現今社會許多事都是於網路世界進行，如購物消費、投資理財，或是社交聯繫等，資訊安全與生活息息相關，落實資安防護係保障客戶權益及金融體系穩健運行。

本公司依據國內外資安相關法令規範與業務需求，如「金融控股公司法」、「金融控股公司子公司間共同行銷管理辦法」、「金融機構資通安全防護基準」及「個人資料保護法」等，訂定資安管理政策、建置管理系統並成立行動小組，以落實集團之資訊安全。據此，合庫銀行成立「資安管理小組」，建立資通安全風險管理架構，並配合金管會推動之「金融資安行動方案」於110年設置資安長；本公司亦於111年設置副總經理層級資安長，統籌資訊安全政策推動、協調及資源調度，提升對資安議題之執行與應變能力，為增進董事會成員對資安情勢掌握，並實質將資安風險納入經營決策考量，合庫銀行開辦銀行董監事及高階主管資安課程；另合庫銀行及合庫人壽也藉由委聘外部專業資安人士參與資安管理會議，針對資安議題提供諮詢與建議且每年於董事會提報前一年度資訊安全整體執行情形。

本公司訂有「電腦資安事件應變處理要點」，設置跨部門「資安事件應變小組」與通報作業辦法，透過定期演練確保同仁之應變防護能力，俾有效降低資安事件發生時之影響與衝擊。另為減緩因系統遭入侵而蒙受財務損失與衝擊並儘速恢復營運，合庫銀行於111年投保「資訊系統不法行為險」，透過風險轉移方式期能有效降低財產損失。同時為提升本公司資訊安全整體應變與防護能力。

目前全集團皆設有資安人員共60人，每半年定期審視各子公司資安防護措施與執行情形並召開金控集團資安聯防會議，檢討資安聯防管理作業辦理情形，建立集團資安分級管理與資安治理制度，持續強化整體資訊安全與資料保護。
為增進金融機構間資安情資交流及分享，本公司與子公司(合庫銀行、合庫證券、合庫人壽、合庫投信及合庫票券)110年皆已加入「金融資安資訊分享與分析中心」(簡稱F-ISAC)，透過會員間分享資安資訊，協助資安規範評估與建議，持續精進相關保護措施。

為維護本公司資通安全之機密性、完整性、可用性與適法性，避免發生人為疏失、蓄意破壞與自然災害時，資通與資產遭致不當使用、洩漏、竄改、毀損、消失等，影響營運作業，並導致公司及客戶權益損害。合庫銀行已於98年導入ISO 27001 資訊安全管理系統，並持續維持證書之有效性，目前證書之有效期為110年2月17日至113年2月16日，合庫人壽已於102年導入ISO 27001 資通管理系統，目前證書之有效期為110年5月31日至112年5月21日，合庫證券已於111年導入ISO 27001 資通管理系統，證書之有效期為111年5月31日至114年5月21日。透過ISO 27001資訊安全管理系統之導入，強化資通安全事件之應變處理能力，保護公司與客戶之資產安全。為確保公司業務持續性，在遭受不良事件能繼續不間斷運作，合庫銀行於111年導入ISO22301業務連續性管理系統，並於111年12月取過認證。

2022 年國內外以金融機構為攻擊對象的重大資安事件，依型態可分為 DDoS 攻擊、ATM系統遭駭、勒索軟體攻擊、網路釣魚詐騙、金融機構供應鏈遭駭、偽冒金融機構行動應用程式、社交工程攻擊、惡意程式攻擊等已知或潛在之風險，發生頻率有逐年增加趨勢，攻擊來源大多來自國際駭客組織。

針對因新興科技所產生之資安風險，各子公司訂定評估檢核機制、執行資訊安全系統測試以及取得資訊安全認證，以落實資訊安全之管理。

為增進員工資安防護能力與意識，每年持續辦理全集團資安教育訓練，2021年員工完訓率達 100%，並實施「社交工程電子郵件攻擊演練」及「分散式阻斷服務攻擊(DDoS)演練」，以強化對郵件及網路攻擊的應變能力 ;「社交工程電子郵件攻擊演練」開啟率、檔案連結開啟率、附件開啟率 3 項需小於3%，2021 年集團 3 項比例皆小於 3%。

鑑於各子公司經營之金融業務皆包含大量個人資料，為完備個人資料保護，本公司訂有「個人資料檔案安全維護辦法」與「個人資料檔案安全稽核機制」，各子公司亦均訂有個人資料保護管理政策或運用要點等相關規範，以進行客戶資料之蒐集、儲存與保管、保護、分類、利用等，且於商品或服務說明中充分揭露或告知，並設置相關之資料修改、取消運用、申訴機制等辦法。

各子公司亦設置個人資料保護管理之運作組織，推動及辦理個人資料檔案之安全稽核、個人資料檔案風險評估作業及自評作業等，每年皆依所屬業務職掌辦理個資保護相關之內、外部查核，以利掌握個資保護管理情形並加以精進。

本集團定期舉辦個人資料保護之教育訓練，如合庫銀行舉辦「個資事件預防與個資事故演練緊急應變」課程、合庫人壽於數位學習平台提供「個人資料保護」課程，以提高員工日常作業利用個人資料之適法性及安全性意識。2021年度本集團所有同仁完訓率為 100%。

本集團就個資侵害事件亦建置個資事故處理及通報程序，如合庫銀行訂有「個人資料安全事故處理與通知管理要點」處理個資外洩事件，若屬一般個資事故，應先通報權責單位，其處理程序包含查明原委後以適當方式通知當事人及研議矯正預防措施;若涉及客戶個人資料且屬重大事故，即成立危機處理小組進行重大個人資料安全事故後續因應措施，並持續與當事人溝通，必要時統一發布新聞稿。另合庫銀行亦訂有「員工獎懲要點」，員工倘洩漏業務機密或違反內規將受到相對應之懲處。2021 年度合庫集團無資料外洩事件^註、無個資相關的資訊外洩事件占比、無受影響之顧客數，亦無違反個資保護之裁罰事件。