經營治理
公司治理與誠信經營
法令遵循
風險管理
資訊安全
京城銀行持續強化董事會職能、提升經營團隊效能、致力資訊透明度、確保股東及投資人權益,以及打造企業永續發展的基礎,於2018年至2024年(第四屆至第十屆)連續7年榮獲臺灣證券交易所「公司治理評鑑」名列前5%之上市公司,肯定京城銀行建構公司治理制度之決心與成果,每位董事之進修時數皆符合「上市上櫃公司董事、監察人進修推行要點」之規定,2024年相關成果如下:
京城銀行董事會為公司最高治理機構,現有董事7席均未具員工身分,獨立董事3席佔全體席次43%。為健全董事會監督與管理功能,董事會下依職權及功能設有「審計委員會」、「薪資報酬委員會」、「提名委員會」及「永續發展委員會」等功能性委員會,負責各項重要議案及經濟、社會、環境等重要議題之討論與決策。功能性委員會由獨立董事組成或參與,以達有效執行獨立監督與制衡之機制,確保董事會各項決議與作為,各項議案均提報董事會報告及討論。此外,董事會於112.03.20 通過指派具律師執業資格之陳姿勻經理擔任公司治理主管,依法辦理董事會及股東會會議相關事宜等。
| 委員會名稱 | 審計委員會 | 薪資報酬委員會 | 提名委員會(註) | 永續發展委員會(註) |
|---|---|---|---|---|
| 設置年份 | 2011 | 2011 | 2017 | 2017 |
| 召開次數 | 6 | 6 | 3 | 4 |
| 平均出席率 | 93.94% | 88.80% | 83.34% | 81.25% |
| 成員數量 | 3 | 3 | 4 | 4 |
| 獨立董事席次 | 3 | 3 | 3 | 3 |
董事會運作方面,京城銀行董事會貫徹誠信經營之承諾,已制定「董事會議事辦法」,其中第十五條規定董事會所列議案,若與董事自身或其代表法人有利害關係者,皆依規甚至以更嚴謹角度,於討論及表決該事項時予以迴避,亦未代理其他董事行使其表決權,董事對利害關係議案迴避之執行情形請參考【京城銀行2024年報第15-16頁】。另外為落實對獨立性要求,於「京城商業銀行公司治理實務守則」中載明獨立董事之席次、資格、任期與職責範疇,明確規範獨立董事人數不得少於二人,且不宜少於董事席次三分之一,以及獨立董事任期不得超過3屆,並訂有「獨立董事之職責範疇規範」,俾使獨立董事得善盡職責,有效增益董事會運作及公司經營績效。董事專業資格及獨立董事之獨立資訊請參考【京城銀行2024年報第6頁】
為積極落實董事會多元化之方針,兼顧專業及性別之平衡,京城銀行於「京城商業銀行公司治理實務守則」與「董事選任程序」明定董事會成員組成應考量其基本條件(性別、年齡、國籍等)及專業知識與技能(專業背景、專業技能及產業經歷等)之多元化方針,並於本公司治理實務守則第29條中明訂「不同性別董事不得少於一人」。所有董事候選人均依循公司法採「候選人提名制」,經由永續發展暨提名委員會(已於2024.6.11分開獨立為「永續發展委員會」、「提名委員會」)衡酌公司發展策略與董事會職能之整體配置提名合適的董事候選人,並由董事會決議通過後送經股東會選任。現行本公司董事會共7位成員,1位女性及6位男性,均具備豐富的學經歷與多元化的背景,為京城銀行帶來更多面向的思考觀點,並進一步推動企業的永續發展。本公司董事會成員落實多元化情形如下:
| 職稱姓名 | 性別 | 專業資格與經驗 |
|---|---|---|
| 董事長 戴誠志 |
男 |
|
|
副董事長 |
男 |
|
|
董事 |
男 |
|
