2.5 資訊安全與客戶隱私保護

有鑒於網路交易日漸普及，在金融數位化時代維持並持續精進組織之資訊安全機制，替客戶嚴格堅守個人資訊並確保交易安全，係屬統一證券之重要課題。本公 司將持續關注金融商品之數位交易模式及金融犯罪手法，持續精進內部資訊安全系統及制度，讓客戶得以安心執行各項交易。

2.5.1 資訊安全組織架構與政策推行

本公司依據金管會規範及本公司《資訊安全政策》，已於 2018 年正式於資訊系統部下設資訊安全科，將原維護資訊安全之任務型小組升格為常態編制型組織， 並配置資訊安全專責主管及二位資訊安全專責人員，藉此以強化資訊系統之維護與運作控管。2021 年 11 月 4 日經董事會決議通過新任任命資訊安全長，綜理資 訊安全政策之推動及資源調度事務。同時，本公司亦成立跨部門之資訊安全推行小組，並每年召開資訊安全推行小組會議，由總經理擔任總召集人、資訊系統部 之主管擔任總幹事，統合整各部門單位執行內部資訊安全之政策推廣、工作計畫及與資源調度等事宜，並每年召開資訊安全推行小組會議，確保組織得有效推廣 資訊安全管理政策，以有效提升資訊安全治理效能，強化內部資訊安全意識，並提供客戶最穩定、安全之的資訊交易環境。此外，本公司亦聘請資誠聯合會計師 事務所擔任資安顧問，協助董事會進行專業諮詢，強化資訊安全治理機制。

依據證交所發布之《證券商資通安全檢查機制》，統一證券屬分級防護第二級（B 級）之證券商。本公司依規定落實該分級中所列十三項應辦事項，包括持續維持資通安全 專業證照、資訊系統分級、網路防火牆、防毒軟體、電子郵件過濾機制、資通安全健診、資通安全威脅偵測管理機制、入侵偵測及防禦機制、應用程式防火牆等。此外， 每半年配合主管機關進行市場模擬測試，確保備援電腦系統運作順暢，並強化相關人員之系統操作熟練度。2024 年度本公司亦配合證交所委託之外部機構，進行資安治理 成熟度評估作業。2024 年本公司資安相關預算費用占整體資訊預算費用約 17.16%。

深化內部資訊安全意識

2024 年期間，本公司辦理各項資訊安全相關之教育課程、宣導講座以及資訊安全實際演練程序，期望透過多方管道及措施，提倡資訊安全控管流程並深化同仁之 資訊安全意識，並於執行相關業務時留意相關風險，確保資訊安全之落實，維護客戶與公司權益。本公司除完成資訊安全相關管理規範之修訂外，亦逐步完成相 關設備之安全更新及版本升級，更進一步委請外部單位進行獨立檢測評估以提早發現潛在資訊安全風險。

2.5.2 電子交易及資訊安全管理

為因應金融市場之數位轉型模式，統一證券致力於推廣電子交易。全公司整體交易中，電子交易之占比逐年成長，2024 年度之電子交易比重為 76%，自 2021 年 起本公司透過電子交易成交之比重皆維持在 75% 以上。本公司之電子交易系統係以臺灣網路認證之 CA 憑證作為交易買賣下單之簽驗認證，客戶執行網路交易 時，除經證券商或期貨商之帳號及密碼檢查外，須經由外部第三方所發行之憑證作為第二道防護認證，同時交易過程中係採用國際公認之 SSL 技術執行傳輸加密， 以增進網路交易之安全程度。

資訊安全管理系統（ISMS）認證

統一證券於 2013 年 8 月首度向英國標準協會（BSI）申請並取得 ISO 27001:2005針對電子交易系統之資安管理認證。2024 年 7 月通過續審驗證，並通過 ISO 27001:2022 轉版認證。後續本公司每年度皆定期接受續審，並每三年定期進行ISO 27001 之重新審核與認證作業，以維持認證有效性，確保持續符合國際標準 規範。2024 年已於 7 月完成認證擴審，證書自 2022 年 8 月 25 日有效至 2025年 8 月 24 日。透過導入 ISO 27001 機制，統一證券建立「安全等級」之資訊安 全管理制度，落實公司內部資訊安全之制度化及標準化，同時強化既有資安管理機制控管，並減少作業疏失，以達降低資安風險與保護營業機密之目的，進而提供具完善 安全防護機制之交易系統，讓客戶安心使用本公司電子交易服務。

本公司使用臺灣網路認證 CA 憑證來做下單的簽驗認證，客戶在網路交易時，除了有證券商 或期貨商的帳號及密碼檢查之外，還經由公正的第三者所發 行的憑證作為第二道關卡，以及採用國際公認的 SSL 技術作傳輸加密，以增加網路交易時所重視的安全程度。

此外，本公司亦於2022年首季於所有電子交易平台導入雙因子認證登入機制，以加強使用者之帳號安全，避免帳號及個人資料遭受盜用或侵害等事故。

2.5.3 個資保護推動

統一證券在個資保護方面，採用國際公認之「BS 10012 個人資訊管理系統（Personal Information Management System）」，落實對客戶個人資料與 交易資訊之保護責任，不僅體現對《個人資料保護法》之遵循，更彰顯對客戶個資隱私權保障的承諾。

本公司經紀業務部門於 2013 年 12 月率先取得 BSI 頒發之 BS 10012 認證，並於2017 年擴大認證範疇至股務代理部門，相關部門辦理開戶及後勤業務等作業程 序，皆符合 BS 10012 個人資訊管理系統認證之規範與管理機制，本公司亦為業界少數取得雙部門認證之證券商。

本公司於 2012 年委請外部專業顧問機構協助逐步導入個資管理機制，訂定內部相關政策與作業規範，且為提倡個資保護之重要性，於內部網站設置個資文件中 心，供各單位依循遵守，以深化同仁個資保護意識。

同年度亦成立任務型「個資管理委員會」，由總經理擔任召集人，並由各部室最高主管擔任個資管理負責人，另由法令遵循處組成個資保護推動小組、管理部組 成緊急事件應變小組、經紀部組成個資聯繫窗口小組，以確保個資管理政策及工作之有效執行。

個資管理委員會由主任委員每季定期召開會議，針對當季個資管理系統之運作及執行情形進行報告與檢討。每年度委員會亦針對相關規範進行檢討與更新，同時 盤點涉及客戶個人資料之文件，以持續提升本公司個資管理之完整性與作業效能。

統一證券個人資料管理目標

統一證券高度重視客戶交予我們的任何資訊，本公司將依據《個人資料管理目標與政策》，竭力確保客戶個人資訊之安全性及機密性。2024 年度本公司未發生資 訊外洩事件，亦未有客戶個資 / 隱私外洩或遭受侵害、遺失客戶資料之事件，因相關事件受到影響之人數為 0。