<子公司臺灣銀行>

一、強化貴金屬牌價訂定系統之覆核機制及控管功能。

1. 建立牌價訂定之線上覆核程序。
2. 增設異常牌價之系統監控功能。
3. 增設牌價傳送予合作銀行之更正刪除功能。
4. 修訂貴金屬交易及掛牌相關標準作業流程，增設風險控管點及覆核機制。
5. 強化交易員之教育訓練。

<子公司臺銀人壽>

​二、加強外匯衍生性金融商品交易分析及決定之紀錄留存。

三、強化保單簽收回條之管理。

四、優化重大作業風險事件之相關流程以及強化弱點掃描相關作業。

<子公司臺銀證券>

​五、導入流量清洗服務並辦理資安攻擊演練，以降低網路攻擊時對客戶下單之衝擊。

1. 已完成與往來固網業者網路下單線路導入DDoS 防禦清洗流量或流量分流服務，之後未再發生遭受攻擊影響系統運作情形。
2. 已定期委託第三方辦理包括DDOS攻防等異常情況之資安攻擊演練，並持續蒐集資安異常事件之情境納入演練計畫。

​六、加強應用系統維護完成後，更新相關文件及手冊之及時性，以確保下單系統正確運作。

1. 業已更新市場會測處理程序，及完成前端 FIX 閘道主機自動執行排程設定，並規範假日市場會測之覆核程序。
2. 已將應用系統上線之應辦事項納入評核表，並逐項檢核。
3. 將依內規再修正控管表單，規範應用系統換版需更新相關文件(含手冊)，並作通知或教育訓練。

​七、加強委外廠商管理，確實將委外廠商提供服務之管理事項訂入契約文件。

1. 已與導致資安事件之委外廠商完成增補契約。
2. 已每年最少抽選兩家委外廠商實地查核。
3. 已於資訊服務採購合約文件，訂定委外資訊廠商服務水準及罰則。

​八、強化應用系統變更或資料轉換作業後之驗證作業，以確保系統正常運作。

1. 已修訂相關規定，增訂「應用系統程式測試評核表」及核心系統新上線、重大改版前，使用單位、廠商及資訊單位應召開三方審查會議。
2. 已發函業務單位，於系統上線或資料轉換完成後，要求委外廠商須提供相關完成紀錄供本公司確認。

​九、確實掌握資安事件通報時效，於規定時間內向主管機關完成通報。