資訊安全組織與機制

國泰配合金管會推動之「金融資安行動方案」，持續強化資安防護能力，達成安全、便利、營運不中斷的金融服務。國泰金控設有資訊安全委員會，掌理集團資訊安全政策之擬議及管理制度之推展，國泰金控、國泰人壽、國泰世華銀行及國泰產險皆設有獨立性之資安專責單位及主管，負責規劃、監控及執行資訊安全管理作業，並每年於董事會提報前一年度資安執行情形。

國泰金控資訊安全組織圖

國泰金控設有跨公司之金控資訊安全聯繫會以及金控資安事件緊急應變小組，全力投入資安控管及提升品質。此外，為即時掌握資安風險並能提早進行因應，國泰金控於2020年建立7X24資安監控中心(Security Operation Center)服務機制，並持續強化，且藉由外部專業資安顧問及應變團隊，以其業界豐富之資安事件應變經驗，提供適切且專業的建議與緊急應變支援。

國泰金控暨各子公司皆有訂定「資訊安全政策」，核決層級為董事會，透過每年定期檢視，確保資訊資產的機密性、完整性、可用性及適法性。國泰金控主要子公司國泰人壽、國泰世華銀行及國泰產險皆通過「ISO 27001:2013資訊安全管理系統」國際標準認證，至2020年底止，全集團資訊系統導入ISO 27001:2013之涵蓋率達96.5%，國泰金控亦將於2021年起推動國泰證券、國泰期貨、國泰投信、國泰投顧導入ISO 27001:2013框架，藉此完善資安治理架構與資安管理體系，並強化資安事件的預警、通報與應變流程，提供客戶安全無虞的金融服務。

為確保委外作業的資訊安全，包含銀行、人壽、產險、證券、期貨及投信等在內的主要子公司皆會配合業務單位，以定期對處理客戶資訊之受委託機構進行查核，確認其資安風險及合規性，藉此強化數據安全並降低數據外洩之風險。 

國泰金控重視資訊安全，定期舉行教育訓練及多元的宣導管道，提升員工資訊安全意識，確實落實資安控管。國泰金控暨各子公司每年皆對全體員工實施「資訊安全教育訓練」達3小時，各公司2020年完訓率皆達100%，另資訊安全專責單位人員每年至少接受15小時以上專業資訊安全訓練。
此外，國泰金控暨子公司設置「集團資訊與威脅情資共享機制」，包含每月不定期國泰金控彙整並產出資安新聞報，提供國泰金控及各子公司資安單位使用，提升同仁資安意識並強化資安事件發生時的敏感度。

國泰金控暨子公司於發現網路攻擊及惡意程式入侵等資安事件時，將啟動「資安事件通報暨緊急應變機制」，各公司之緊急資安事件應變最高層級皆為總經理，依循「國泰金控暨子公司重大資訊安全事件通報暨緊急應變管理要點」辦理，並統一由國泰金控彙整各公司重大資安事件呈報資安委員會。若涉及客戶權益事件，則依本集團「重大事件處理辦法」及「媒體訊息揭露作業辦法」辦理，向客戶說明處理進展。 
為強化資安防護能力，國泰人壽及國泰世華銀行每年請廠商執行白帽駭客滲透測試，以各式駭客手法分析可能遭遇駭客攻擊的漏洞與情境，包含連線狀態管理、存取權限測試、權限提升與跳脫等，針對檢測結果中的高風險項目均會進行改善，透過強化措施持續提升資安防護品質，針對檢測結果中的重大風險及高風險項目改善完成率均達100%。
此外，國泰世華銀行、人壽、產險、證券、期貨、投信及投顧等在內的主要子公司皆已訂定有外部情資處理作業流程，定期收集包括F-ISAC在內的外部威脅情資，並依據情資內容進行風險評估，由資安人員確認與追蹤各項情資處理結果，藉此強化外部資安威脅防護。 
此外，2020年國泰金控暨各子公司皆由外部專業廠商執行電腦系統資訊安全評估，包含資訊架構檢視、網路活動檢測、弱點掃描與滲透測試、安全設定檢視、合規檢視等，據此追蹤系統安全狀況並實行改善措施，並針對其中重大風險及高風險項目改善完成率均達100%，以確保資安無虞。