證券商的資安防護能力是維持證券市場資訊安全最重要的一環,除了依靠證券商提升自身的資安意識與防禦能力之外,身為監理單位的臺灣證券交易所(以下稱證交所)券商輔導部,也時刻關注證券市場的整體資安防護現況,適時加以輔導與關懷,並依照主管機關金融監督管理委員會(以下稱金管會)指示修訂資安法規,在網路與資訊科技不斷更新的潮流中,提供證券商安全的指引與規範。
掌握證券市場的資安防護現況,不但可以隨時了解整體市場防護能量,亦可針對個別證券商加強輔導,證交所現行的監理機制,係透過對證券商施以年度資安例行查核,並搭配專案查核,輔導證券商落實資安規範。為了更即時有效了解證券商對於法規遵循與資安防護辦理情形,證交所為此建置了「證券商資安防護事項申報專區」,由證券商定期於專區進行電子化資料申報;同時配合金管會金融資安行動方案2.0規定,推動並鼓勵證券商導入國際認證( ISO27001 資訊安全管理系統)、增加資安人員配置數量、取得國際資安證照…等作業,本專區已將上述項目的辦理情形,納入首次申報資料的範圍,以掌握市場資安防護現況,落實辦理「建立證券商資通安全檢查機制」與「資安分級防護應辦事項表」之規定。
本專區於7月上線,並於113年7月3號舉辦「證券商資安防護事項申報專區-操作說明」宣導說明會,邀請證券商資安主管、資安專責人員、中華民國證券櫃檯買賣中心及中華民國證券商業同業公會,總計約130名人員參與會議。會中由專區負責人對申報項目進行詳細解說,協助證券商資安人員了解專區建置目的與操作方式。
專區的申報路徑,是從「證券商申報單一窗口(BRK)」網站登入後,進入「證券商資安防護事項申報專區」,申報流程的設計理念採用極簡風格,只需填寫關鍵必要欄位,上傳佐證附件,輔以備註說明,即可完成申報作業,目的是設計一套簡單、好用的資訊申報平台。
在申報頻率的部分,目前規劃每季申報一次,系統開放區間為當季的前十個工作日,如遇主管機關不定期要求提供最新資料進行監理時,則彈性開放系統,請證券商上線更新資料,由資安人員執行申報作業。
在申報項目的選擇,原則上先推動「應定期申報」且「可量化是否達標」之項目,以下逐項說明各申報項目之法規要求程度,與證券商完成初次申報時的最新辦理現況:
- 資安政策說明書
- 法源依據:建立證券商資通安全檢查機制
- 引用條款:CC-12000資訊安全政策
- 法規說明:應依據相關法令規定及公司業務需求,訂定資訊安全政策、資訊作業之安全水準。
-
-
辦理現況:70家受監理之證券商皆已完成申報,有助於監理單位了解證券商資安政策是否定期評估更新,以反映法令規章、技術及業務等最新發展現況,確保資訊安全實務作業之有效性,追蹤資安政策方之正確性。
-
- 資訊安全管理系統證書(通過ISO27001或CNS 27001認證)
- 法源依據:建立證券商資通安全檢查機制
- 引用條款:CC-12000資訊安全政策
- 法規說明:公司應依其所屬資安分級辦理核心系統導入資訊安全管理系統,並通過公正第三方之驗證,且持續維持驗證有效性,並依「資安分級防護應辦事項表」之規定,一、二級證券商應於112年1月底通過驗證,三級證券商應於112年12月底通過驗證。
- 辦理現況:前三級證券商共18家,全數取得並上傳ISO27001資訊安全管理系統證書,已建立並持續維持「資訊安全管理系統(ISMS)」之有效性,透過系統化的框架來保護證券商的資訊資產,確保機密性、完整性和可用性,降低資訊安全風險。
- 資安長設置
- 法源依據:建立證券商資通安全檢查機制
- 引用條款:CC-13000安全組織
- 法規說明:公司應指定副總經理或高層主管人員,綜理資訊安全政策推動及資源調度事務,並得視需要,成立跨部門之「資訊安全推行小組」;如公司符合主管機關所訂一定條件者,應指定副總經理以上或職責相當之人兼任資訊安全長辦理上開業務。
- 辦理現況:前三級證券商及電子式下單占比高者,已依主管機關之規定,於113年6月前完成資安長設置,全市場共計19位,並上傳佐證資料,如人事命令之重大訊息公告紀錄、內部控制制度聲明書用印檔,此措施對券商之整體資安防護推動及作業督導動實有幫助。
- 資安人員配置數量
- 法源依據:建立證券商資通安全檢查機制
- 引用條款:CC-13000安全組織
- 法規說明:公司應視資訊安全管理需要及所屬資安分級,指定專人或專責單位負責規劃與執行資訊安全工作。
- 辦理現況:資安人員是資安防護體系中,最重要的資產,主管機關對此相當重視,已在111年11月3號發布(金管證券字第1110384596號)函令「有關證券暨期貨市場各服務事業建立內部控制制度處理準則第36條之2及 第37條規定之令」,明訂各服務事業應配置適當人力資源及設備負責資訊安全制度之規劃、監控及執行資訊安全管理作業,所稱配置適當人力資源之規定如下:
-
