很抱歉,本網頁使用script可是您的瀏覽器並不支援,而本站使用的script沒有影響您閱讀本站網頁的資訊,請您繼續瀏覽,謝謝!

資訊安全

公司治理 公司治理

資訊與網路安全治理架構

為順利推動資訊安全管理等工作,臺銀由副總經理兼任資通(訊)安全長,並設置「資訊安全推行小組」,由資通(訊)安全長擔任召集人,董事會稽核處、風險管理部、法令遵循處、資訊處、資通安全處等13個部處單位主管擔任委員,並以資通安全處為秘書單位,統籌全行資訊安全政策、計畫及資源調度等事項之協調與研議。臺銀「資訊安全推行小組」依據「金融機構資訊系統安全基準」定期召開「電腦作業安全對策會報」,確保資訊作業之安全性。


資訊與網路安全管理

為有效維護資訊資產安全,確保其機密性、完整性及可用性,臺銀訂定《資訊安全政策》與《資訊安全管理細則》等相關資安管理規範,並持續關注外部法令法規變動、主管機關指示及資安業務推動狀況等,評估及修正資安管理規範,確保落實資訊資產、網路及系統安全管理工作。自2008年起,臺銀已取得 ISO 27001 資訊安全管理制度驗證,並持續維持資訊安全管理國際驗證有效性。

依據資訊安全管理制度「資訊資產暨風險評鑑管理規範」,臺銀建立系統化的資訊資產風險鑑別流程,以有效鑑別出內部資安風險及系統準備度。2023年辦理2次風險評鑑,共4項高風險事件,皆已完成矯正措施。

資訊資產風險評鑑流程

資訊資產風險評鑑流程
資安檢測計畫
資安檢測計畫
系統安全弱點掃描計畫 滲透測試計畫 電腦系統資訊安全評估計畫

資安管理系統精進作為

臺銀於2023年通過 ISO 20000 資訊服務管理制度每半年驗證、ISO 27001 資訊安全管理制度及 BS 10012 個人資訊管理制度三年重審及半年驗證、ISO 22301 營運持續管理制度等管理系統每年驗證,建立資訊安全多重保護網。

資安保護系統/措施
系統/措施 內容
防毒軟體 部署防毒軟體(包含網頁閘道防毒系統)保護伺服器、工作站與個人電腦之安全,並定期檢視防毒軟體伺服器運作情形,以維持臺銀資通系統及網路之安全。
網路防火牆 建構三層式網路防火牆架構,採用不同品牌的防火牆設備,並依業務性質與伺服器、用戶端等不同角色區隔網段,以保護臺銀內部各電腦主機、網路設備之安全與正常運作。
電子郵件過濾機制 採用郵件安全閘道系統搭配防毒引擎,過濾垃圾郵件攔阻郵件附檔含有已知的病毒、間諜程式、木馬程式、勒索軟體等惡意程式之郵件,並結合沙箱系統及閘道式郵件防護系統進行分析攔阻。
入侵偵測及防禦機制( McAfee ) 偵測可能的攻擊事件,並即時阻絕惡意或未經授權的應用程式或連線活動,亦提供部分應用系統弱點零時差攻擊( Zero Attack )之防護機制,以防護惡意程式之異常連線活動。
應用程式防火牆 於應用服務負載平衡器啟用Web應用程式防火牆( WAF )及 DDoS 防護功能,以防禦注入攻擊( SQL injection )、跨網站腳本攻擊( Cross Site Scripting )及暴力登入( Brute Force login )等外部攻擊行為,保護對外服務之資通系統網站安全。
進階持續性威脅攻擊防禦 建置內網威脅偵測系統( DDI )及動態沙箱分析系統( DDA ),以偵測網路流量上具威脅的網路行為,檢測可疑程式及可疑連線位址是否具威脅,以強化偵測與防護能力。
DDoS 防禦系統 與電信服務商簽訂頻寬保證合約,以確保遭受 DDoS 攻擊時,仍可持續對外提供服務。
資通安全威脅 偵測管理系統 採用端點偵測與回應解決方案,以強化內部設備之端點關聯異常行為偵測,並針對不合理之行為進行排查,俾降低遭受惡意程式入侵風險,提升臺銀多層次縱深防禦機制。
資安教育訓練

臺銀員工每年依據「資通安全責任等級分級辦法」,及「內控內稽辦法」辦理資訊安全訓練。

資安事件管理及演練

臺銀依據「資通安全管理法」、「資通安全事件通報及應變辦法」及《資通安全事件通報及應變注意事項》等規範,辦理資通安全事件通報及應變作業,並成立「資通安全事件應變小組( Computer Security Incident Response Team, CSIRT )」,整合跨部門間資通安全事件應變及處理能量,並建立外部合作關係,辦理資通安全情資分享,落實銀行間資安聯防機制。

此外,臺銀訂有《危機通報作業須知》,如發生資通安全事件,各單位可利用臺銀內網之危機通報系統,進行資通安全事件線上通報事宜;臺銀2023年無發生重大資安事件。

資安事件應變演練

臺銀每年配合金管會辦理採無預警方式「資通安全事件通報演練」,模擬面臨資安事件案例進行演練,檢視人員辦理事件通報作業的熟悉程度與通報程序正確性,提升處理應變能力。2023年,臺銀於規定時間內完成資通安全事件通報演練,達成演練預期目標,另完成辦理12場資安事件應變程序演練及災害備援演練。

營運持續計畫演練

為強化關鍵資訊基礎建設保護,臺銀以網路銀行暨網路 ATM 系統、e企合成網及就學貸款入口網等電子金融服務為驗證範圍,於2021年完成 ISO 22301:2019 轉版驗證,維持強健的資訊作業營運持續管理系統。

依據2023年年度資訊系統備援演練計畫,完成111項資訊系統之持續運作演練及14項基礎架構系統之備援演練,包含人員職責應變、作業程序、資源調配,並於演練後召開檢討會議以利後續追蹤。

防範惡意電子郵件社交工程演練

臺銀於2023年除配合財政部辦理2次演練外,亦自行辦理4次「防範惡意電子郵件社交工程演練」,演練目標值訂為惡意電子郵件開啟率低於0.4%、點閱率低於0.4%,複測後符合目標值。針對演練結果具開啟與點閱紀錄之同仁,需填報根因及改善措施,並完成線上課程與通過課後評量。同時,持續宣導全行同仁使用電子郵件安全事項,並將演練結果納入經營管理績效考核評分項目,以深化同仁資安防護意識。

紅隊演練

依據金管會發布「金融資安行動方案2.0」,鼓勵一定規模金融機構導入駭客思維,定期透過駭客攻擊手法實測資安監控與防護機制之有效性。臺銀於2023年委由第三方外部專業機構辦理紅隊演練,並針對防禦脆弱點完成改善,強化自身資安防護能力。