資訊安全專區

資通安全風險管理架構


就管理架構角度,本行資訊室為資安第一道防線之執行單位。2015年8月增設風險管理部資訊安全科為資訊安全專責單位,做為資安之第二道防線,專責資訊安全管理制度(ISMS)之規劃、推動、監控及管理作業,以提升資訊安全管理。隸屬董事會之稽核室為獨立資安稽核單位,扮演第三道防線角色,負責資訊安全之查核,以確保管理作業之落實。


為健全本行ISMS,因應所有資訊安全規範變動,並符合政府相關法令之規定,俾求降低因資訊安全所產生之風險影響與衝擊,於2015年11月成立「資訊安全管理委員會」,負責審查ISMS之政策規範及資安整體執行情形,並由資安專責單位每年向董事長呈報執行概況後,進由稽核室將呈核結果提報董事會。委員會設置召集人一人,由總經理擔任或指定之,委員由風險管理部、資訊室、數位服務暨業務部、法令遵循部及召集人指定單位之部門主管擔任或指定之,稽核室為會議之列席成員。


另為強化資安治理之運行,本行已於2021年12月新設資訊安全長一職,負責綜理資訊安全政策推動及資源調度事務。

京城銀行 資通安全風險管理架構

資訊安全政策

第一條、目的

為保護京城商業銀行(以下簡稱本行)資訊資產之機密性、完整性與可用性,避免遭受不當使用、洩漏、竄改或破壞等風險,確保資訊蒐集、處理、傳送、儲存及流通之安全,特訂定資訊安全政策(以下簡稱本政策),以資遵循。

第二條、適用範圍

本政策適用於本行全體員工、委外服務廠商及訪客。

第三條、資訊安全管理範疇
本行資訊安全管理範疇涵蓋十四項領域:
  1. 資訊安全政策之訂定及審查。
  2. 資訊安全組織。
  3. 人力資源安全管理及教育訓練。
  4. 資訊資產之分類及管理。
  5. 存取控制安全。
  6. 加密控制措施。
  7. 實體及環境安全。
  8. 作業安全管理。
  9. 通訊安全管理。
  10. 系統開發及維護之安全。
  11. 供應商安全管理。
  12. 資通安全事件管理。
  13. 營運持續運作管理。
  14. 相關法規、法令及政策之遵循性。
第四條、權責及分工
  1. 應成立資訊安全組織,統籌資訊安全事項推動,並至少每年定期召開管理審查會議乙次,或視需要不定期召開。
  2. 由資訊安全長負責綜理資訊安全政策推動及資源調度事務。
  3. 資訊安全由風險管理部資訊安全科(資訊安全專責單位)負責推動、資訊室負責執行,並由稽核室負責查核推動執行情形。
  4. 由風險管理部資訊安全科負責資訊安全整體執行情形之管理,並每年向董事長呈報執行概況後,協助稽核室將呈報結果提報董事會。
第五條、責任
  1. 管理階層應積極參與及支持資訊安全管理制度,並提供適當之資源。
  2. 全體員工、委外服務廠商及訪客,皆應遵守本政策,並有責任透過適當通報機制,通報資通安全事件或弱點。
  3. 任何危及資訊安全之行為,依本行之相關規定進行議處,必要時得視情節輕重追究其民事及刑事責任。
第六條、管理指標

為評量資訊安全管理目標達成情形,本行應訂定相關管理指標,並監控、評估及改善。

第七條、審查
  1. 本政策應由風險管理部資訊安全科每年至少檢視一次,或於發生重大變動時重新檢視,以符合資通安全相關法令、技術、組織及營運之最新發展趨勢。
  2. 應識別本行內外部利害關係人及其回饋事項,並列入管理審查會議之討論議題。
第八條、未盡事宜之處理

本政策若有未盡事宜,悉依主管機關之相關法規及本行之規定辦理。

第九條、核定及修正層級

本政策經董事會核定後施行;修訂時授權董事長核定。

資訊安全管理措施


本行ISMS規範係遵循ISO 27001國際資安標準完成建置,後續仍將持續檢視精進,並預計2022年底前取得ISO 27001認證,以符合資訊安全相關法令、技術、組織及營運之最新發展趨勢。另依主管機關要求、法規及本行ISMS規範,確實落實相關管控措施,以建構強化全方位資安防衛能力。

另有關資安險,考量其仍為新興險種,因投保資格條件及配套措施涉及廣泛,現階段以投入資安設備服務建置為優先,後續將評估是否購買。