資訊及交易安全
資訊安全管理機制
台新金控訂定《資訊安全政策》與《網路安全管理要點》等資安規範,作為資安防護持續有效的指導原則,並設立「資訊安全委員會」,由具資訊/ 資安專業之金控董事、金控總經理、金控資安長、銀行總經理及一級主管擔任委員,每季召開會議,討論資訊安全相關議題及改善措施;每年上半年向董事會成員報告整體資安治理情形與年度資安治理規劃,下半年報告資安計畫執行成效,亦於上下半年向董事會成員宣達資安趨勢及取得董事會成員提供之資安治理方針。
資訊安全部門係由各專業領域之人員,專責規劃與監督台新銀行之資訊安全方針與執行,同時,為健全組織營運管理之角度規劃與管理資訊安全風險,並提升整體資安維護能量,由各單位資訊安全窗口組成資訊安全小組,資訊安全部門亦負責資訊安全管理體系、相關內外部議題,以及利害關係人之要求,並會同相關部門進行議題之評估與管控,以風險角度隨時檢視內外部環境威脅,致力打造符合金融科技發展趨勢的成熟資安體系。
台新目前主要子公司與營運業務皆已通過相關國際資安管理制度認證,包含銀行、證券及人壽子公司皆已取得ISO 27001 資訊安全管理系統國際標準認證,打造安全可信賴的資訊環境,保障企業資產與利害關係人權益。此外,為建立完善資安防護鏈,透過各種管道蒐集全球資訊安全相關情資,如駭客手法與最新威脅攻擊趨勢等,同時審視內部之防護措施是否能即時偵測與因應,定期以駭客思維與技術進行攻防演練、社交工程演練等,發現潛藏風險並降低攻擊面及曝險,提昇整體資安防護等級,並以國際資安框架(FFIEC /CAT) 進行資安治理成熟度評估。已投保資訊安全保險,預防損失擴大並降低因系統發生資安事件所造成之損失,保障企業資產與權益。
安全防護更升級
目前資安風險納入ISO / IEC 27001 中的風險鑑識內執行,風險評鑑程序會蒐集資訊安全管理體系之內外部議題或利害關係人之要求,並會同資訊服務處各相關部門進行議題評估,判斷其影響及所屬之風險。
鑑於全世界不斷發生資安威脅與攻擊,台新銀行遵守本國與各海外分行當地之法令要求,定期檢視並呈報當地主管機關, 2022 年並無發生任何須呈報當地金融主管機關之資安或重大偶發事件,亦未有相關法遵缺失,過去五年也未發生影響客戶之重大資安事件,例如系統遭駭客入侵導致營運衝擊與業務影響、因網路釣魚造成客戶個人資料或機敏資料外洩等。此外,台新網路安全管理機制全年24小時無休,杜絕駭客入侵攻擊。
強化交易安全機制
因應近年駭客大量運用網路詐騙 (Internet Fraud) 及偽冒行動應用程式 (Fake App) , 進行水坑式攻擊 (Watering Hole) 或魚叉式網路釣魚攻擊 (SpearPhishing),及勒索病毒攻擊(Ransomware),造成全球銀行客戶權益嚴重受損,台新銀行特別針對資訊系統、內外部網路環境與交易網站等已完成多項資安防護建置,並已於全行佈建資訊安全監控中心(Security Operation Center,SOC),以優化台新銀行之資訊安全防護網,未來將持續強化資訊安全,保障客戶交易安全。
-
全球數位企金網
-
強化多項安全認證及傳輸加密機制,確保資料受到保護。
-
行動裝置
-
透過生物特徵/帳號密碼和一次性密碼驗證,提供快速便利且安全的近端感應式及遠端信用卡交易方式。
-
電子化通路
-
採取行動裝置綁定、即時消費簡訊、交易偵測系統等交易驗證機制。
-
交易網站及APP
-
導入反釣魚詐騙偵測服務,減少大量偽冒網站及APP,以保護消費者交易安全。
資安宣導及外部管理
1. 資安一般教育訓練及宣導、資安專業教育訓練及社交工程演練
-
資安一般教育訓練及宣導
- 全體銀行員工每年接受至少3小時「資訊安全認知宣導」課程及評量,內容包含法令規定、社交工程宣導、基本資安意識、客戶個資保護、資安事件案例剖析等,增進正確資安觀念。2022年涵蓋率及完訓率皆為100 %。
- 資訊安全部依資安時事,不定期發出資安宣導通告給全體銀行員工,持續強化資安意識。
-
資安專業教育訓練
- 資安專責單位全體人員,依據各自業務所需,已完成至少15小時以上外部資安專業教育訓練,以加強資安專業能力。
- 每年邀各單位資安窗口參加委由外部資安專業人員教授之資安專業訓練課程,強化各單位資安知識。
-
社交工程演練
- 全體銀行員工每年不定期執行4次全行社交工程演練如模擬釣魚郵件之測試,並針對測試結果加以分析,找出資安意識較不足之員工,加強宣導與教育訓練,以降低潛在弱點威脅之發生風險。
2. 外部聯網供應商管理
台新銀行訂有《資訊委外管理指導書》,規範資訊委外事項之作業標準程序與規定,涵蓋電腦軟硬體委外代管、資訊作業及資訊服務委外處理等項目。為確保委外作業的安全性及可行性,銀行專案負責人及資訊處相關人員共同進行完整而嚴謹的廠商評估,並就選定之廠商進行存取風險評估,視情況進行徵信或信用審查,以確認內部之作業品質及安全控制銀行及客戶權益。
3. 近三年本行無資安違反情形