|
董事 |
女 |
|
|
獨立董事 |
男 |
|
|
獨立董事 |
男 |
|
| 獨立董事 吳炳松 |
男 |
|
註:新任莊伊麗董事於2023年5月23日京城銀行股東會改選選任。
京城銀行所有董事每年依「京城商業銀行董事進修要點」規定完成進修,2024年京城銀行董事進修平均時數為6.28小時,符合法規建議6小時。課程包括「公平待客原則與企業誠信經營」、「國際碳關稅最新發展趨勢與證券金融業之永續經營策略」、「面對全球氣候變遷風險政策選擇-兼論永續金融概念(含金融友善及CRPD)」、「從資本市場看永續發展目標(SDGs)和ESG投資效益」等,內容涵蓋公司治理、法令遵循、洗錢防制、氣候相關、永續發展等最新議題,透過安排多元化的課程增強其專業性、強化董事會經營決策及風險治理功能。
另,京城銀行訂有「董事會暨功能性委員會績效評估辦法」,每年進行董事會及功能性委員會評量,由提名委員會執行,於每年第一季進行董事會與功能性委員會整體績效評估,以及董事成員自評,後由董事會議事單位彙整評量結果。評估面向除營運績效檢視亦涵蓋非財務項目,如:公司治理之提升、董事成員之多元化與專業性、風險管理制度之審議、永續發展實施之有效性等經濟、環境和人群衝擊項目,並將結果提報董事會,做為個別董事薪酬及提名續任之參考。2024年董事會及所有功能性委員會績效評估結果皆為「優」,並已提2025.02.24提名委員會及董事會報告,詳細評估內容請參考【董事會暨功能性委員會內部績效評估結果】。
另,於「董事會暨功能性委員會績效評估辦法」明定每3年由外部專業獨立機構或外部專家學者團隊執行董事會外部績效評估作業。京城銀行已於2025年委由「安永企業管理諮詢服務股份有限公司」完成2024年度董事會外部績效評估作業,經安永綜合評估,本公司在董事會架構、成員及流程與資訊三方面的綜合表現程度分別為『進階』、『進階』、『標竿』,評估結果摘要如下:
其他內容均已揭露於京城銀行全球資訊網【董事會外部績效評估結果】,預計下次進行外部績效評估時間為2028年第一季。
(1) 董事
本公司董事薪酬依據本公司章程第卅三條規定:「本公司年度如有獲利,應提不高於2%為董事酬勞,但公司尚有累積虧損時, 應預先保留彌補數額」,最近二年度未給付董事酬勞。
另依本公司章程第廿五條之一規定:「董事之報酬,由董事會參照相關同業及上市公司水準議定之」。本公司董事報酬係參考同業水準情形、考量董事個人表現、公司經營績效及「董事會績效評估結果」支給。本公司獨立董事之報酬,另依「獨立董事之職責範疇規範」第五條規定,考量其所擔負之職責及投入時間不同於一般董事,故酌訂與一般董事不同之合理酬金,且除按月支領固定報酬外,不另支領依公司章程規定之董事酬勞,業務執行費用比照一般董事標準。董事酬金請參考【京城銀行年報2024年第12頁】,相關績效考核及薪酬合理性均經薪資報酬委員會及董事會審核。
(2) 總經理、副總經理、總稽核、經理人及員工
本公司總經理、副總經理、總稽核、經理人及員工之績效考核與薪酬制度,分別依照經董事會通過之「員工年終考核辦法」、「員工待遇支給辦法」與「年終獎金發給辦法」所規定之方式辦理。每年於薪資報酬委員會會議提案討論本公司經理人之薪酬待遇相關績效評估,並提報董事會審議通過,其中獎金部分連結本公司單位績效考核結果。
