2.5 資訊安全與客戶隱私保護

有鑒於網路交易日漸普及，在金融數位化時代維持並持續精進組織之資訊安全機制，替客戶嚴格堅守個人資訊並確保交易安全，係屬統一證券之重要課題。本公司 將持續關注金融商品之數位交易模式及金融犯罪手法，持續精進內部資訊安全系統及制度，讓客戶得以安心執行各項交易。

2.5.1 資訊安全組織架構與政策推行

本公司依據金管會規範及本公司《資訊安全政策》，已於2018年正式於資訊系統部下設資訊安全科，將維護資訊安全之任務型小組升格為常態型組織，配置資訊安全 專責主管及二位資訊安全專責人員，藉此強化資訊系統之維護與運作控管。2021年11月4日經董事會決議通過新任資訊安全長，綜理資訊安全政策推動及資源調度事 務。同時亦成立跨部門之資訊安全推行小組，並每年召開資訊安全推行小組會議，由總經理擔任總召集人、資訊系統部之主管擔任總幹事，統合各部門單位執行內部 資訊安全之政策推廣、工作計畫及資源調度等事宜，確保組織得有效推廣資訊安全管理政策，強化內部資訊安全意識，並提供客戶最安全的資訊交易環境。

依據證交所發布之《證券商資通安全檢查機制》，統一證券屬分級防護第二級（B 級）之證券商。本公司謹守該分級中之十三項應辦事項，如持續維持資通安全專業 證照、資訊系統分級、網路防火牆、防毒軟體、電子郵件過濾機制、資通安全健診、資通安全威脅偵測管理機制、入侵偵測及防禦機制、應用程式防火牆等。每半 年配合主管機關進行市場模擬測試確保備援電腦系統能順利運作及加強系統操作之熟練度。本公司 2022 年資安相關預算費用佔整體資訊預算費用約 15.77%，且當年度 已配合F-ISAC推動資安治理成熟度評估，並完成固有風險及網路安全成熟度評估。

深化內部資訊安全意識

2022年期間，本公司辦理各項資訊安全相關之教育課程、宣導講座以及資訊安全實際演練程序，期望透過多方管道及措施，提倡資訊安全控管流程並深化同仁之資訊安全 意識，並於執行相關業務時留意相關風險，確保資訊安全之落實，維護客戶與公司權益。本公司除完成資訊安全相關管理規範之修訂外，亦逐步完成相關設備之安全更新及 版本升級，更進一步委請外部單位進行獨立檢測評估以提早發現潛在資訊安全風險。

2.5.2 電子交易及資訊安全管理

為因應金融市場之數位轉型模式，統一證券致力於推廣電子交易。全公司整體交易中，電子交易之占比逐年成長，2022 年度之電子交易比重為 79% ，較 2021 年度 74% 增長約 5%。本公司之電子交易系統係以臺灣網路認證之 CA 憑證作為交易買賣下單之簽驗認證，客戶執行網路交易時，除經證券商或期貨商之帳號及密碼檢查 外，須經由外部第三方所發行之憑證作為第二道防護認證，同時交易過程中係採用國際公認之SSL技術執行傳輸加密，以增進網路交易之安全程度。

資訊安全管理系統（ISMS）認證

統一證券於2013年 8月首度向英國標準協會（「BSI」）申請並取得ISO 27001：2005，針對電子交易系統之資安管理認證，並於2014年7月底通過資安管理之續審 及ISO 27001：2013之更新認證；後續每年度皆定期續審，維持認證之有效性，且每3年定期進行ISO 27001之重新審核與認證作業。2022年已於8月25日完成認證重 審，證書自2022年8月25日持續有效至2025年8月24日。藉由導入ISO 27001機制，建立「安全等級」之資訊管理制度，以落實公司內部資訊安全之制度化及標準化， 同時強化既有資安管理機制之控管，並減少作業疏失，以達降低資安風險與保護營業機密之目的，進而提供具完善安全防護機制之交易系統，使客戶得安心享受電子 交易之便利性。本公司使用臺灣網路認證CA憑證來做下單的簽驗認證，客戶在網路交易時，除了有證券商 或期貨商的帳號及密碼檢查之外，還經由公正的第三者所發 行的憑證作為第二道關卡，以及採用國際公認的SSL技術作傳輸加密，以增加網路交易時所重視的安全程度。

此外，本公司亦於2022年首季於所有電子交易平台導入雙因子認證登入機制，以加強使用者之帳號安全，避免帳號及個人資料遭受盜用或侵害等事故。

2.5.3 個資保護推動

統一證券於個資保護方面，係採用國際公認之「BS 10012個人資訊管理系統（Personal Information Management System）」，落實本公司保護客戶個人資料 及交易資訊之職責，不僅為履行《個人資料保護法》之行為體現，更是對客戶個資隱私權保障的承諾。

統一證券之經紀業務部門已於2013年12月取得BSI之BS 10012個人資訊管理系統認證，2017年之認證範疇更擴及至股務代理部門，相關部門執行開戶及後勤業務等作 業程序，皆符合BS 10012個人資訊管理系統認證之規範與管理機制，本公司於業界亦屬少數獲得雙部門認證之證券商。

本公司於2012年委請外部專業顧問機構協助逐步導入個資管理機制，並訂定內部相關政策與作業規範，且為提倡個資保護之重要性，於內部網站設置個資文件中心， 以供各單位依循遵守。

2012年度亦成立任務型之「個資管理委員會」，由總經理擔任召集人、各部室之最高主管擔任個資管理負責人，並由法令遵循處組成個資保護推動小組、管理部組成 緊急事件應變小組、經紀部組成個資聯繫窗口小組，以確保個資管理政策及工作之有效執行。

個資管理委員會之主任委員每季定期召開委員會，會中將針對當季個資管理系統之運作及執行情形進行報告與檢討。每年度委員會亦會針對相關規範進行檢討，同時 盤點任何涉及客戶個人資料之文件。

統一證券高度重視客戶交予我們的任何資訊，本公司將依據《個人資料管理目標與政策》，竭力確保客戶個人資訊之安全性及機密性。2022年度本公司未發生資訊外 洩事件，亦未有客戶個資 / 隱私外洩或遭受侵害、遺失客戶資料之事件，因相關事件受到影響之人數為 0。

統一證券之個人資料保護管理機制：