董事會為本公司資訊安全管理之最高決策單位，本公司訂有「資訊安全政策」由董事會核定，以維護客戶利益及提供最佳服務為基礎，並以「客戶資料保密」、「交易資料正確」及「系統穩定運作」為目標。以為本公司建立資訊安全管理制度及訂定相關資訊安全管理規範、程序等之依據，確保本公司重要資訊資產之機密性、完整性及可用性。

為提升資安議題之決策能量，本公司已設置資訊安全長，統籌資安政策之推動、協調與資源調度。成立資訊安全專責單位，負責資訊安全規劃、監控及執行資訊安全管理作業。每年將資訊安全整體執行情形提報董事會，以強化資安監理。

為統籌資訊安全事項之管理，本公司設置跨部門之「資訊安全小組」，由總經理指派召集人及副召集人，每月召開資訊安全小組會議及管理審查會議，2023年共召開13次會議，就資訊安全管理執行情形及資訊安全相關事項進行研議，以提升整體資安防護能量。

二、具體管理方案與投入資源

• 導入國際管理標準及取得驗證

為持續對資訊安全精進治理制度，本公司之資訊作業除符合國內外資訊安全法令法規外，並已導入ISO 27001資訊安全管理制度(ISMS)之標準，其後賡續辦理每年續審及每三年重審，2023年已通過英國標準協會(BSI)之驗證，證書持續有效，並以PDCA(Plan-Do-Check-Act)之循環式品質管理架構，持續強化資訊安全之監控與管理。

另為增進本公司之營運韌性與營運持續管理量能，本公司於2022年導入ISO 22301營運持續管理制度(BCMS)，其後賡續辦理每年續審及每三年重審，2023年已通過英國標準協會(BSI)之驗證，證書持續有效，並以維護客戶利益及提供最佳服務為基礎，維持本公司金融業務穩定為目標，結合企業營運與資訊系統之各項資源，確保在任何情況下能維持營運水準，降低營運中斷風險，使組織具備更強的回復韌性。

• 資訊安全監控防護機制

建立多層次縱深防禦架構，設置包括網路防火牆、應用程式防火牆、入侵防禦系統、垃圾郵件過濾、郵件持續進階威脅防護、上網行為管理、防毒系統、資訊安全事件管理與端點防護等系統，以確保資訊系統安全。亦積極導入各項自動化偵測與監控系統，不論外部威脅之即時監控、阻擋，或內部環境之資料存取、作業行為監控及設備區隔均加以管控，以綿密的分層隔離過濾機制防範不法或惡意行為，以因應資通安全風險威脅，提升整體資安防禦能力。

整合人員、流程與技術，並即時監控資訊安全威脅，掌握資訊安全狀態，本公司已建立資安監控中心(Security Operation Center, SOC)，即時有效關聯與分析整體資安威脅，提升管理與應變處理能力，確保交易安全及營運維持。

為強化分析能力，本公司已導入資訊安全事件管理平台 (Security Information and Event Management, SIEM)，透過平台偵測內部異常使用行為及外部攻擊等資訊安全事件，並結合金融資安資訊分享與分析中心 (Financial Information Sharing and Analysis Center, F-ISAC) 及外部資安情資資訊，當發現潛在風險威脅時，依異常事件進行分析處理，以達快速偵測與回應攻擊之防禦能量與應變能力，以確保資訊安全防護監控之有效性。

• 資訊安全治理成熟度評估

本公司為了解本身資訊安全治理強度，已於2022年完成資訊安全治理成熟度評估，評估結果已符合現有固有風險下之資安治理成熟度要求，於2023年持續辦理優化計畫提升資訊安全治理成熟度。

• 營運持續演練

本公司每年持續辦理同、異地備援演練，演練方式以實際個案進行，演練範圍納入分行及業務單位參與實際對外業務運作驗證。

• 資訊安全教育訓練

本公司每年持續辦理一般同仁3個小時資訊安全教育訓練、資安專責人員15小時資訊安全專業訓練課程，以提升資訊安全能力。另定期辦理電子郵件社交工程演練與發行資安月刊，提升全體同仁資安意識。

• 國際資訊安全證照

本公司資安專責人員持續積極考取國際資訊安全證照，至2023年底共取得持有有效證照38張。

本公司為持續強化資訊安全防護與管理量能，於2023年度已投入全部資訊費用近27%以作為提升資訊安全之經費。

本公司明定資訊安全事件通報與處理程序，依其事件等級進行對應層級之通報，於目標處理時間內排除及解決該事件，並於事件處理完畢後進行分析，以預防事件重複發生。

最近年度及截至年報刊印日止，無重大資通安全事件。