資訊與網路安全治理架構
為順利推動資訊安全管理等工作,臺銀由副總經理兼任資通(訊)安全長,並設置「資訊安全推行小組」,由資通(訊)安全長擔任召集人,董事會稽核處、風險管理部、法令遵循處、資訊處、資通安全處等13個部處單位主管擔任委員,並以資通安全處為秘書單位,統籌全行資訊安全政策、計畫及資源調度等事項之協調與研議。臺銀「資訊安全推行小組」依據「金融機構資訊系統安全基準」定期召開「電腦作業安全對策會報」,確保資訊作業之安全性。
資訊與網路安全管理
為有效維護資訊資產安全,確保其機密性、完整性及可用性,臺銀訂定《資訊安全政策》與《資訊安全管理細則》等相關資安管理規範,並持續關注外部法令法規變動、主管機關指示及資安業務推動狀況等,評估及修正資安管理規範,確保落實資訊資產、網路及系統安全管理工作。自2008年起,臺銀已取得 ISO 27001 資訊安全管理制度驗證,並持續維持資訊安全管理國際驗證有效性。
依據資訊安全管理制度「資訊資產暨風險評鑑管理規範」,臺銀建立系統化的資訊資產風險鑑別流程,以有效鑑別出內部資安風險及系統準備度。2023年辦理2次風險評鑑,共4項高風險事件,皆已完成矯正措施。
資訊資產風險評鑑流程
資安檢測計畫
| 資安檢測計畫 | ||
|---|---|---|
| 系統安全弱點掃描計畫 | 滲透測試計畫 | 電腦系統資訊安全評估計畫 |
資安管理系統精進作為
臺銀於2023年通過 ISO 20000 資訊服務管理制度每半年驗證、ISO 27001 資訊安全管理制度及 BS 10012 個人資訊管理制度三年重審及半年驗證、ISO 22301 營運持續管理制度等管理系統每年驗證,建立資訊安全多重保護網。
資安保護系統/措施
| 系統/措施 | 內容 |
|---|---|
| 防毒軟體 | 部署防毒軟體(包含網頁閘道防毒系統)保護伺服器、工作站與個人電腦之安全,並定期檢視防毒軟體伺服器運作情形,以維持臺銀資通系統及網路之安全。 |
| 網路防火牆 | 建構三層式網路防火牆架構,採用不同品牌的防火牆設備,並依業務性質與伺服器、用戶端等不同角色區隔網段,以保護臺銀內部各電腦主機、網路設備之安全與正常運作。 |
| 電子郵件過濾機制 | 採用郵件安全閘道系統搭配防毒引擎,過濾垃圾郵件攔阻郵件附檔含有已知的病毒、間諜程式、木馬程式、勒索軟體等惡意程式之郵件,並結合沙箱系統及閘道式郵件防護系統進行分析攔阻。 |
| 入侵偵測及防禦機制( McAfee ) | 偵測可能的攻擊事件,並即時阻絕惡意或未經授權的應用程式或連線活動,亦提供部分應用系統弱點零時差攻擊( Zero Attack )之防護機制,以防護惡意程式之異常連線活動。 |
| 應用程式防火牆 | 於應用服務負載平衡器啟用Web應用程式防火牆( WAF )及 DDoS 防護功能,以防禦注入攻擊( SQL injection )、跨網站腳本攻擊( Cross Site Scripting )及暴力登入( Brute Force login )等外部攻擊行為,保護對外服務之資通系統網站安全。 |
| 進階持續性威脅攻擊防禦 | 建置內網威脅偵測系統( DDI )及動態沙箱分析系統( DDA ),以偵測網路流量上具威脅的網路行為,檢測可疑程式及可疑連線位址是否具威脅,以強化偵測與防護能力。 |
| DDoS 防禦系統 | 與電信服務商簽訂頻寬保證合約,以確保遭受 DDoS 攻擊時,仍可持續對外提供服務。 |
| 資通安全威脅 偵測管理系統 | 採用端點偵測與回應解決方案,以強化內部設備之端點關聯異常行為偵測,並針對不合理之行為進行排查,俾降低遭受惡意程式入侵風險,提升臺銀多層次縱深防禦機制。 |
資安教育訓練
臺銀員工每年依據「資通安全責任等級分級辦法」,及「內控內稽辦法」辦理資訊安全訓練。
資安事件管理及演練
臺銀依據「資通安全管理法」、「資通安全事件通報及應變辦法」及《資通安全事件通報及應變注意事項》等規範,辦理資通安全事件通報及應變作業,並成立「資通安全事件應變小組( Computer Security Incident Response Team, CSIRT )」,整合跨部門間資通安全事件應變及處理能量,並建立外部合作關係,辦理資通安全情資分享,落實銀行間資安聯防機制。
此外,臺銀訂有《危機通報作業須知》,如發生資通安全事件,各單位可利用臺銀內網之危機通報系統,進行資通安全事件線上通報事宜;臺銀2023年無發生重大資安事件。
資安事件應變演練
臺銀每年配合金管會辦理採無預警方式「資通安全事件通報演練」,模擬面臨資安事件案例進行演練,檢視人員辦理事件通報作業的熟悉程度與通報程序正確性,提升處理應變能力。2023年,臺銀於規定時間內完成資通安全事件通報演練,達成演練預期目標,另完成辦理12場資安事件應變程序演練及災害備援演練。
營運持續計畫演練
為強化關鍵資訊基礎建設保護,臺銀以網路銀行暨網路 ATM 系統、e企合成網及就學貸款入口網等電子金融服務為驗證範圍,於2021年完成 ISO 22301:2019 轉版驗證,維持強健的資訊作業營運持續管理系統。
依據2023年年度資訊系統備援演練計畫,完成111項資訊系統之持續運作演練及14項基礎架構系統之備援演練,包含人員職責應變、作業程序、資源調配,並於演練後召開檢討會議以利後續追蹤。
防範惡意電子郵件社交工程演練
臺銀於2023年除配合財政部辦理2次演練外,亦自行辦理4次「防範惡意電子郵件社交工程演練」,演練目標值訂為惡意電子郵件開啟率低於0.4%、點閱率低於0.4%,複測後符合目標值。針對演練結果具開啟與點閱紀錄之同仁,需填報根因及改善措施,並完成線上課程與通過課後評量。同時,持續宣導全行同仁使用電子郵件安全事項,並將演練結果納入經營管理績效考核評分項目,以深化同仁資安防護意識。
紅隊演練
依據金管會發布「金融資安行動方案2.0」,鼓勵一定規模金融機構導入駭客思維,定期透過駭客攻擊手法實測資安監控與防護機制之有效性。臺銀於2023年委由第三方外部專業機構辦理紅隊演練,並針對防禦脆弱點完成改善,強化自身資安防護能力。