完備資安制度 建構聯防體系

元大投信推動投資行爲數位化。圖／元大投信提供

元大投信爲落實資訊安全管理執行及監督運作成果，設立「資訊安全小組」綜理資訊安全管理制度落實和監督運作狀況，且每年定期召開資訊安全及管理審查會議，並將資訊安全執行概況定期陳報董事會，由董事會爲最高決策單位，督導各項制度執行，以達成資訊安全管理目標。

爲加強金融資安管理，持續延請外部資安顧問進行資安健診，依建議擬訂計劃完成強化改善。另爲遵循主管機關「金融資安行動方案」，率先在去年12月設置資訊安全長，並於今年6月股東常會派任具資安背景之董事加入董事會，以強化資訊安全監理。因此元大投信以完備的資安制度與資安治理獲得這次數位資安獎的肯定。

元大投信於100年導入ISO 27001資訊安全管理制度（ISMS）標準，並通過英國標準協會（BSI）之認證，依規定每半年辦理並通過續審，證書最近更新日期2022年5月30日。除依既定時程安排建置EDR、SIEM系統之外，值日人員每日檢視系統自動產出之資安報表，說明異常紀錄並陳送籤核，每月彙總產出資安月報，觀察資安行爲趨勢並檢討因應措施。同時持續鼓勵資安同仁取得國際資安證照，包含管理類與技術類，目前已有四位同仁取得ISO主導稽覈員證照。

在精實資安韌性方面，元大投信訂定「資訊化業務營運持續管理作業手冊」以確保營運衝擊分析、營運持續規劃管理與演練成效，提供公司關鍵業務能持續運作，並降低受到重大故障或災害之影響。

展望未來，元大投信預計於2023年底前導入ISO-22301營運持續管理並取得驗證，預計於2022年底前建置超過30公里之異地備援機房，同時規劃將現行核心系統於同地建立AA模式，異地建立AS模式。

另外，元大投信加入由金管會成立「金融資安資訊分享與分析中心（F-ISAC）」，成爲該中心會員，配合主管機關腳步，揮別單打獨鬥，協力建構金融資安聯防體系，配合定期登錄分享情資，並分析評估與採取適當之因應措施等，且訂定「資通安全事件通報應變作業注意事項」與「資訊安全事件管理作業手冊」，並據之建置資安事件應變體系，且將於111年度建置EDR端點偵測防護系統與SIEM資訊安全管理平臺，以加強資安事件監控與管理。