資安專區
-
資訊安全政策
第一條(訂定目的及依據)
為強化資訊安全品質,確保本公司資訊資產之機密性、完整性、可用性與適法性,使其避免各種蓄意或意外之威脅,復衡酌本公司業務需求,依據「建立期貨商資通安全檢查機制」特訂定本政策。第二條(資訊安全之目標)
本公司資訊安全目標如下:
- 確保資訊資產避免遭未經授權之不合法存取。
- 確保資訊資產及其處理方法之準確與完整
- 確保被授權使用對象在需要時可使用資訊資產。
- 確保資訊作業符合法令規範。
第三條(資訊安全定義、範圍及適用對象)
資訊安全係指確保本公司資訊資產安全,免受干擾、破壞、入侵之行為或企圖之威脅;如遇緊急事件發生時,能迅速作必要性之應變處理,可在最短時間內將營運作業恢復正常,降低事件可能對本公司帶來的損害。 前項所稱之資訊資產,係指本公司各種以資訊設備儲存之資料、系統、設備、網路安全及各項資訊作業。
本政策除本公司全體人員應遵守外,提供本公司各項資訊服務之廠商亦應遵守之。第四條(本政策之解釋及說明,資訊安全之原則、標準及人員應遵守規定)
為保護公司資訊資產,及與網路或資訊相關的資訊安全,唯有良好的安全管理機制,透過本政策落實執行,及不斷的運作及改善,才能促使本政策日臻完善。 本公司資訊安全及人員管理規範如下:
- 適時更新資訊安全管理制度,並妥善保護相關紀錄。
- 定期進行資訊資產分類與風險評鑑。
- 本公司全體人員皆有責任及義務保護其擁有、保管或使用之資訊資產。
- 資訊資產之授權依職能分工與責任範圍予以區分,避免資訊或服務遭未經授權修改或誤用。
- 業務往來廠商或外部人員如需存取本公司資訊資產,將進行必要之審核,並給予必要之資訊安全說明。該等人員並負有保護其所運用本公司資訊資產之責任。
- 確保工作場所資訊資產安全,以防範遭竊取或毀損。
- 落實資訊通訊安全管理。
- 資訊作業或程序之開發、修改及建置,皆須遵循資訊安全目標之規定。
- 遵循公司內外法令規定,建立內部控制程序,定期執行資訊安全查核作業。
第五條(資訊安全工作之組織、權責及分工)
公司應指定資訊安全專責人員一人,綜理資訊安全政策推動及資源調度事務,成立跨部門之「資訊安全推行小組」,透過小組職掌分工,負責資訊安全管理事項之規劃、落實。
- 資訊安全工作小組 (資訊安全小組架構圖)
-
資訊安全工作小組
召集人:由本公司總經理、總經理室副總經理或高層主管人員擔任。
規劃人員:由總經理室、經紀事業部、通路服務部、法人部、顧問事業部、交易結算部、法令遵循室、管理部等各部門主管擔任。
資安人員:由電子商務部人員擔任。
查核人員:由電子商務部主管擔任。
-
資訊安全工作小組職掌:
名稱 工作職掌 召集人 - 召開並主持資訊安全工作小組會議。
- 遇有重大資訊安全事件發生時,向總經理彙報事件處理、因應等相關資訊。
- 協調各單位提供資訊安全所需資源。
- 必要時邀請公司內外人員進行資訊安全議題之專題報告。
規劃人員 - 資訊安全政策之評估、規劃。
- 提供資訊安全之建議。
- 根據法令、各部室需求與建議,將資訊安全相關制度修訂建議提報資訊安全工作小組會議。
資安人員 - 執行資訊安全管理制度,並發展安全控管機制。
- 每年舉辦公司內部資訊安全講習。
- 資訊安全事件發生時召集相關人員進行應變與復原事宜。
查核人員 - 偕同資訊單位進行資訊安全相關之作業層級風險評估及控制作業評估。
- 追蹤不符合事項之改善執行情形。
第六條(資訊安全政策適用範圍)
辦理下列事項時應遵守本政策:
- 資訊安全政策評估。
- 風險評鑑管理。
- 資訊安全組織、權責及分工。
- 資訊資產管理。
- 人員安全管理。
- 實體與環境安全管理。
- 通訊與作業管理。
- 存取控制管理。
- 系統開發及維護管理。
- 營運持續管理。
- 符合性審查。
- 新興科技應用。
第七條(資訊安全整體執行報告)
公司每年應將前一年度資訊安全整體執行情形,由負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「證券暨期貨市場各服務事業建立內部控制制度處理準則」第二十四條規定之內部控制制度聲明書,於會計年度終了後三個月內提報董事會通過,並將該聲明書內容揭露於主管機關指定之申報網站。第八條(資訊安全事件之緊急通報程序、處理流程)
資訊安全事件應區分發生事件之等級及類型,發生資訊安全事件時,應依規定分別按事件區分之等級及類型,及時處理及依程序辦理通報。第九條(法令修訂及適用)
本政策應至少每年評估一次,並留存相關紀錄,以反映法令規章、技術及業務等最新發展現況,確保資訊安全實務作業之有效性。必要時並得委託外部專業機構辦理。第十條(核定層級)
本政策經董事會通過後實施,修正時亦同。規章衍歷:民國100年4月28日第六屆董事會第十二次會議決議通過。
民國102年5月23日第七屆董事會第九次會議修正通過。
民國104年4月23日第八屆董事會第五次會議修正通過。
民國109年12月24日第十屆董事會第二次會議修正通過。
民國111年3月11日第十屆董事會第七次會議修正通過。
民國112年8月18日第十一屆董事會第二次會議修正通過。網路釣魚防範
謂網路釣魚
網路釣魚(Phshing)即為網路詐騙者未經許可、以大量發送垃圾郵件為釣餌,通常以金融機構、電子商務網站的名義發送電子郵件,最終目的是竊取個人身份資料進行犯罪。
防範網路釣魚,安全提醒
使用本公司網站服務時,請由國票期貨網址 https://www.ibff.com.tw 進入。- 本公司不會主動去電詢問或寄發電子郵件要求客戶輸入帳號密碼、身份證字號等個人資料。
- 若您收到疑似本公司名義寄發之可疑郵件,請勿回覆、點擊郵件(通訊軟體、其他網站)之連結網址。如有疑問,請洽本公司客服專線02-2528-8165。
- 養成良好習慣,請勿隨意開啟或下載來路不明的檔案、軟體或程式。
- 個人電腦應安裝防毒軟體,應更新防毒軟體病毒碼及作業系統安全修補程式更新至最新版本。