有鑒於網路交易日漸普及,在金融數位化時代維持並持續精進組織之資訊安全機制,替客戶嚴格堅守個人資訊並確保交易安全,係屬統一證券之重要課題。 本公司將持續關注金融商品之數位交易模式及金融犯罪手法,持續精進內部資訊安全系統及制度,讓客戶得以安心執行各項交易。
本公司依據金管會規範及本公司《資訊安全政策》,已於 2018 年正式於資訊系統部下設資訊安全科,將維護資訊安全之任務型小組升格為常態型組織,配置資 訊安全專責主管及二位資訊安全專責人員,藉此強化資訊系統之維護與運作控管。2021 年 11 月 4 日經董事會決議通過新任資訊安全長,綜理資訊安全政策推 動及資源調度事務。同時亦成立跨部門之資訊安全推行小組,並每年召開資訊安全推行小組會議,由總經理擔任總召集人、資訊系統部之主管擔任總幹事,統合 各部門單位執行內部資訊安全之政策推廣、工作計畫及資源調度等事宜,確保組織得有效推廣資訊安全管理政策,強化內部資訊安全意識,並提供客戶最安全的 資訊交易環境。
依據證交所發布之《證券商資通安全檢查機制》,統一證券屬分級防護第二級 (B 級)之證券商。本公司謹守該分級中之十三項應辦事項,如持續維持資通安全專業證照、 資訊系統分級、網路防火牆、防毒軟體、電子郵件過濾機制、資通安全健診、資通安全威脅偵測管理機制、入侵偵測及防禦機制、應用程式防火牆等。每半年配合主管機 關進行市場模擬測試確保備援電腦 系統能順利運作及加強系統操作之熟練度。本公司2023 年資安相關預算費用占整體資訊預算費用約 15.82%。
深化內部資訊安全意識
2023 年期間,本公司辦理各項資訊安全相關之教育課程、宣導講座以及資訊安全實際演練程序,期望透過多方管道及措施,提倡資訊安全控管流程並深化同仁之 資訊安全意識,並於執行相關業務時留意相關風險,確保資訊安全之落實,維護客戶與公司權益。本公司除完成資訊安全相關管理規範之修訂外,亦逐步完成相 關設備之安全更新及版本升級,更進一步委請外部單位進行獨立檢測評估以提早發現潛在資訊安全風險。
為因應金融市場之數位轉型模式,統一證券致力於推廣電子交易。全公司整體交易中,電子交易之占比逐年成長,2023 年度之電子交易比重為 77%,自 2021 年 起本公司透過電子交易成交之比重皆維持在 75% 以上。本公司之電子交易系統係以臺灣網路認證之 CA 憑證作為交易買賣下單之簽驗認證,客戶執行網路交易 時,除經證券商或期貨商之帳號及密碼檢查外,須經由外部第三方所發行之憑證作為第二道防護認證,同時交易過程中係採用國際公認之 SSL 技術執行傳輸加密, 以增進網路交易之安全程度。
資訊安全管理系統 (ISMS) 認證
統一證券於 2013 年 8 月首度向英國標準協會(「BSI」)申請並取得 ISO 27001:2005,針對電子交易系統之資安管理認證,並於 2014 年 7 月底通過資安管理之續審 及ISO 27001:2013之更新認證;後續每年度皆定期續審,維持認證之有效性,且每 3 年定期進行 ISO 27001 之重新審核與認證作業。2023 年已於 8 月 25 日完成續審及擴大驗證, 證書自 2022 年 8 月 25 日持續有效至 2025 年 8 月 24 日。藉由導入 ISO 27001 機制,建立「安全等級」之資訊管理制度,以落實公司內部資訊安全之制度化及標準化, 同時強化既有資安管理機制之控管,並減少作業疏失,以達降低資安風險與保護營業機密之目的,進而提供具完善安全防護機制之交易系統,使客戶得安心享受電子 交易之便利性。本公司使用臺灣網路認證 CA 憑證來做下單的簽驗認證,客戶在網路交易時,除了有證券商 或期貨商的帳號及密碼檢查之外,還經由公正的第三者所發 行的憑證作為第二道關卡,以及採用國際公認的 SSL 技術作傳輸加密,以增加網路交易時所重視的安全程度。
此外,本公司亦於2022年首季於所有電子交易平台導入雙因子認證登入機制,以加強使用者之帳號安全,避免帳號及個人資料遭受盜用或侵害等事故。
統一證券於個資保護方面,係採用國際公認之「BS 10012 個人資訊管理系統 (Personal Information Management System)」,落實本公司保護客戶個人資 料及交易資訊之職責,不僅為履行《個人資料保護法》之行為體現,更是對客戶個資隱私權保障的承諾。
統一證券之經紀業務部門已於 2013 年 12 月取得 BSI 之 BS 10012 個人資訊管理系統認證,2017 年之認證範疇更擴及至股務代理部門,相關部門執行開戶及後 勤業務等作業程序,皆符合 BS 10012 個人資訊管理系統認證之規範與管理機制,本公司於業界亦屬少數獲得雙部門認證之證券商。
本公司於 2012 年委請外部專業顧問機構協助逐步導入個資管理機制,並訂定內部相關政策與作業規範,且為提倡個資保護之重要性,於內部網站設置個資文件 中心,以供各單位依循遵守。
2012 年度亦成立任務型之「個資管理委員會」,由總經理擔任召集人、各部室之最高主管擔任個資管理負責人,並由法令遵循處組成個資保護推動小組、管理部 組成緊急事件應變小組、經紀部組成個資聯繫窗口小組,以確保個資管理政策及工作之有效執行。
個資管理委員會之主任委員每季定期召開委員會,會中將針對當季個資管理系統之運作及執行情形進行報告與檢討。每年度委員會亦會針對相關規範進行檢討, 同時盤點任何涉及客戶個人資料之文件。
統一證券高度重視客戶交予我們的任何資訊,本公司將依據《個人資料管理目標與政策》,竭力確保客戶個人資訊之安全性及機密性。2023 年度本公司未發生資 訊外洩事件,亦未有客戶個資 / 隱私外洩或遭受侵害、遺失客戶資料之事件,因相關事件受到影響之人數為 0。