單位績效考核內容分為業務指標與非業務指標項目,占比分別為80%~88%與12%~20%。業務指標項目,包含財務獲利指標、經營指標、策略發展指標、永續發展執行情形,再依各單位職掌設定各指標內容與權重,並明定永續發展執行情形占總行單位的考核權重不得低於5%,以整合全行資源、制定統一的永續發展策略,強化本公司對永續發展目標的承諾,實踐永續發展目標。非業務指標項目,則包含法令遵循、內稽內控。同時,考量個人績效、所擔負之職責及個人貢獻度,給予合理報酬,故薪資報酬與公司經營績效具高度相關。
京城銀行視誠信經營為企業經營的根基,承諾以公平、誠實、守信、透明原則從事任何商業活動,並本於創造價值、公平待客、真誠關懷理念,致力落實誠信經營,為落實嚴守道德、恪遵法治,積極防範不誠信行為與反貪腐,京城銀行指定永續發展委員會為誠信經營之專責單位,協助將誠信與道德價值融入公司經營策略、配合法令制度訂定確保誠信經營之相關防弊措施。另,每年由行政管理部針對所有營運據點進行不誠信行為風險評估及鑑別重大不誠信風險,並定期向董事會報告「不誠信行為風險評估結果」及「誠信經營政策及監督執行情形」。2024年透過風險評估並未鑑別出本公司有重大不誠信風險,也未發生董事或職員涉有不誠信行為。
京城銀行全體董事、高階管理階層及員工承諾於執行業務時,確實履行善良管理人注意義務,防範不誠信行為發生,均已簽署「誠信行為聲明書」,並於京城銀行全球資訊網揭露「誠信經營暨反貪腐、反賄賂政策承諾」,揭示京城銀行對於貪腐和賄賂的零容忍態度和行動,同時將員工操守與績效、薪酬相連結,設立明確的獎懲制度。為具體實踐誠信經營,京城銀行訂有「誠信經營守則」、「誠信經營作業程序及行為指南」、「道德行為準則」、「公平待客原則之政策及策略」等規範,各準則內容摘要請參閱【2024京城銀行永續報告書第28頁- 京城銀行誠信經營一覽表】
京城銀行於「誠信經營作業程序及行為指南」明確規範政治獻金及慈善捐贈或贊助之處理程序,捐贈與公益贊助均應符合公司誠信經營、道德行為準則及政治獻金法等國家法規,本公司近三年涉及政治 / 政策影響捐獻金額如下表所示:
| 2022 | 2023 | 2024 | |
|---|---|---|---|
| 政策遊說者 / 組織、利益團體 | 0 | 0 | 0 |
| 政治組織、候選人 | 0 | 0 | 0 |
| 影響立法之產業/貿易協會、智庫團體 | 0 | 0 | 0 |
| 其他,如:選舉議案、公投相關花費 | 0 | 0 | 0 |
| 總計 | 0 | 0 | 0 |
| 涵蓋範圍 | 100% | 100% | 100% |
註:66 家國內營業據點及3間子公司京城銀國際租賃、京城證券、京城國際建築經理
為建立誠信、透明之企業文化及促進健全經營,京城銀行訂有「檢舉制度實施辦法」並經董事會審議通過後施行,明令檢舉制度之專責單位為「法令遵循部」,並由總機構法令遵循主管督導,負責受理、分案、回覆、追蹤改善及記錄保存等事務。並設置書面與電郵檢舉管道,揭露於京城銀行全球資訊網「利害關係人聯絡管道」及行內網站,供內部同仁及外部人員使用,更開放匿名提供檢舉資訊,積極防範不誠信、舞弊、犯罪行為。
對於檢舉案件之簽辦均以密件處理,參與案件受理及調查之人員需以書面聲明對於檢舉人身分及檢舉內容予以保密,並將相關文件以密件保存至少5年。如檢舉人為內部人員時,京城銀行承諾保護內部檢舉人,不因檢舉情事而遭不當處置或對檢舉人予以解雇、解任、降調、減薪、損害其法令、契約或習慣上所應享有之權利或其他不利處分。
本公司透過旨揭檢舉管道共受理檢舉案 0 件,如有接獲檢舉案件時,將依規查核是否具違法事證並提報,處理過程切實注意保密,以維護檢舉人權益。
