盜轉。除了保障顧客權益,玉山並於官網發布相關新聞警訊公告,提醒顧客留意手機不當使用之風險。
A- 資訊安全事件 2018 2019 2020
因資訊安全事件導致顧客資料遺失 0 0 0
因資訊安全事件受影響的顧客數 0 0 0
因資訊安全事件損失的財務 0 0 0
B- 資料外洩事件 2018 2019 2020
資料外洩事件數量 0 0 0
與個資相關的資料外洩事件占比 0% 0% 0%
因資料外洩事件而受影響的顧客數 0 0 0

■ 個資保護管理

「個人資料保護推動小組」負責建立個資保護規範,包含個人資料蒐集、處理及利用等管理措施,並依「玉山金控及子公司個人資料管理組織設置要點」,檢視調整「個人資料檔案清冊」及「企業資訊流概覽圖」,組織架構請詳下圖:
玉山金控及子公司謹慎運用顧客資料,2020 年因個資事件受主管機關裁罰金額為 0。統計個資相關案件共計 36 件,其中 27 件來自主管機關,另 9 件為顧客自玉山反應管道申訴及業管自行收集。經釐清後,皆已獲得顧客理解並無顧客個資洩漏情事,針對顧客申訴案件本公司皆積極回應顧客,並持續加強人員教育訓練,以提升玉山服務品質。2020 年由獨立稽核部門進行查核,包含檢視個人資料保有現況,查核結果無顧客資料使用缺失,玉山將持續用心守護顧客資料。
2020 年玉山業務與個資相關客訴統計表
個資相關案件 主管機關 自行收集 總計
存匯業務 4 1 5
個人授信業務 7 2 9
理財業務 9 0 9
信用卡業務 5 3 8
法人授信業務 0 0 0
其他 2 3 5
總計 27 9 36
歷年個資使用稽核缺失統計表
項目 2016 2017 2018 2019 2020
個資使用稽核缺失 - 0 2 0 0

■ 顧客資料二次使用

  • 一、本公司 100% 監控顧客個人資料的使用,並確實評估資料二次使用之流程是否具備兼容性,方可進行資料二次使用。相關評估原則如下:
    • (一) 原始目的與二次使用目的關聯性須合理。
    • (二) 顧客之身分、背景是否適宜進行二次使用。
    • (三) 二次使用之顧客資料不可為敏感資料。
    • (四) 二次使用後無法變更、竄改或對原始資料有任何影響之可能。
    • (五) 二次使用將採取適當保護措施,包含去識別化或代碼化。
  • 二、針對顧客資料進行二次使用相關控管機制及結果如下:
    • (一) 資料處理:於遠端桌面進行處理,並採取桌面雲側錄以記錄使用軌跡。
    • (二) 名單輸出:名單輸出前會透過「全行顧客接觸規則架構」進行審查,如黑名單、不接受共同行銷等,以排除不宜行銷之顧客。
個資相關案件 2019 2020
二次使用顧客資料筆數 508萬 718萬
占整體顧客比例 74.7% 76.6%