資訊安全管理

為強化資安防護能力，達成安全、便利、營運不中斷目標，本公司持續優化精進資訊安全措施，目前已設置資安長一人統籌協調資訊安全相關事務，成立資訊安全專責單位，包含資安專責主管一人，資訊安全人員二人，專責資訊安全政策及相關制度之執行，定期資訊會議討論及追蹤各項資訊安全相關議題，每年總結資訊安全整體執行情形，於董事會報告檢討及改善狀況，並由董事長、總經理、稽核主管及資安長聯名出具年度資訊安全整體執行情形聲明書。

由於資安威脅手法不斷演變，為有效因應外部威脅，本公司同時也加入金管會所成立之金融資安資訊分享與分析中心(Financial Information Sharing and Analysis Center，F-ISAC) 及國家資通安全研究院(NICS)負責之台灣電腦網路危機處理暨協調中心(TWCERT)，以提升資訊安全情資能量及加強資訊安全應變能力；並設置「資訊安全諮詢小組」，每月報告相關資訊安全議題及辦理情況，114年度共召開21場會議，針對資安治理與管理架構、整體資安執行等方面給予專業建議，以規劃資安新思維方向，強化金融資安韌性，建立完善資安應變體系，同時針對公司全體同仁每季辦理資安與新興科技安全(例如AI、變臉攻擊、新型態釣魚郵件)防護宣導；另為落實資安政策推行，成立「資訊安全管理審查委員會」，辦理相關資安作業推動及異常事件處理；同時為提升對客戶最終之保障亦合併集團投保資安險，涵蓋範圍包括資料保護、資訊系統錯誤責任及不法行為等項目，當資安事件發生時儘量降低造成的損失。

本公司為確保資訊服務能持續有效運作，除資訊系統經ISO27001資訊安全認證，亦通過ISO22301營運持續管理認證，並參與集團特設之營運持續暨資訊服務委員會，定期開會檢討修訂營運持續管理政策並貫徹執行，以持續提昇並提供客戶不中斷之服務。

本公司致力提供高可用度及完善之交易服務，災害復原是營運持續之重要能力，包含資源重置、異地備援、緊急應變處理及服務恢復。當發生天災、人為疏失或惡意破壞等突發事故等，以致公司關鍵業務毀損或中斷時，透過災害復原機制，迅速回復正常或可接受的服務水準。

持續建立與強化全集團員工對於資訊安全的認知，讓員工了解資訊安全威脅對於生活與工作的衝擊與影響，盡可能降低發生之風險，培養及提升資安意識。

模擬攻擊者的思考方式對企業進行各種入侵攻擊測試，以駭客思維嘗試入侵該企業的網站、網路系統、儲存設備等軟硬體，找出各種潛在的漏洞，以驗證企業的設備與資料是否可被破壞或竊取，確認其安全性是否需再加強。

透過軟體進行弱點掃瞄，找出系統、主機、網站可能的弱點或漏洞，發現潛在風險並進行風險控制與強化安全，以利先行防護。

持續完備資安管理規範與程序，定期檢視資安執行有效性，維持國際資安認證與合規，持續強化資安防護與建立聯防機制，培植優質資安人才、提升專業職能。

ISO 27001為目前國際公認最完整之資訊安全管理標準，透過標準化的管理及控制措施，以降低資訊安全風險，並持續加強資訊安全管理系統之防禦，保護營業機密，防止資訊之外洩與濫用。群益通過ISO 27001國際標準驗證，對客戶資料及交易安全提出最大的承諾與保證。群益於2006年導入ISO 27001資訊安全管理系統，並定期取得ISO 27001認證，目前證書之有效期為2024年2月18日至2027年2月17日。

ISO 22301是根據英國標準BS 25999及其它地區標準的成功經驗而制訂。它的用意是保護您的企業免於遭受潛在的破壞性事件而停止運作，包括：惡劣氣候、火災、洪水、天災、盜竊、IT故障、工作人員生病或恐怖攻擊。群益通過ISO 22301管理系統驗證，能讓公司鑑別出與營運有關的威脅及可能受到影響的主要作業，可以未雨綢繆以確保營運不致陷於停頓。群益於2008年導入ISO 22301營運持續管理系統，並定期取得ISO 22301認證，目前證書之有效期為2023年11月26日至2026年11月25日。