資訊安全風險管理架構

1. 本行具備完整之資訊與網路安全治理架構，董事會為監督集團資訊安全相關策略之最高權責單位，由具資訊安全背景之董事負責監督集團之資訊安全策略；2018年6月成立資訊安全處，作為管理資訊安全之專責單位，負責掌理資訊安全推動及治理、資訊安全風險監督及管理等事項，由具備資訊安全專業背景的副總經理擔任處長；又成立資訊安全執行小組，委員由各督導主管、風險管理處處長、法令遵循處處長、行政處處長、作業處處長、人力資源處處長、資訊處處長或渠等指定之人等擔任委員，並邀請稽核處指派人員列席。資訊安全執行小組任務為審議資訊安全政策及辦法、檢視資訊安全管理制度、提升資訊安全意識及研議相關教育訓練計畫，以及評估及議定資訊安全之相關基礎設施。
2. 為因應《金融控股公司及銀行業內部控制及稽核制度實施辦法》，本行於2022年由董事會通過增設資訊安全長，由副總經理層級擔任；將年度資訊安全整體執行情形納入內部控制制度聲明書，並由董事長、總經理、總稽核、資訊安全長、總機構法令遵循主管聯名出具內部控制制度聲明書。

3. 本行委聘資安諮詢顧問，提供資訊安全管理之專業觀點與建議，以強化資安治理量能。

具體管理方案及投入資訊安全管理之資源

1. 在資訊安全治理上，除定期參與金控及其各子公司之資訊安全交流會議及資訊安全委員會外，每半年向董事會報告資訊安全執行現況，以利董事參與及指導資訊安全規劃決策。本行為強化同仁資訊安全意識，塑造企業資訊安全文化，資訊安全專責人員每年需參與15小時以上之專業課程訓練或職能訓練，其他員工每年則需接受3小時以上宣導課程。
2. 為防止與偵測未經授權而使用、竊取、破壞資訊系統，或資訊安全與個人資料防護措施不足導致資訊系統被駭、個資外洩等事件發生而影響公司信譽，本行資訊相關單位(含資安單位)所提供之系統管理、應用軟體開發、委外管理、資料庫管理、網路管理、資訊安全管理和相關基礎設施維運活動等，皆符合ISO27001之規範，並持續維持驗證有效性，驗證效期至2025/10/31。
3. 本行將持續提升資訊安全防護機制及個資保護管理強度，精進項目包括進階持續性威脅(APT)防護系統、防禦DDoS攻擊、電子郵件內容過濾、惡意軟體偵測、網站及APP弱點掃描及安全檢測；同時也針對高風險系統(如ATM、SWIFT系統)，進行架構隔離及系統防護強化。
4. 本行已加入金融資安資訊分享與分析中心(F-ISAC)及台灣電腦網路危機處理暨協調中心(TWCERT/CC)，提升資安聯防功效。
5. 資安專責單位人員20人，資訊安全專責人員每年接受專業資安課程，並鼓勵及補助同仁取得國際資安證照，2024年本行資訊安全專責人員擁有有效資安證照共43張，占總資產比率1.55%。
6. 本行已導入ISO 22301營運持續管理系統，部分系統定期取得ISO 22301驗證，目前證書之有效期為2023年2月9日至2026年2月9日。
7. 2024年度投入資安經費(包括軟硬體授權相關費用、人員訓練費用)占全部資訊預算費用之比率為8.2%(小數點後一位，四捨五入)。
8. 本行於2024年度無發生與資訊設備與網路系統相關之重大資安事件。
9. 因資訊安全保險實屬新興險種，涉及資訊安全等級檢測機構及理賠條件等相關配套，本行持續評估中。
10. 本行於2024年金管會金融資安攻防演練活動，獲頒「表現優異」獎項。