銀行組-數位資訊安全獎 建資安管理儀表板 全行落實

銀行也已設立資深副總層級之CISO資安最高主管,督導全行資安治理、規劃與管理。同時,爲了達成長遠目標與發展方向,也制定資安五年發展藍圖並呈報總經理覈定,每年督導執行成效。其轄下設立資安專責單位,並建立資安人員專業職系發展藍圖,讓資安人員參考路徑圖規劃未來專業能力建構與職涯發展,並透過績效考覈鼓勵資安人員取得資安證照,中信銀資安人員已累計取得96張國際資安專業證照,如CISSP、CISM、CSSLP、CEH等。

資安專責單位每年評估辨識關鍵資安風險情境,例如針對性攻擊、勒索病毒攻擊、DDoS阻斷服務攻擊等情境,再依據攻擊情境路徑設計出縱深防禦體系。爲持續確保縱深防禦有效,已設計10幾項資安關鍵控管有效性指標及風險監控指標,並每季呈報總經理及董事會,以掌握資安風險管控有效性以及曝險情形。同時每年委請獨立第三方進行全面性資安健檢以及資安法規遵循查覈,並將健檢及查覈結果呈報企業資安委員會及董事會。另外,中信銀也已建置資安事件分析平臺SIEM、SOC資安監控中心、告警事件處理標準程序以及F-ISAC情資處理標準程序,訂定各類告警及情資之處理時效。

中信並定期聘請國際白帽駭客團隊實施Redteam攻防演練。同時,爲了能及時辨識資安防禦及偵測的缺口,採用國際領先之以色列公司Cymulate自動化滲透攻擊模擬平臺BAS(Breach Attack Simulation),能夠模擬穿透測試各種層面防禦機制。