完备资安制度 建构联防体系

元大投信推动投资行为数位化。图／元大投信提供

元大投信为落实资讯安全管理执行及监督运作成果，设立「资讯安全小组」综理资讯安全管理制度落实和监督运作状况，且每年定期召开资讯安全及管理审查会议，并将资讯安全执行概况定期陈报董事会，由董事会为最高决策单位，督导各项制度执行，以达成资讯安全管理目标。

为加强金融资安管理，持续延请外部资安顾问进行资安健诊，依建议拟订计划完成强化改善。另为遵循主管机关「金融资安行动方案」，率先在去年12月设置资讯安全长，并于今年6月股东常会派任具资安背景之董事加入董事会，以强化资讯安全监理。因此元大投信以完备的资安制度与资安治理获得这次数位资安奖的肯定。

元大投信于100年导入ISO 27001资讯安全管理制度（ISMS）标准，并通过英国标准协会（BSI）之认证，依规定每半年办理并通过续审，证书最近更新日期2022年5月30日。除依既定时程安排建置EDR、SIEM系统之外，值日人员每日检视系统自动产出之资安报表，说明异常纪录并陈送签核，每月汇总产出资安月报，观察资安行为趋势并检讨因应措施。同时持续鼓励资安同仁取得国际资安证照，包含管理类与技术类，目前已有四位同仁取得ISO主导稽核员证照。

在精实资安韧性方面，元大投信订定「资讯化业务营运持续管理作业手册」以确保营运冲击分析、营运持续规划管理与演练成效，提供公司关键业务能持续运作，并降低受到重大故障或灾害之影响。

展望未来，元大投信预计于2023年底前导入ISO-22301营运持续管理并取得验证，预计于2022年底前建置超过30公里之异地备援机房，同时规划将现行核心系统于同地建立AA模式，异地建立AS模式。

另外，元大投信加入由金管会成立「金融资安资讯分享与分析中心（F-ISAC）」，成为该中心会员，配合主管机关脚步，挥别单打独斗，协力建构金融资安联防体系，配合定期登录分享情资，并分析评估与采取适当之因应措施等，且订定「资通安全事件通报应变作业注意事项」与「资讯安全事件管理作业手册」，并据之建置资安事件应变体系，且将于111年度建置EDR端点侦测防护系统与SIEM资讯安全管理平台，以加强资安事件监控与管理。