| 接獲檢舉案件數 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 具名檢舉 | 0 | 3 | 0 |
| 匿名檢舉 | 0 | 0 | 0 |
京城銀行重視法治,密切關注監管機關所推行之金融法令規章及道德規範,在發展業務的同時,亦嚴格遵循相關法令規定,相關行動方案與成果如下:
隨著國際間對洗錢防制的重視日益提升,犯罪者經常利用金融機構轉移不法所得,使金融機構在洗錢防制過程中扮演第一線把關的重要角色。為有效落實並強化防制洗錢及打擊資恐的控管機制,本公司嚴格依循國際規範,制定相關政策與程序,並透過每年進行機構風險評估及完善教育訓練,持續提升防制能力。為更進一步強化集團整體性洗防機制及打擊資恐機制,訂有經董事會通過之「京城商業銀行防制洗錢及打擊資恐政策」,作為本公司及各子公司共同遵循之依據。並依所屬業別主管機關或同業公會制訂相關風險防制計畫、規範或範本,以及針對洗錢及資恐風險之辨別、評估及管理計畫,完善控管措施,並適時檢討修正。
本公司應依規模、風險等配置適足之防制洗錢及打擊資恐專責人員及資源,並由董事會指派高階主管一人擔任專責主管,賦予協調監督防制洗錢及打擊資恐之充分職權,及確保該等人員及主管無與其防制洗錢及打擊資恐職責有利益衝突之兼職。專責主管應至少每半年向董事會及審計委員會報告,如發現有重大違反法令時,應即時向董事會及審計委員會報告。
本公司防制洗錢及打擊資恐控管規範/機制內容包含但不限於以下:
| 控管機制 | 執行內容說明 |
|---|---|
| 各營業單位設有督導主管 |
|
|
設有專責單位 |
|
| 委託會計師進行專案查核 |
|
|
防制洗錢及打擊資恐風險評估 |
|
| 員工教育訓練 |
|
| 依本公司規模、風險等配置適足之防制洗錢及打擊資恐人員及資源 | |
| 客戶身分確認及盡職審查 | 客戶及交易對象姓名及名稱檢核 |
|
|
| 督導本公司防制洗錢作業及打擊資恐落實情形 | |||
| 帳戶及交易持續監控 | 紀錄保存 | 交易申報 | 洗錢及資恐風險國家或地區風險評估及措施 |
|
|
|
|
本公司致力形塑公司防制洗錢及打擊資恐遵法意識與核心文化價值,使全體同仁瞭解所承擔防制洗錢及打擊資恐職責,同時落實第一道防線之內部控制作業、第二道防線之督導機制以及第三道防線之獨立監督,打造最堅實、最安心的防制洗錢及打擊資恐之防護網
為有效落實防制洗錢及打擊資恐,京城銀行訂有經董事會通過之「京城商業銀行防制洗錢及打擊資恐政策」、「京城商業銀行防制洗錢及打擊資恐注意事項」、「京城商業銀行防制洗錢及打擊資恐風險辨識及評估作業程序」等多項規範,各子公司則依據所屬業別主管機關與公會之規範、範本與指引,制定其內部規範。當中敘明各項執行程序,涵蓋內容包括:使用可靠、獨立來源之文件進行客戶身分辨識及驗證、辨識實質受益人、執行面對面與非面對面(Non-face-to-face)顧客盡職調查(Customer Due Diligence, CDD)、反資恐名單之審查、監控並定期審視重要政治性職務人士名單、高階管理層參與高洗錢風險,以及資恐風險客戶之審核等。
為全面杜絕防制洗錢及打擊資恐之不法交易,本公司依據「金融機構防制洗錢辦法」、「銀行業及其他經金融監督管理委員會指定之金融機構防制洗錢及打擊資恐內部控制與稽核制度實施辦法」、中華民國銀行商業同業公會全國聯合會「銀行防制洗錢及打擊資恐注意事項範本」及銀行公會研訂之「銀行評估洗錢及資恐風險及訂定相關防制計畫指引」,訂有經董事會通過之「京城商業銀行防制洗錢及打擊資恐風險辨識及評估作業程序」。內容包含定期執行洗防及打擊資恐評估作業,並製成風險報告,使管理階層得以適時且有效地瞭解本公司整體洗錢與資恐風險之應對措施;重新評估新興風險威脅以及營運管理之重大事件的發生;以及分析建立客戶風險因子、等級、分級規則。
