資訊安全組織與機制

國泰金控設有資訊安全委員會，掌理集團資訊安全政策之擬議及管理制度之推展，國泰金控、國泰人壽、國泰世華銀行及國泰產險皆設有獨立性之資安專責單位及主管，負責規劃、監控及執行資訊安全管理作業，並每年皆於第一季董事會提報前一年度資安執行情形。國泰金控設有跨公司之金控資訊安全聯繫會以及金控資安事件緊急應變小組，全力投入資安控管及提升品質。

國泰金控資訊安全組織圖

國泰金控暨各子公司皆有訂定「資訊安全政策」，其核決層級為董事會，透過每年定期檢視，確保資訊資產的機密性、完整性、可用性及適法性。國泰金控主要子公司國泰人壽、國泰世華銀行及國泰產險皆透過「ISO 27001:2013資訊安全驗證」國際標準認證，至2019年底止，全集團資訊系統導入 ISO 27001:2013之涵蓋率達98.44%，藉此完善資安治理架構與資安管理體系，並強化資安事件的預警、通報與應變流程，提供客戶安全無虞的金融服務。

國泰金控重視資安及個資之保護，為提升同仁對資訊安全之認知，定期舉行教育訓練及各式宣導活動，以提升人員資訊安全意識，保護資訊資產免受任何因素之干擾、破壞、入侵、或任何不利之行為與企圖，確實落實資安控管。國泰金控暨各子公司每年皆對全體員工實施「資訊安全教育訓練」達3小時，各公司2019年完訓率皆達100%，另資訊安全專責單位人員每年至少接受15小時以上專業資訊安全訓練。

此外，國泰金控暨子公司設置「集團資訊與威脅情資共享機制」，每月不定期由國泰金控彙整並產出資安新聞報，提供國泰金控暨子公司資安單位使用，提升同仁資安意識並強化資安事件發生時的敏感度。

國泰金控暨子公司於發現網路攻擊及惡意程式入侵等資安事件時，將啟動「資安事件通報暨緊急應變機制」，各公司之緊急資安事件應變最高層級皆為總經理，依循「國泰金控暨子公司重大資訊安全事件通報暨緊急應變管理要點」辦理，並統一由國泰金控彙整各公司重大資安事件呈報資安委員會。

國泰金控暨子公司皆針對重要主機或設備，定期進行系統弱點掃描分析並持續改善，以達到降低資安風險之目的。為強化資安防護能力，國泰人壽及國泰世華銀行每年請廠商執行白帽駭客滲透測試，以各式駭客手法分析可能遭遇駭客攻擊的漏洞與情境，包含連線狀態管理、存取權限測試、權限提升與跳脫等，針對檢測結果中的高風險項目均會進行改善，透過強化措施持續提升資安防護品質，針對檢測結果中的重大風險及高風險項目改善完成率均達100%。此外，2019年國泰金控暨各子公司皆由外部專業廠商執行電腦系統安全評估，包含資訊架構檢視、網路活動檢視、安全設定檢視、合規檢視等，據此追蹤系統安全狀況並實行改善措施，並針對其中重大風險及高風險項目改善完成率均達100%，以確保資安無虞。