為全面提升數位金融業務及資訊安全管理效能，本公司聘請二名具有電腦科學及資訊管理背景之博士擔任董事，且設置資訊安全長，由前行政院國家資通安全會報技術服務中心主任暨資訊工業策進會資安科技研究所副所長擔任，轄管電子資訊處，負責集團資訊系統及資訊安全管控措施之規劃、建置、推動與管理，以及相關資源共用及整合。

本公司設置「資訊發展委員會」，由總經理擔任主任委員，副總經理、電子資訊處處長及各子公司總經理、掌理資訊業務之副總經理(或具專業背景之經理人)擔任委員，定期召開會議討論及審議集團各公司資訊發展、資訊安全及管理等議題；另配合主管機關規範，2023年度銀行、證券、投信及人壽子公司均將資訊安全整體執行情形納入內部控制制度聲明書，並由各公司資安長或負責資訊安全專責單位主管或最高主管與其董事長、總經理、總稽核、總機構法令遵循主管聯名出具內部控制制度聲明書。

本公司為支援集團整體業務發展及確保資訊資源之有效運用，並兼顧資訊系統及作業之安全，依據董事會審議通過之「資訊管理暨資訊安全政策」規範本公司與各子公司應依行業特性制訂相關之資訊作業管理規定，另為強化本公司及各子公司資訊作業系統、設備網路及資料安全，加強內部控管機能，及配合資訊管理有關法令，訂有「資訊作業管理辦法」，並因應銀行公會對物聯網(IOT)設備之控管要求，於「資訊安全管理辦法」訂定物聯網(IOT)設備之使用及安全控管規範。「內部控制制度」對資訊安全/網路安全風險亦訂有業務規範及處理手冊，包含應用系統作業控管、硬體及環境管理、網路管理、網頁管理、電子郵件安全管理、電腦使用者權限管理、災害復原程序、子公司監理與電腦檔案保存、儲存及處理原則。

為提供安全便利不中斷的金融服務，本公司及銀行、證券、人壽子公司依據金管會「金融資安行動方案2.0」落實執行相關規劃及辦理情形如下：

為確保資訊作業系統、設備、網路及資料等之安全，維持營運不中斷，本公司訂有「資訊作業管理辦法」及「資訊作業災害復原計畫細則」作為資訊作業緊急應變之依據，每半年執行災害復原演練，另為強化集團各公司發生重大資安事件之處理機制，本公司於2022年訂定「第一金融控股股份有限公司電腦資安事件應變小組設置要點」並設置「電腦資安事件應變小組」，由資安長擔任召集人，電子資訊處處長擔任副召集人，該處資訊安全組、資訊規劃組及各子公司資安主管擔任小組成員，並區分為5個小組各自負責資安事件應變、處理、對外聯繫及安全管理等事宜。

為即時掌握資訊安全事件之處理時效，本公司訂有「資訊安全事件通報作業細則」供集團各公司遵循，資訊安全事件處理流程如下：

為加強同仁對資訊安全有正確的觀念並遵守相關規範，2023年共舉辦資安教育訓練77場、22,541人次參訓、訓練總時數計263小時：

為防範惡意程式透過社交工程方式入侵公司資訊系統，另加強資通安全教育，銀行、證券、投信及人壽子公司針對全體員工，於安全監控範圍內每年不定期進行2~4次社交工程演練，員工受測涵蓋率為100%，演練項目包含開啟信件、點選連結、傳送回條、開啟附件及釣魚成功，針對演練未合格之單位及資安意識較不足之員工，除加強教育訓練及資安宣導，更將演練完成率及發生危害資訊安全事件導致本公司或子公司遭主管機關重大裁罰處分者等資訊安全相關項目列為員工年度績效考核指標，未達標者依員工獎金發給規則規定減降當年度績效獎金，以降低潛在弱點威脅發生之風險。2023年本公司及各子公司均未發生危害資訊安全之重大偶發通報事件及造成營收損失的IT基礎架構事件，亦未遭受主管機關裁罰。

而為確保網路及資訊系統安全，提供客戶安全之自動化服務，銀行、證券、投信及人壽子公司均已取得ISO 27001認證，並爲維持證書的有效性，每年委請驗證單位進行複審及三年重審作業，以提供更安全之金融商品及交易流程。

為強化資安韌性與資訊安全，各子公司採行相關措施如下。集團各公司於2023年均未發生資安事件。

持續購買「資訊系統不法行為保險」以減緩因系統遭入侵而遭受之財務損失，並透過獨立第三方執行資訊安全評估作業，發現潛在之資安威脅與弱點，據以實施技術面與管理面相關控制措施，如持續進行核心系統轉型、擴充備援中心量能、透過容器化安全防護、防火牆規則自動化佈署、程式碼檢測優化整合、特權帳號支援平台擴充，建構關鍵資安防護能力，且辦理「資安攻防紅隊演練」，檢視網路環境及應用系統安全性強度、防禦設備之有效性、管理制度及程序之落實性、監控範圍之合理性及反應時間之適切性。

透過獨立第三方執行弱點掃描及滲透測試作業，檢視網路及系統安全性、防禦設備之有效性，並建立多層式防禦佈署與控制措施，提升資安防護強度，同時持續加強核心交易系統備援能量及定期辦理核心交易系統中斷之應變演練，以強化應變處理能力。

已建置SOC資安監控系統、DLP機敏資料防護系統，並定期檢視防火牆規則；每年並執行弱點掃描、社交工程演練及官網滲透測試；訂定資訊系統營運持續計畫以因應緊急事故，每年執行異地備援演練；於每年第四季辦理「DDoS攻防演練」，以確認網路攻擊之防禦機制成效。

每年委託外部專業資安廠商辦理弱點掃描、滲透測試、行動應用程式(APP)檢測、資訊系統與網路設備安全設定檢視等評估作業，協助發現資安威脅與弱點，並透過各項改善作業強化資安防護能力。此外，每年均辦理社交工程演練、DDoS攻防演練、個資外洩應變演練、資訊系統營運持續計畫(BCP)演練，透過情境模擬實作之方式，提升同仁應變能力與相關意識，同時確認各項應變作業流程之適切性與合理性。

已透過獨立第三方執行資訊安全評估及弱點掃瞄作業，發現潛在之資安威脅與弱點，據以實施技術面與管理面相關控制措施，並進行微軟伺服器作業系統升級、汰換外部防火牆及持續修補資安弱點，以提升資安防護能力。

重視客戶隱私，第一金控及各子公司訂有個人資料保護政策及要點，相關範圍、規範、措施及內控制度如下：

第一銀行除國內單位遵循「歐盟資料保護規則」(EU GDPR)相關措施外，海外分行亦均遵循各國主管機關規定之個資保護政策(例如：「英國資料保護規則」(UK GDPR))，另為落實員工遵循個資保護法，已將洩漏個資納入營業單位考核之扣分項目，並依情節輕重進行個人懲處。

第一金控十分重視客戶個人資料安全，為落實個人資料保護之管理，第一銀行及第一金人壽皆取得「BS10012:個人資訊管理系統」驗證證書，並每年持續進行續審驗證作業，另我們100%監控客戶個人資料的使用狀況，約436萬(46.2%)筆客戶資料在不違反相關法規及與客戶之約定下進行二次使用(如行銷或提升產品/服務品質等)。