總經理應督導各單位審慎評估及檢討防制洗錢及打擊資恐內部控制制度執行情形,由董事長、總經理、總稽核、防制洗錢及打擊資恐專責主管聯名出具防制洗錢及打擊資恐之內部控制制度聲明書,並提報董事會通過,於每會計年度終了後三個月內將該內部控制制度聲明書內容揭露於本公司網站,並於金管會指定網站辦理公告申報。每年委託外部會計師辦理防制洗錢及打擊資恐確信查核,以確認相關作業之設計及執行有效性。
京城銀行在發展各項業務時,透過辨識、衡量、監控、及管理,以預防或降低風險可能造成的損失,並促使風險訂價合理,以達成風險與績效間的平衡。2024年京城銀行風險管理運作情形如下:
風險文化意旨對於風險事件或潛在風險,事前控管及通報流程嚴謹、事中員工主動通報積極、事後調查改善及反饋,整理之風氣。
|
風險文化之滿意度 |
|
| 風險文化之精進 |
|
|
風險與績效之連結 |
|
董事會為風險管理機制之最高決策層級,對於核定全公司風險管理政策並維持適當有效之內部控制制度負有最終之責任,並由董事會層級之功能性委員會 - 「審計委員會」做為督導單位。另經董事會通過設有「風險管理委員會」,由總經理擔任主任委員,風險管理部、財務部、數位服務暨業務部、授信審查部、行政管理部、國外部、法令遵循部、營運管理部等部門主管為當然委員,每月定期召開會議,主導風險管理政策之增修及統籌全公司各項風險管理事項。該委員會之執行推動單位為「風險管理部」,亦為京城銀行整體風險管理規劃及監控之獨立組織,並由風險管理部主管每年年初將前一年底各項風險曝險狀況呈報審計委員會,後經董事會決議通過。
為確保永續經營及資本安全,京城銀行依據董事會核定之風險管理政策,明確規範風險管理之目標與程序,藉以建立獨立有效之管控機制,以維持評估風險承擔能力、監督已承受風險現況、決定風險因應之策略。另,依據業務成長規模,為防止風險集中,並控制全行風險在「風險胃納」範圍內,建立符合風險狀況之資本適足性評估程序,以維持適足資本,此外,考量整體曝險,進行妥適的整體資本配置與建立各項業務風險管理機制、針對資產負債表內及表外業務所涉及之風險,均納入風險管理範疇。風險管理範疇包括:信用風險、市場風險、作業風險、流動性風險、國家風險、氣候風險及其他風險等,並依據不同之風險訂定管理準則及規範,說明不同風險之管理對策、組織架構與權責、管理流程等。
風險管理為全公司上下共同職責,透過內部控制三道防線、各項風險管理程序,建立縝密完善的風險防線,確保各項營運風險皆能即時、有效控制。
本公司風險胃納係指本行經營所願意且能夠承受之整體風險,依「銀行資本適足性及資本等級管理辦法」規定,作為衡量之指標,並以其高低作為業務擴張或緊縮之依據。本公司應於法定最低要求資本水準下,考量本公司整體風險狀況,依資本適足率變動情形與本公司各項業務發展之需求,次依本公司業務特性及依據主管監理機關所訂定之方法,計算本公司在現有資產與營運狀態下對於各項風險可能產生之非預期損失,並計提相對資本因應,再依風險類別來分析並評估整體資本配置與資本適足性,並至少應每年審視一次。若有任何策略或營運環境之重大改變,進而影響評估程序的方法論與假設條件,應即時檢討與修正。
