資訊安全專區

資訊安全管理架構



本行為提升資訊安全管理,於2015年8月董事會通過組織規程,增設資訊安全推動單位於風險管理部資訊安全科,以做為資安內控之第二道防線,並以風險管理及獨立於資訊安全執行單位(資訊室)之資安內控第一道防線的作業方式,專責資訊安全管理制度(ISMS)之規劃、推動、監控及管理作業。

為確保管理作業之落實,由隸屬董事會之獨立公正的資訊安全稽核單位(稽核室),做為資安內控之第三道防線,負責資訊安全之查核。

另為健全本行ISMS,因應所有資訊安全相關法令,並遵守政府相關法規之規定,俾求降低因資訊安全所產生之風險影響與衝擊,於2015年11月成立「資訊安全管理委員會」,負責審查ISMS之政策規範及資安整體執行情形,並由風險管理部資訊安全科每年向董事會呈報執行概況。
 
京城銀行 資訊安全管理架構

資訊安全政策



第一條、目的

為保護京城商業銀行(以下簡稱本行)資訊資產之機密性、完整性與可用性,避免遭受不當使用、洩漏、竄改或破壞等風險,確保資訊蒐集、處理、傳送、儲存及流通之安全,特訂定資訊安全政策(以下簡稱本政策),以資遵循。

第二條、適用範圍

本政策適用於本行全體員工、委外服務廠商及訪客。

第三條、資訊安全管理範疇
本行資訊安全管理範疇涵蓋十四項領域:
  1. 資訊安全政策之訂定及審查。
  2. 資訊安全組織。
  3. 人力資源安全管理及教育訓練。
  4. 資訊資產之分類及管理。
  5. 存取控制安全。
  6. 加密控制措施。
  7. 實體及環境安全。
  8. 作業安全管理。
  9. 通訊安全管理。
  10. 系統開發及維護之安全。
  11. 供應商安全管理。
  12. 資通安全事件管理。
  13. 營運持續運作管理。
  14. 相關法規、法令及政策之遵循性。
第四條、權責及分工
  1. 應成立資訊安全組織,統籌資訊安全事項推動,並至少每年定期召開管理審查會議乙次,或視需要不定期召開。
  2. 資訊安全由風險管理部負責推動、資訊室負責執行,並由稽核室負責查核推動執行情形。
  3. 每年由風險管理部於會計年度終了後三個月內,提報前一年度本行資訊安全整體執行情形於董事會核備。
第五條、責任
  1. 管理階層應積極參與及支持資訊安全管理制度,並提供適當之資源。
  2. 全體員工、委外服務廠商及訪客,皆應遵守本政策,並有責任透過適當通報機制,通報資通安全事件或弱點。
  3. 任何危及資訊安全之行為,依本行之相關規定進行議處,必要時得視情節輕重追究其民事及刑事責任。
第六條、管理指標

為評量資訊安全管理目標達成情形,本行應訂定相關管理指標,並監控、評估及改善。

第七條、審查
  1. 本政策應由風險管理部每年至少檢視一次,或於發生重大變動時重新檢視,以符合資通安全相關法令、技術、組織及營運之最新發展趨勢。
  2. 應識別本行內外部利害關係人及其回饋事項,並列入管理審查會議之討論議題。
第八條、未盡事宜之處理

本政策若有未盡事宜,悉依主管機關之相關法規及本行之規定辦理。

第九條、核定及修正層級

本政策經董事會核定後施行;修訂時授權董事長核定。

資訊安全管理措施



本行ISMS規範已遵循ISO 27001國際資安標準完成建置,後續仍將持續檢視精進,以符合資通安全相關法令、技術、組織及營運之最新發展趨勢。另依主管機關要求、法規及本行ISMS規範,確實落實相關管控措施,如資安情資因應、縱深防禦措施落實、弱點掃描、滲透測試、各式情境演練、人員資安意識及專業素質提升,以建構強化全方位資安防衛能力。

另有關資安險,考量其仍為新興險種,因投保資格條件及配套措施涉及廣泛,現階段以投入資安設備服務建置為優先,後續將評估是否購買。