臺灣證券交易所 文刊中心

隨著臺灣資本市場數位化的快速發展，國內證券市場電子下單比率於109年即已達成突破七成之里程碑，顯見臺灣資本市場已正式邁入數位化的新時代，而伴隨金融科技發展及市場交易型態的轉變所衍生的諸多風險，對監理機關、證券商及證券交易所等周邊單位所帶來的衝擊和挑戰也與日俱增。

根據世界經濟論壇(World Economic Forum)發布之「2024全球風險報告」，網路安全威脅已位列全球十大風險第四位，而網路安全威脅其中主要包含資料外洩、勒索軟體攻擊、物聯網設備漏洞及供應鏈間接入侵等，影響涵蓋層面更是從個人到企業乃至國家整體。

觀察國際資通訊及網路安全監理趨勢，可發現諸多國家已視資安為國安，從政府層級制定資安相關政策與計畫，如美國設立網路安全暨基礎設施安全局 (Cybersecurity and Infrastructure Security Agency, CISA)負責資安相關法令業務，並由美國國家標準技術研究所(National Institute of Standard and Technology, NIST)制定資安標準(Cybersecurity Framework, CSF)。

歐盟設立歐盟網路與資訊安全局(European Union Agency for Cybersecurity, ENISA)，施行資通安全法(Cybersecurity Act)，並建立歐盟資通安全驗證架構(European Cybersecurity Certification Scheme)。

新加坡設立資通安全局(Cybersecurity Agency, CSA)，訂定國家資通安全策略(Cybersecurity Strategy)及國家資通訊安全精進計畫(Infocomm Security Masterplan)。

我國行政院國家資通安全會報所提之「國家資通安全發展方案」中列有共四大推動策略，其中即訂有建構資安成熟度評估之相關工作項目，以推動各領域建立資安治理評估模式，進而掌握資安執行情形，提升資安防護整備度。

109年金融監督管理委員會正式發布「金融資安行動方案」，具體措施共分為資安監理、資安治理、金融韌性及資安聯防四大構面，並規劃「推動金融機構資安治理成熟度評估」工作，參考美國聯邦金融機構檢查委員會(FFIEC)採可重覆量測工具(CAT)供金融機構自主評量，調適訂定適用我國金融機構之評估方法，並鼓勵金融機構據以依其自有特性，自主風險評估其資安弱點，持續強化其資安管理。

為推動金融機構辦理資安治理成熟度評估，金融監督管理委員會督導金融資安資訊分享與分析中心(F-ISAC)參考美國聯邦金融機構檢查委員會(FFIEC)所公布之金融業網路安全評估工具(Cybersecurity Assessment Tool, CAT)，訂定適用我國金融機構之資安治理成熟度評估工具。

此評估工具之評估面向分為固有風險(Inherent Risk)及網路安全成熟度(Cybersecurity Maturity)，並依受評單位之固有風險等級提出建議的網路安全成熟度等級，作為受評單位強化資安措施之參考。

其中固有風險評估共分為五大構面如下：

1. 網路技術與連線類型

2. 對外服務管道

3. 線上/行動產品及技術服務

4. 組織特性

5. 外部威脅

各個構面之評估項目共計29項，完成每項評估後綜合計算出之固有風險等級共分為5級，依序為最低(Least)、小(Minimal)、一般(Moderate)、顯著(Significant)、最大(Most)。

網路安全成熟度評估範圍包括網路風險管理與監督、威脅情資管理與合作、網路安全管理、委外關係管理、網路安全事件管理與回應等，評估項目依成熟度等級共分5級，依序為基礎(Baseline)、發展中(Evolving)、中等(Intermediate)、進階(Advanced)、創新(Innovative)，各級評估項目共計494項，完成每項評估後綜合計算出網路安全成熟度等級。

受評單位完成固有風險評估及網路安全成熟度評估後，即可依評估結果判斷目前資安治理成熟度於下列矩陣中之所在落點，矩陣中灰色部分為考量風險及合理成本後之建議落點，受評單位可參考評估結果及矩陣建議進行資安治理作業的精進或調整。

為厚植我國證券金融體系資安防禦能量，營造安全的資本市場數位化發展環境，由金融監督管理委員會督導金融資安資訊分享與分析中心(F-ISAC)及臺灣證券交易所，偕同中華民國證券櫃檯買賣中心及中華民國證券商業同業公會，已於111年起陸續推動協助證券商辦理資安治理成熟度評估，並於該年完成實收資本額達40億以上證券商(共19家)之評估作業，協助證券商識別自身資安管控尚待加強之處，俾利證券商完善整體資安防禦水準。

112年持續推動協助證券商辦理本評估作業，參照111年評估結果，逐一訪談輔導該19家證券商(後經合併變更為18家)，複評成熟度等級較低但尚待改進之評估項目，結果顯示前述尚待改進之項目數量已下降43%，足見經111年推動證券商辦理資安成熟度評估後，證券商資安治理作為已有提升，此外，本推動作業亦舉辦評估說明會並提供專業顧問諮詢服務，加強證券商對資安治理成熟度評估內容的認知，以利證券商之評估項目答覆更符合評估工具所關注之要點，確保最終成熟度計算結果之有效性。

另經分析近年證券商資安治理成熟度評估結果，並比對資安治理成熟度評估內容與現行資安規範之差異，同時考量既有之可替代控制規範及證券商風控成本效益，臺灣證券交易所及中華民國證券商業同業公會訂定之部分資安相關規範亦將進行對應之調整與精進，範圍包含風險評鑑管理、通訊作業管理、事件處理策略、新興科技應用、資產分類控制及委外作業管理等面向，並持續參考國際資安管理發展趨勢，以利未來對於證券商之輔導可更聚焦於重點。

此外，依臺灣證券交易所發布之「建立證券商資通安全檢查機制」，現已規範證券商應依其所對應之分級，定期辦理「資通安全健診」作業，由第三方專業資安單位協助證券商檢視資安管控現況、辨識重要風險並評估曝險程度，健診內容主要著重於系統與網路安全(應包含但不限於網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視等)，以確保證券商除具備自評整體資安成熟度之能力的同時，仍有外部單位協助以專業且中立之角度，重點辨識系統與網路層面可能之弱點，完備證券商在面對風險較高且影響程度較大的外部網路威脅時所應具備之防禦能力。

透過資安治理成熟度評估，證券商之資安防禦能量得以客觀指標進行量化呈現，提供證券商後續依評估結果作為參考以擬訂改善策略，協助證券商健全資安管理制度，強化整體資訊系統及網路環境安全，並得以在此基礎之上提供投資人快速確實、穩健不中斷的服務，及運用新興科技使各項服務朝向更加多元、便利及安全的方向發展。

隨著AI科技進入快速成長階段，應用於駭客活動的惡意攻擊樣態日新月異，面對快速變化的資安威脅與風險，近年推動本國證券商辦理之資安治理成熟度評估作業已逐漸展現出正向的成果，且部分證券商已開始具備自行辦理評估資安治理成熟度之能力，未來將持續鼓勵證券商辦理自評，逐步推動證券商建立定期自評資安治理成熟度及風險之實務經驗與能力，主動識別自身資安治理不足之處並持續改善補強。

113年度臺灣證券交易所仍將與中華民國證券櫃檯買賣中心及中華民國證券商業同業公會，持續協助證券商辦理自評作業，並精進資安相關法規與輔導作業，以提升整體證券商資安防禦韌性，期許在金融科技不斷進步、服務型態愈發多元的未來，本國市場的數位發展能兼顧創新與安全，成為打造競爭優勢與突破動能的堅實基礎。