本公司針對各項金融商品或服務歸納各項風險因子,藉以辨識可能影響企業永續經營的相關風險,並依據主管機關要求及準則,訂定可量化或質化標準以建立風險衡量指標,從而做為管理決策、績效評估等依據。由各營業單位遵循各項辦法與準則控管轄下業務之風險,以及協助辨識、評估風險控管方式是否妥適,由風險管理部就重要項目或整合風險予以獨立監控,以及檢討、修正本公司風險管理目標與實際運作情形之差異,以達到動態預防及控制風險的擴大。另,由風險管理部定期編製風險控管報告與揭露相關資訊。
未來長、短期風險認知上,環境風險急遽惡化、社會的極端化、地緣政治衝突,以及AI技術的飛速發展,讓世界整體運作充滿不確定性:金融業在全球浪潮下,勢必也會成為首當其衝的對象之一。對此,京城銀行除已具備完善的風險管理機制,並將新興風險列為關注之範圍,以便能夠即時掌握世界整體現況,辨識對公司營運及管理規畫之衡量利弊,以及持續蒐集全球重要機構公布之風險報告與來自各界關注之議題,判斷新興風險之最新發展動向,採取有效之應對方針。
京城銀行新興風險因子之分析參酌世界經濟論壇《2025年全球風險報告》,將經濟、環境、地緣政治、社會、科技等五大類風險因子依據「潛在發生可能性」與「衝擊影響程度」進行評估,篩選出未來長期年間可能造成影響的3項關鍵新興風險,並研擬相關因應措施。
本公司之新興風險依「對營運衝擊程度」及「發生可能性」面向進行評估,辨識出9大新興風險因子,分別為:地緣經濟對抗、非自願移民或流離失所、社會兩極化、錯誤訊息與假消息傳播、網絡間諜活動與戰爭、人工智慧技術的不利後果、自然資源短缺、地球系統的重大改變、極端氣候事件。其中又以「地緣經濟對抗」及「錯誤訊息與假消息傳播」為影響較大之新興風險,並據此擬訂因應措施,以提升公司營運及風險應變韌性;新興風險辨識結果及因應行動,請參閱【2024京城銀行永續報告書第40頁】
數位科技創新正持續改變人們的生活方式,特別是金融科技(FinTech)領域,包括Web應用、行動應用程式、數位貨幣、區塊鏈、行動支付、API、生物辨識等等,促使金融業產生重大變革,創造許多嶄新機會,然,同時也衍生出諸多資訊安全風險,例如:網路攻擊、身份驗證不完善、資訊錯誤等等,遭有心人士進行洗錢或欺詐,導致個人資料外洩等問題。
為有效因應對數位科技帶來的風險與機會,京城銀行透過建立全面的管理架構與制度、強化軟硬體實力、並推動教育訓練等措施,致力於事前防範與事中應變。2024年成果如下:
本公司資訊室為資訊安全執行單位,為資安內控之第一道防線。2015年8月董事會通過增設風險管理部資訊安全科為資訊安全專責單位,做為資安內控之第二道防線,專責資訊安全管理制度(ISMS)之規劃、推動、監控及管理作業,以提升資訊安全管理。隸屬董事會之稽核室為獨立資訊安全稽核單位,扮演資安內控之第三道防線角色,負責資訊安全之查核,以確保管理作業之落實。
為健全本公司ISMS,因應所有資訊安全規範變動,並符合政府相關法令之規定,俾求降低因資訊安全所產生之風險影響與衝擊,於2015年11月成立「資訊安全管理委員會」,負責審查ISMS之政策規範及資安整體執行情形,並由資安專責單位風險管理部資訊安全科每年向董事長呈報執行概況後,再由稽核室將呈核結果提報董事會。委員會設置召集人一人,由總經理擔任或指定之,委員由風險管理部、資訊室、數位服務暨業務部、法令遵循部及召集人指定單位之部門主管擔任或指定之,稽核室為會議之列席成員。本會至少每年定期召開管理審查會議乙次,或視需要不定期召開。其主要任務如下:
