國泰金控資訊安全組織圖
資安治理
國泰配合金管會推動之「金融資安行動方案」,持續強化資安防護能力,達成安全、便利、營運不中斷的金融服務。國泰金控與主要子公司皆依法規要求設立資安長或成立資安專責單位,負責規劃、監控及執行資訊安全管理作業,並每年於董事會提報前一年度資安執行情形。而國泰金控設有跨公司之金控資訊安全委員會,掌理集團資訊安全政策之擬議及管理制度之推展,另為有效進行橫向溝通聯繫,並達成金控及子公司整體資訊安全管理的一致性,設有跨公司之金控資訊安全聯繫會,全力投入資安控管及提升品質。
董事會成員
苗豐強是國泰金控的獨立董事之一,擁有加州大學伯克利分校的電機工程學士學位和聖克拉拉大學的工商管理碩士學位。現任聯華實業投資控股董事長,該集團北美新聚思(Synnex Corp.)的Westcon-Comstor是資訊安全及網絡合作的領導廠商。曾任工研院院士,是台灣電腦資訊產業之先驅。 具有IT、資訊安全相關經驗,擅長IT渠道佈局、全球生產、企業物流、合資與戰略聯盟、風險投資等領域的管理能力。
|
強化資安韌性(Resilience)
|
|
措施
|
對應行動說明
|
|
訂定資訊安全政策
|
國泰金控暨各子公司皆訂定「資訊安全政策」,核決層級為董事會,每年定期檢視以確保資訊資產的機密性、完整性、可用性及適法性。
|
|
建立7X24資安監控中心服務機制
|
為即時掌握資安風險並能提早進行因應,國泰金控於2020年建立7X24資安監控中心服務機制,多維度關聯分析資通安全設備、網路設備、作業系統等日誌,即時預警及判斷資安事件、異常連線等行為,並建立處理追蹤機制,落實資安風險管控措施。
|
|
資安事件應變
|
已整合金控集團資源建立跨公司之「資安緊急應變小組」參與應變協助,並透過事件通報以及緊急應變程序,即時掌控本公司及子公司之資安事件狀況。擬定各式情境腳本持續辦理資安事件應變演練,以利同仁熟悉應變流程,若有資安事件發生時能快速應變。藉由外部專業資安顧問及應變團隊,以其業界豐富之資安事件應變經驗,提供適切且專業的建議與緊急應變支援。
|
|
導入ISO 27001:2013
資訊安全管理系統
|
至2022年底止,全集團資訊系統導入ISO 27001:2013之涵蓋率達99.5%,藉此完善資安治理架構與資安管理體系,並強化資安事件的預警、通報與應變流程,提供客戶安全無虞的金融服務。國泰金控於2022年導入ISO 27001:2013框架,預計於2023年完成驗證國泰金控旗下重要子公司皆已通過ISO 27001: 2013國際標準認證,並持續維持證照有效性,各公司證照有效期限如下:
|
銀行
|
2020/11/26 ~ 2023/11/25
|
人壽
|
2019/02/27 ~ 2022/02/26;2022/02/27 ~ 2025/02/26
|
產險
|
2020/01/16 ~ 2023/01/15;
2023/01/16-2025/10/31
|
|
|
|
證券
|
2022/04/11 ~ 2025/04/10
|
期貨
|
2022/04/01 ~ 2025/03/31
|
投信
|
2022/03/28 ~ 2025/03/27
|
投顧
|
2022/07/19 ~ 2025/07/18
|
|