日盛國際商業銀行資訊安全規則

修訂日期 : 107 年 7 月 19 日

  • 總則
    • 第一條、目的

      日盛國際商業銀行股份有限公司(以下簡稱本行)為強化資訊安全管理,確保本行資訊資產避免遭受內部、外部蓄意或意外之威脅與破壞,爰訂定本規則。

  • 適用對象及目標
    • 第二條、適用對象
      • (一) 本行之全體人員及與本行有業務往來之廠商及訪客人員等,均應遵守本規則。
      • (二) 資訊資產之定義:係指維持本行資訊業務正常運作之硬體、軟體、文件、人員及資料。
    • 第三條、目標

      為保護本行資訊資產避免遭受不當的使用、竄改或破壞等情事,本行之資訊安全目標如下:

      • (一) 保護本行資訊資產之機密性,避免未經授權之存取。
      • (二) 保護本行資訊資產之完整性,避免未經授權之修改。
      • (三) 保護本行資訊資產之可用性,確保資訊及重要服務在人員需要時可以取得服務。
      • (四) 確保本行各項資訊作業均符合相關法令要求。
  • 組織權責
    • 第四條、資訊安全政策、計劃及技術規範之研議、建置及評估等事項,由資訊權責單位辦理。
    • 第五條、資訊資產之安全需求研議、管理及保護等事項,由資訊權責單位協同業務單位共同評估辦理。
    • 第六條、稽核作業的執行及管理事項的追蹤由稽核權責單位負責辦理。
  • 管理措施
    • 第七條、 本行之資訊安全管理措施如下:
      • (一) 全體人員應接受資訊安全教育訓練或確實了解資訊安全宣導事項,以提升全體人員資訊安全水準。
      • (二) 應建立資訊資產等級之分類,以及相對應之管控層級作業。
      • (三) 資訊資產應採行防範及保護措施,以偵測及預防電腦之惡意軟體或行為之危害,確保系統正常運作。
      • (四) 針對資訊資產的新增、變更與移除與使用等作業,建立相對管控機制。
      • (五) 應以防火牆及其他安全設施,管控與外界網路之連接,以避免外部非授權之存取。
      • (六) 為保護資訊資產資料處理的完整,系統異動或變更應依變更程序執行。
      • (七) 資訊資產之使用應有適當層級授權。
      • (八) 資訊處理中心應建立門禁管控及環境週邊設備管理。
      • (九) 資安事件發生時,應依循本行通報程序進行通報。
      • (十) 依業務需求訂定持續營運計劃並定期測試演練。
  • 附則
    • 第八條、本規則每年至少評估一次,以反映相關法令規範、資訊技術環境及資訊業務之最新狀況,確保資訊安全之實務作業之有效性。本規則之修訂,應呈送金控資訊安全委員會審議通過後再依本規則第十條規定辦理。
    • 第八條之一、本行應就整體電腦系統(含自建與委外維運)依據「金融機構辦理電腦系統資訊安全評估辦法」建構評估計畫,並提報董事會核定,該評估計畫應至少每三年重新審視一次。
      本行應依資訊資產之重要性及影響程度進行分類,定期或分階段辦理資訊安全評估作業,並提交「電腦系統資訊安全評估報告」(以下簡稱評估報告)。評估報告缺失覆查應提報董事會,評估報告應併同缺失改善等相關文件應至少保存五年。
    • 第八條之二、本行應設置資訊安全專責單位及主管,不得兼辦資訊或其他與職務有利益衝突之業務,並配置適當人力資源及設備。
      本行資訊安全專責單位負責規劃、監控及執行資訊安全管理作業,每年應將前一年度資訊安全整體執行情形,由資訊安全專責單位主管與董事長、總經理、總稽核聯名出具資訊安全整體執行情形聲明書,並於會計年度終了後三個月內提報董事會。
      本行資訊安全專責單位人員,每年至少應接受十五小時以上資訊安全專業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管單位及其他管理單位之人員,每年至少須接受三小時以上資訊安全宣導課程。
    • 第九條、本規則未盡事宜,悉依相關法令以及本行相關規定辦理。
    • 第十條、本規則經董事會核定後施行,修正時亦同。