另為強化資訊安全管理架構,本公司已於2021年12月21日另為強化資訊安全管理架構,本公司已於2021年12月21日設置資訊安全長一職,負責綜理資訊安全政策推動及資源調度事務。並依照金管會「金融資安行動方案 2.0」揭示之「鼓勵金融機構遴聘具資安背景之董事、顧問或設置資安諮詢小組」,於2023年7月1日正式成立「資安諮詢小組」,成員包含總經理、總稽核、總機構法令遵循主管、風管部門最高主管、資訊部門最高主管、資安長及經總經理指定之內外部人員,其主要成員由本公司資安三道防線相關主管組成,職掌及資歷背景均與全行資安政策有所關聯,運作方式係針對影響組織營運之資安政策面議題,以會議或不拘形式之討論溝通產出建議,並列入「資訊安全管理委員會」進行推動與追蹤,以增進董事會成員對資安情勢掌握並實質將資安風險納入經營決策考量。
京城銀行訂有「資訊安全政策」以保護本公司資訊資產之機密性、完整性與可用性,避免遭受不當使用、洩漏、竄改或破壞等風險,確保資訊蒐集、處理傳送、儲存及流通之安全。另,依「資訊安全政策」制定相關程序書及說明書,以利全體員工、委外服務廠商及訪客遵循,並於資訊安全管理委員會上報告相關規範執行情形。
本公司已於2022年12月取得「資訊安全管理系統(ISMS) ISO/IEC 27001:2013」驗證(效期至2025-10-31),並已於2024年12月取得「資訊安全管理系統(ISMS) ISO/IEC 27001:2022」改版驗證(效期至2025-12-15),後續仍將持續檢視精進,以符合資訊安全相關法令、技術、組織及營運之最新發展趨勢。另依主管機關要求、法規及本公司ISMS規範,確實落實相關管控措施,以建構強化全方位資安防衛能力。具體管理方案如下:
(1)資訊安全防護與檢測分析
(2)資訊安全緊急應變演練
為確保資訊服務遭受突發重大災害時,透過採取應變措施,使業務所承受的衝擊降至最低,並於最短時間內恢復運作,京城銀行除制定「營運持續管理程序書」、「資通安全事件管理程序書」、「ATM資通安全事件緊急應變計畫」、「資訊室阻斷式服務攻擊處理說明書」、「開放性系統備援演練計畫說明書」…等,同時每年安排演練,藉由熟練正確的作業程序,將資安衝擊降到最低。2024年已實施演練共29場,演練項目摘要如下,並已將演練情形呈報至資訊安全管理委員會審查。
(3)資訊安全預計規劃
資訊安全預計規劃:為持續提升本公司資訊安全相關管理措施,已於2024年底取得新版 ISO 27001:2022 證書,未來將持續維持證書有效性,以及資安相關證照之人員教育訓練。
京城銀行持續投入於資訊安全相關領域,2024年共投入資訊安全之費用共67,403仟元,佔全部資訊預算費用之65.71%,投入項目包含完善資安防禦設備、資料監控分析、教育訓練等。在資安人力佈署,資安長1名、第二道防線之資訊安全推動單位4員、第一道防線之資訊安全執行單位95員,共計100名。
而在教育訓練方面,全公司參與資安測驗及通過比率為100%,並進行內、外部資安相關課程達3,693小時,其中95.5%為內部教育訓練,4.5%為外部教育訓練課程。此外,資訊安全推動單位每年亦針對全公司進行2次資安宣導教育訓練,其宣導主題依據法規及時下內外部威脅事件進行規劃,主題內容如下:
京城銀行訂有「資通安全事件管理程序書」,規範資安事件發生之通報流程、評鑑能力與應變措施。在遭遇資訊安全事件時,通報相關單位人員於第一時間進行事件分類、辨別後,依事件等級決議是否組成「緊急應變小組」,並於時間內確認影響範圍,查找可能原因、排除與解決資訊安全事件,並在事件處理完畢後進行分析、製作報告單,以預防事件再次發生。列明最近年度及截至年報刊印日止,因重大資通安全事件所遭受之損失、可能影響及因應措施,如無法合理估計者,應說明其無法合理估計之事實:2024年度及截止2025年1月底止,無重大資通安全事件。
