資訊與網路安全治理架構
為順利推動資訊安全管理等工作,臺銀由副總經理兼任資通(訊)安全長,並設置「資訊安全推行小組」,由資通(訊)安全長擔任召集人,董事會稽核處、風險管理部、法令遵循處、資訊處、資通安全處等13個部處單位主管擔任委員,並以資通安全處為秘書單位,統籌全行資訊安全政策、計畫及資源調度等事項之協調與研議。臺銀「資訊安全推行小組」依據「金融機構資訊系統安全基準」定期召開「電腦作業安全對策會報」,確保資訊作業之安全性。
資訊與網路安全管理
臺銀深知資訊安全對金融產業的重要性,為有效維護資訊資產安全,確保其機密性、完整性及可用性,臺銀訂定《資訊安全政策》與《資訊安全管理細則》等相關資安管理規範,並持續關注外部法令法規變動、主管機關指示及資安業務推動狀況等,評估及修正資安管理規範,確保臺銀落實資訊資產、網路及系統安全管理工作。自2008年起,臺銀已取得ISO 27001資訊安全管理制度驗證,並持續維持資訊安全管理國際驗證有效性。
為提升內部的資訊安全防護能力,臺銀定期舉行資訊安全專業課程教育訓練,以及定期進行資安事件應變演練,強化同仁對資訊治理的意識與職能並提升處理應變能力,以確保公司及個人隱私不被洩漏而受到損害。另外,依據資訊安全管理制度「資訊資產暨風險評鑑管理規範」,臺銀建立系統化的資訊資產風險鑑別流程,以有效鑑別出內部資安風險及系統準備度。2022年辦理2次風險評鑑,共3項高風險事件,皆已完成矯正措施。
資訊資產風險評鑑流程
資安管理系統精進作為
臺銀於2022年通過ISO 20000資訊服務管理制度三年重審及半年驗證、ISO 27001資訊安全管理 制度及BS 10012個人資訊管理制度每半年驗證、ISO 22301營運持續管理制度等管理系統每年驗證,建立資訊安全多重保護網。
資安保護系統/措施
| 系統/措施 | 內容 |
|---|---|
| 防毒軟體 | 部署防毒軟體(包含網頁閘道防毒系統)保護伺服器、工作站與個人電腦之安全,並定期檢視防毒軟體伺服器運作情形,以維持臺銀資通系統及網路之安全。 |
| 網路防火牆 | 建構三層式網路防火牆架構,採用不同品牌的防火牆設備,並依業務性質與伺服器、用戶端等不同角色區隔網段,以保護臺銀內部各電腦主機、網路設備之安全與正常運作。 |
| 電子郵件過濾機制 | 採用郵件安全閘道系統搭配防毒引擎,過濾垃圾郵件攔阻郵件附檔含有已知的病毒、間諜程式、木馬程式、勒索軟體等惡意程式之郵件,並結合沙箱系統及閘道式郵件防護系統進行分析攔阻。 |
| 入侵偵測及防禦機制(Mcafee) | 偵測可能的攻擊事件,並即時阻絕惡意或未經授權的應用程式或連線活動,亦提供部分應用系統弱點零時差攻擊(Zero Attack)之防護機制,以防護惡意程式之異常連線活動。 |
| 應用程式防火牆 | 於應用服務負載平衡器啟用Web應用程式防火牆(WAF)及DDoS防護功能,以防禦注入攻擊(SQL injection)、跨網站腳本攻擊(Cross Site Scripting)及暴力登入(Brute Force login)等外部攻擊行為,保護臺銀對外服務之資通系統網站安全。 |
| 進階持續性威脅攻擊防禦 | 建置內網威脅偵測系統(DDI)及動態沙箱分析系統(DDA),以偵測網路流量上具威脅的網路行為,檢測可疑程式及可疑連線位址是否具威脅,以強化偵測與防護能力。 |
| DDoS防禦系統 | 與電信服務商簽訂頻寬保證合約,以確保遭受DDoS攻擊時,臺銀仍可持續對外提供服務。 |
| 資通安全威脅 偵測管理系統 | 採用端點偵測與回應解決方案,以強化內部設備之端點關聯異常行為偵測,並針對不合理之行為進行排查,俾降低遭受惡意程式入侵風險,提升臺銀多層次縱深防禦機制。 |
資安事件管理及演練
臺銀依據「資通安全管理法」、「資通安全事件通報及應變辦法」及《臺灣銀行股份有限公司資通安全事件通報及應變注意事項》等規範,辦理資通安全事件通報及應變作業,並成立「資通安全事件應變小組(Computer Security Incident ResponseTeam,CSIRT)」,整合跨部門間資通安全事件應變及處理能量,並建立外部合作關係,辦理資通安全情資分享,落實銀行間資安聯防機制。
此外,臺銀訂有《危機通報作業須知》,如發生資通安全事件,各單位可利用行內全球資訊網之危機通報系統,進行資通安全事件線上通報事宜;臺銀2022年無發生重大資安事件。
資安教育訓練
資安訓練課程
臺銀員工每年依據「資通安全責任等級分級辦法」,及「內控內稽辦法」辦理資訊安全訓練。
資安事件應變演練
臺銀每年配合金管會辦理採無預警方式「資通安全事件通報演練」,模擬面臨資安事件案例進行演練,檢視人員辦理事件通報作業的熟悉程度與通報程序正確性,提升處理應變能力。2022年,臺銀於規定時間內完成資通安全事件通報演練,達成演練預期目標,另完成辦理12場資安事件應變程序演練及災害備援演練。
營運持續計畫演練
為強化關鍵資訊基礎建設保護,臺銀以網路銀行暨網路ATM系統、e企合成網等電子金融服務為驗證範圍,於2021年完成ISO 22301:2019轉版驗證,維持強健的資訊作業營運持續管理系統。
依據2022年年度資訊系統備援演練計畫,完成138項資訊系統之持續運作演練,及27項基礎架構系統之備援演練,包含人員職責應變、作業程序、資源調配,並於演練後召開檢討會議以利後續追蹤。
防範惡意電子郵件社交工程演練
臺銀於2022年配合財政部與自行辦理共計8次臺銀「防範惡意電子郵件社交工程演練」,演練目標值訂為惡意電子郵件開啟率低於0.4%、點閱率低於0.4%,複測後符合目標值。針對演練結果具開啟與點閱紀錄之同仁,需填報根因及改善措施,並完成線上評量。同時,持續宣導全行同仁使用電子郵件安全事項,並將演練成果納入經營績效考核評分項目,以深化同仁資安防護意識。