银行组-数位资讯安全奖 建资安管理仪表板 全行落实

银行也已设立资深副总层级之CISO资安最高主管，督导全行资安治理、规划与管理。同时，为了达成长远目标与发展方向，也制定资安五年发展蓝图并呈报总经理核定，每年督导执行成效。其辖下设立资安专责单位，并建立资安人员专业职系发展蓝图，让资安人员参考路径图规划未来专业能力建构与职涯发展，并透过绩效考核鼓励资安人员取得资安证照，中信银资安人员已累计取得96张国际资安专业证照，如CISSP、CISM、CSSLP、CEH等。

资安专责单位每年评估辨识关键资安风险情境，例如针对性攻击、勒索病毒攻击、DDoS阻断服务攻击等情境，再依据攻击情境路径设计出纵深防御体系。为持续确保纵深防御有效，已设计10几项资安关键控管有效性指标及风险监控指标，并每季呈报总经理及董事会，以掌握资安风险管控有效性以及曝险情形。同时每年委请独立第三方进行全面性资安健检以及资安法规遵循查核，并将健检及查核结果呈报企业资安委员会及董事会。另外，中信银也已建置资安事件分析平台SIEM、SOC资安监控中心、告警事件处理标准程序以及F-ISAC情资处理标准程序，订定各类告警及情资之处理时效。

中信并定期聘请国际白帽骇客团队实施Redteam攻防演练。同时，为了能及时辨识资安防御及侦测的缺口，采用国际领先之以色列公司Cymulate自动化渗透攻击模拟平台BAS（Breach Attack Simulation），能够模拟穿透测试各种层面防御机制。