資訊安全

對於科技發展所帶來的網路威脅與風險變化，持續檢視相關規範與措施之妥適性，建立完整的網路及電腦安全防護系統，每年不定期進行系統弱點掃描及修補、執行滲透測試、社交工程演練、資通安全教育訓練等，並透過導入 ISO 27001 資訊安全管理系統驗證及建置 SOC（資訊安全監控中心），確保資安與網路風險控管的適當性及有效性。2022年總處及海外分行投入資安經費占全部資訊預算費用之比率為6%。

1、資訊安全管理

本行已訂定「美國地區分行網路安全評估準則」，自2016年即採用美國聯邦金融機構檢查委員會(FFIEC)發展之CAT(Cybersecurity Assessment Tool，網路安全評估工具)執行評估作業。另本行已建置資安監控(SOC)中心，由資安處及資訊處共同維運，並每月召開會議進行報告與檢討。兆豐金控召開之集團資安會議已有聘請外部資安顧問加入，對集團子公司之資訊管理提出專業建議。2022年本行參與集團資安會議4次、集團資訊及數位業務會議2次及資訊安全對策會報2次。本行於 2022 年參與集團資安會議 4 次，集團資安會議已有聘請外部資安顧問加入，並對集團子公司之資訊管理提出專業建議。

2、異地備援演練

為因應重大資安事件、天然災害等風險，維持核心業務運作，強化核心資料安全，本行資訊系統已建置異地備份與備援環境，定期實施本異地備援之切換，涵蓋各類系統之協同運作、內部資源之配置調度及資訊網路之調整界接等，均已納入對外服務實際運作驗證，打造營運不中斷之服務；Windows系統與海外分行系統亦分別於2022年7月9日與2022年7月23日完成實際業務運作驗證。

3、資訊安全教育訓練

• 兆豐金融集團於2022年10月6日辦理董監事資安教育訓練專設課程3小時，本行董監事皆已完訓。

• 員工資訊安全教育訓練及證照
  為使客戶安心使用兆豐銀行提供之服務，需確保員工具備資訊安全知識與提升意識，每年辦理資訊安全相關教育訓練，並透過實體、線上授課及辦理演講，讓員工每年提升資安知識以因應多變的資安議題。2022 年相關教育訓練主題與內容包含「資安案例解析與應變處理」、「後疫情時期的資安思維」、「物聯網安全挑戰與因應」、「個資法解析與個人資料保護系統介紹」與「資訊安全專題演講」等；本行亦鼓勵員工參加資訊安全相關專業證照或資格考試，如：iPAS資訊安全工程師初級能力鑑定、TCSE(趨勢認證資訊安全專家) 及CCNA(思科認證網路工程師)等，截至 2022 年底本行員工共取得76張資安防護相關證照。

• 資訊安全管理機制與措施