銀行組-數位資訊安全獎 建資安管理儀表板 全行落實

　中信銀由總經理及各事業一級主管帶領全行落實資安文化，每季召開企業資訊安全委員會督導全行資安執行成效，並將資安指標達成情形列入全行績效考核，並落實獎勵與懲罰機制。為持續追蹤全行各單位資安落實情形，建立資安管理儀表板，蒐集呈現全行各項資安管控及作業指標，主管可隨時掌握單位資安指標達成情形。同時也建立了員工個人資安指數儀表板，同仁可以掌握自己的資安曝險及資安衛生習慣程度，並與全行平均指數比較，並依據結果進行宣導及管理。

　銀行也已設立資深副總層級之CISO資安最高主管，督導全行資安治理、規劃與管理。同時，為了達成長遠目標與發展方向，也制定資安五年發展藍圖並呈報總經理核定，每年督導執行成效。其轄下設立資安專責單位，並建立資安人員專業職系發展藍圖，讓資安人員參考路徑圖規劃未來專業能力建構與職涯發展，並透過績效考核鼓勵資安人員取得資安證照，中信銀資安人員已累計取得96張國際資安專業證照，如CISSP、CISM、CSSLP、CEH等。

　資安專責單位每年評估辨識關鍵資安風險情境，例如針對性攻擊、勒索病毒攻擊、DDoS阻斷服務攻擊等情境，再依據攻擊情境路徑設計出縱深防禦體系。為持續確保縱深防禦有效，已設計10幾項資安關鍵控管有效性指標及風險監控指標，並每季呈報總經理及董事會，以掌握資安風險管控有效性以及曝險情形。同時每年委請獨立第三方進行全面性資安健檢以及資安法規遵循查核，並將健檢及查核結果呈報企業資安委員會及董事會。另外，中信銀也已建置資安事件分析平台SIEM、SOC資安監控中心、告警事件處理標準程序以及F-ISAC情資處理標準程序，訂定各類告警及情資之處理時效。

　中信並定期聘請國際白帽駭客團隊實施Redteam攻防演練。同時，為了能及時辨識資安防禦及偵測的缺口，採用國際領先之以色列公司Cymulate自動化滲透攻擊模擬平台BAS（Breach Attack Simulation），能夠模擬穿透測試各種層面防禦機制。