| 重大資訊安全事件 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 重大資訊安全事件總數 | 0 | 0 | 0 |
| 因資訊安全事件導致顧客資料遺失案件數 | 0 | 0 | 0 |
| 因資訊安全事件受影響的顧客人數 | 0 | 0 | 0 |
| 因資訊安全事件損失的財務金額 | 0 | 0 | 0 |
| 資料數據外洩事件 | 2022 | 2023 | 2024 |
|---|---|---|---|
| 資料外洩事件數量 (A) | 0 | 0 | 0 |
| 與個人資料相關的資料外洩事件數量 (B) | 0 | 0 | 0 |
| 與個資相關的資訊外洩事件佔比 (B/A) | 0 | 0 | 0 |
| 因資料外洩事件而受影響的顧客人數 | 0 | 0 | 0 |
京城銀行重視客戶資料保護及隱私權,除已依循「個人資料保護法」、「銀行業對客戶資料保密自律規範」、「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」、「金融機構作業委託他人處理內部作業制度及程序辦法」等規定,訂有「京城商業銀行股份有限公司暨關係企業個人資料管理目標與政策」,以建立本公司及子(孫)公司之個人資料保護制度基本管理架構,保障個人資料當事人之權益。另外,訂定「京城商業銀行隱私權保護政策」、「京城銀行個人資料檔案安全維護辦法」,以及「京城銀行個人資料外洩緊急應變作業要點」等相關辦法,以保障客戶個人資料之權利,適用範圍及於京城銀行全體同仁於執行職務時所接觸到個人資料之一切行為。每年全體員工需進行個人資料保護法相關教育訓練,2024.11.13已對全體員工完成辦理「年度個人資料保護法宣導」;並於本年度完成執行個人資料保護教育訓練1場,受訓人員共983人,受訓總時數491.5時。2024年並未發生任何個資外洩案件,以及接獲任何涉及侵犯客戶隱私權之申訴,個人資料之保護與管理落實相關政策/規章辦理與執行情形,請參閱【2024京城銀行永續報告書第45頁】。
個人資料管理體系採用「Plan-Do-Check-Act(PDCA)」之循環運作模式
當發生疑似個資事件時,應立即依照流程圖進行通報。若任何層級人員無法依流程被通報時,負責通報者應直接向上一層級報告,確保通報之即時性。
首先,事件發現單位應通報數位服務暨業務部,並副知稽核室;數位服務暨業務部隨後通知個資小組窗口及相關業管單位。如事件由客戶反映,應留存客戶姓名及聯絡方式以便後續聯繫。個資小組窗口接獲通知後,應聯繫相關業管單位之個資安全維護專人,協助確認事件事實及蒐集跡證,包括發生原因及影響範圍,並記錄於「個人資料事件處理通報及紀錄表」。接著,由個資小組窗口召集風險管理部及業管單位人員會議,稽核室亦應列席,依據紀錄表及相關資料判定案件是否為個資事件。如性質明確,窗口可逕行判斷並以電子郵件通知相關單位。若認為非屬個資事件(如個人資料保護法第十一條權利行使或客訴案件),則轉由業管單位或客訴管道處理後結案;如屬個資事件,則通知個資小組召集人。整體通報及受理流程應於接獲通報後一日內完成,但可視事件複雜度適當延長。
永續發展▼
Copyright © 2016 King's Town Bank
