台新金控_CSR報告書_2019

39 永續治理 交易安全機制 資安一般教育訓練及宣導、資安專業教育訓練及社交工程演練 外部聯網供應商管理 台新銀行訂有《資訊委外管理指導書》，規範資訊委外事項之作業標 準程序與規定，涵蓋電腦軟硬體委外代管、資訊作業及資訊服務委外 處理等項目。為確保委外作業的安全性及可行性，銀行專案負責人及 資訊處相關人員共同進行完整而嚴謹的廠商評估，並就選定之廠商進 行存取風險評估，視情況進行徵信或信用審查，以確認內部之作業品質 及安全控制銀行及客戶權益。 資安宣導及外部管理 強化多項安全認證及傳輸 加密機制，確保資料受到 保護。 全球數位企金網 電子化通路 交易網站及APP 行動裝置 透過生物特徵／帳號密碼和一 次性密碼驗證，提供快速便利 且安全的近端感應式及遠端信 用卡交易方式。 採取行動裝置綁定、即時 消費簡訊、交易偵測系統 等交易驗證機制。 導入反釣魚詐騙偵測服務，減 少大量偽冒網站及APP，以保 護消費者交易安全。 全體銀行員工每年接受至 少3小時「資訊安全認知 宣導」課程及評量，內容 包含法令規定、社交工程 宣導、基本資安意識、客 戶個資保護、資安事件案 例剖析等，增進正確資安 觀念。2019年涵蓋率及完 訓率皆為100%。 資訊安全部依資安時事， 不定期發出資安宣導通告 給全體銀行員工，持續強 化資安意識。 資安一般教育訓練及宣導 資安專責單位全體人員， 依據各自業務所需，已完 成至少15小時以上外部資 安專業教育訓練，以加強 資安專業能力 每年邀各單位資安窗口參 加委由外部資安專業人員 教授之資安專業訓練課 程，強化各單位資安知 識。 資安專業教育訓練 資訊委外 管理評估 全體銀行員工每年不定期 執行4-6次全行社交工程 演練如模擬釣魚郵件之測 試，並針對測試結果加以 分析，找出資安意識較不 足之員工，加強宣導與教 育訓練，以降低潛在弱點 威脅之發生風險。 社交工程演練 3h 15h 4-6 次 • 採取適當之安控措施，確保資料之安全，以維護客戶之權益。 • 採行適當的措施保護帳務性交易、紀錄及資訊資料的完整性。 • 依資料之敏感程度及其傳送與儲存方式採行適當措施，以維護主要 資料之機密性。 • 確保承包之資訊系統容量之可用性及建立一套有效之業務復原及災 變應變計畫，維護資訊系統及服務之持續性。 • 建立緊急事件處理程序，以確保資訊系統及服務之正常運作。 重大資訊作業委外廠商條件 市場評價 技術能力 委外規格滿足度 保密作業 之配合度 保密作業 之配合度