集团首席信息安全官（CISO）向首席信息官（执行团队成员）报告。CISO是关键网络安全治理论坛的成员，负责领导和管理网络安全职能，制定网络安全战略和方向，监督网络安全政策、标准、控制和能力的实施、运作和执行，包括为参与管理西太平洋银行信息资产的第三方提供服务。

我们实施了一系列网络安全流程、技术和控制措施，以促进我们评估、识别和管理此类风险的努力，包括定期网络和端点监测、访问控制、漏洞评估、渗透测试、对员工的年度信息安全培训以及桌面网络安全事件响应演习。

我们有一个事件响应计划，它指导我们在发生疑似或确认的网络安全事件时要采取的行动。该计划包括对事件进行分类、调查、遏制和补救的过程。该计划旨在遏制和尽量减少网络安全事件对我们客户的影响。我们还维持业务连续性计划，该计划提供了在业务中断时保持关键业务流程连续性的程序，包括任何涉及可能对我们的运营产生重大影响的网络安全事件。

我们的网络安全团队通过管理和参与战略流程，了解并监测网络安全威胁的预防、缓解、检测和补救。

CISO和网络安全团队在网络安全的各个方面拥有相关的专业知识和经验，例如战略、治理、风险管理、威胁情报、事件响应、安全运营、架构、工程、测试和意识。CISO在信息技术和网络安全方面拥有丰富的经验。网络安全团队由具有不同网络安全背景和技能的合格和称职的专业人员组成。网络安全团队定期参加培训、教育和发展计划，以增强他们的知识和技能，以跟上不断变化的网络安全形势。

CISO将关键的网络安全风险和控制问题酌情升级到技术风险委员会（TRC）或适当的业务部门和部门委员会。TRC是一个高级管理委员会，负责监督技术职能和技术风险管理。TRC向集团执行风险委员会（GRISKCO）报告，该执行管理委员会负责监督集团的战略、业绩和风险管理。