資訊安全風險管理架構
  |
隨著新興科技日新月異,資訊防護的挑戰亦隨之升高。行動網路與裝置、物聯網、雲端服務、關鍵基礎設施等的資訊安全風險居高不下。元大期貨面臨資訊安全挑戰與衝擊,除已鈞請 總經理核示資訊安全政策外,並已著手建立最適之資訊安全治理模式,共分為「管理層」、「業務層」、「維運層」等三大層面加以建構,以盼成為業界標竿:
管理層:
為明確規範本公司資訊安全責任,確保資訊安全管理制度之建置與落實,鈞請 許國村總經理指派賴建岏副總經理擔任召集人,由資訊部、法令遵循部、風險管理部、稽核部及召集人指派之其他人員為主要成員,組成資訊安全推行小組;以實際領導作為,宣示保護資訊安全之決心,並提供維持資訊安全所必要之資源。
資訊安全推行小組將負責推動、協調及主要權責範圍包括下列各項:
一、推動及檢討資訊安全相關事宜。
二、推動及審視各項資訊安全控管事項。
三、協調各部門資訊安全責任。
四、其他資訊安全相關事項之討論。
業務層:
藉由管理層全面投入整體資訊安全制度之規劃、設計、建立與維持,足以鑑別元大期貨與關鍵核心業務相關之組成,同時間參考主管機關、期貨交易所、期貨商公會等之卓見,及委託第三方顧問進行資訊安全風險診斷,以確保可持續性地關注、審視公司或業界所面臨之資訊安全風險。
此外,元大期貨已於2020年12月導入ISO 27001資訊安全管理制度(ISMS),並通過英國標準協會(BSI)之驗證,以PDCA(Plan-Do-Check-Act)之循環品質管理架構持續強化資訊安全之監控與管理,以確保資訊安全防護制度達成利益相關團體(主管機關、客戶、股東、董事會)的期望。本公司目前ISO27001:2022證書之有效期為2023年12月23日至2026年12月22日。
維運層:
本公司依照資訊安全政策規劃發展之維運作業,主要以四大面向為主軸進行控管:「存取控制」、「作業安全」、「備份安全」及「安全更新」。據此政策,本公司聘僱資安專責人員,搭配內控內稽制度,結合資訊安全項目至自行查核項目中,定期檢視資訊安全項目以達到優化作業流程、改善控管程序之目的。
除制定資訊安全政策並向全公司進行宣達外,元大期貨並已訂定9大資訊安全管理作業要點,並已著手各項資訊安全國際標準看齊,設立具體且完整的文件管理架構,除符合主管機關、國際標準等要求外,更期許資訊安全治理成熟度更上層樓。
個資保護
為確保本公司個人資料之蒐集、處理及利用均妥善管理,並加強個人資料之安全維護,元大期貨依據「個人資料保護法」、「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」及主管機關相關法令規範,業制定個人資料保護政策、個人資料管理辦法等規章,以建立個人資料保護制度並於各項業務落實執行,茲揭示本公司之個人資料保護管理措施如下:
(一) 本公司為符合相關法令規範,並建立完善之個人資料保護制度,確保本公司個人資料之蒐集、處理及利用均妥善辦理,制定本公司個人資料保護政策。
(二)設立「個人資料保護小組」,以有效落實及整合個人資料保護相關事宜
依據「個人資料管理辦法」設立個資保護小組,並由總經理指定副總經理級以上主管擔任召集人及副召集人,及由各部室指派代表擔任小組成員,並視業務執行情形召開會議討論個資保護事宜。個資保護小組每年至少進行一次個人資料保護管理審查,審查結果併同年度法令遵循制度執行情形提報董事會。
(三) 訂有客戶資料保密措施,並建立客戶就其個人資料行使法定權利之機制,以保障當事人之隱私及權利
本公司依據金融控股公司法、金融控股公司子公司間共同行銷管理辦法及主管機關相關法令規範,訂定元大金融控股股份有限公司暨子公司客戶資料保密措施並於官網揭露,明示元大金控及子公司除該保密措施所定情形或經客戶書面同意外,不會向第三人揭露客戶個人資料;另亦於官網公告之「隱私權保護聲明」,說明個人資料之蒐集政策、儲存及保護措施、行使查詢、修正及刪除之權利等規範,並提供電子郵件信箱作為提出意見之管道,以持續落實個人資料之保護與隱私權保障。
本公司114年個人資料保護教育訓練於114年8月15日辦理完成,共計398人,每人教育訓練時數至少40分鐘。