(一) 實收資本額達二百億元以上之證券商、期貨業、證券金融事業、證券投資信託事業、證券投資顧問事業及信用評等事業,應設置資訊安全專責單位,該單位應配置專責主管及至少三名專責人員,專門負責資訊安全相關工作或職務,不得兼辦資訊或其他與職務有利益衝突之業務。
-
(二) 實收資本額未達二百億元之證券商、期貨業、證券金融事業、證券投資信託事業、證券投資顧問事業及信用評等事業:
1. 實收資本額達一百億元以上,未達二百億元者,應配置資訊安全主管及至少三名資訊安全人員。但已設置資訊安全專責單位者,得配置專責主管及二名專責人員。
2. 實收資本額達四十億元以上,未達一百億元者,應配置資訊安全主管及至少二名資訊安全人員。
3. 實收資本額未達四十億元者,應配置至少一名資訊安全人員。
-
-
為有效掌握證券市場的整體資安人力配置與運作能量,作為評估政策推動與法規修訂之時程安排參考依據,主辦單位已於宣導說明會中,積極鼓勵證券商如實詳細申報資安人力配置情況。
初次申報完成的分析顯示:
第一級證券商一共配置了21名資安人員,各家之人數皆大幅超過法規要求的3名資安人員,以平均來看每家達到10名以上,可見一級證券商在符合主管機關法規要求的同時,亦考量到自身系統安全需要,配置足夠的資安人員來維持資安防護能力。
在第二級證券商的部分,一共配置了42名資安人員,每一家證券商的配置都超過法規要求的人數(2~3名),以平均來看每家達到6名以上,前三名者之配置甚至達到11名、8名、7名資安人員,足見其對資安防護的重視程度。
在第三級證券商的部分,法規要求是每家應配置2名資安人員,而數據顯示第三級證券商一共配置了35名資安人員,除了1家配置2名之外,其餘8家證券商的資安人員數量皆在2名以上,以平均來看每家接近4名,第一名者之配置高達8名資安人員,顯示該證券商已將資安人力視為重要資產。
在第四級證券商的部分(含外資、銀行兼營證券、期貨兼營證券、券商公會簽約證券商),法規要求是每家應配置1名資安人員,數據顯示第四級證券商一共配置了71名資安人員,全數達到法規要求,第一名者之配置更達到5名資安人員,以平均來看,近30%的四級證券商,其資安人員的配置人數超過2名,預期未來四級證券商之資安人力配置應可持續增長。
- 資安人員之資通安全專業證照
-
法源依據:建立證券商資通安全檢查機制
-
引用條款:CC-13000安全組織
-
-
- 法規說明:公司應依其所屬資安分級要求資訊安全人員取得並維持相當資通安全專業證照。
-
辦理現況:主管機關在要求證券商應配置足夠的資安人力的同時,也相當重視其在資安領域的專業能力,因此在「資安分級防護應辦事項表」中規範各級證券商應取得足夠的資通安全專業證照,並維持有效性。獲得認可之資安證照清單,來自「數位發展部資通安全署」於112年2月14日邀集相關學者專家共同檢討作業流程並更新證照清單後公告之「資通安全專業證照清單」,並要求各機關依上述證照清單辦理資通安全責任等級分級辦法附表規定之機關⼈員取得資通安全專業證照事宜;清單中含12個發證機構所核發之資通安全專業證照,可分為「管理類證照」及「技術類證照」,並明訂證照有效之認定規則。
初次申報完成的分析顯示:
第一級證券商一共取得35張資通安全專業證照,各家之證照張數皆大幅超過法規要求的4張證照,以平均來看每家皆超過17張證照,證照內容包含主流「管理類證照」,如:
- ISO 27001資訊安全管理系統(ISMS)主導稽核員認證
- ISO 27701 隱私資訊管理系統(PIMS)主導稽核員認證
- ISO 22301 營運持續管理系統(BCMS)主導稽核員認證
證券商在專注資安防護的同時,也能維持核心交易系統的營運持續能力;同時更取得15張進階「技術類證照」,如:
- 「CSA安全運營中心(SOC)分析師認證(Certified SOC Analyst)」:主動檢測潛在的網路威脅與攻擊事件並快速回應,擔任第一線防禦者。
- 「CEH白帽駭客技術專家認證(Certificated Ethical Hacker)」:學習如何面對並防範駭客的攻擊行為,了解並培養駭客的攻防技巧。
- 「CTIA威脅情資分析專家認證(Certified Threat Intelligence Analyst)」:分析並建構有效的威脅情資,在面對攻擊的第一時間內有效地反應及處理,降低資安風險。
經由取得技術證照並持續維持有效性,可協助證券商大幅提升防禦網路駭客攻擊的資安專業能力。
在第二級證券商的部分,一共取得58張資通安全專業證照,每一家證券商證照數量都超過法規要求的3張,以平均來看每家超過8張以上,前四名者取得之張數達到15張、14張、9張、9張證照,內容除了包含一級證券商取得的3種管理類及3種技術類證照之外,更多了6種技術類型的證照,如:
- CySA+網路資安分析師國際認證(CompTIA Cybersecurity Analyst)
- CHFI資安鑑識調查專家認證(International Council of Electronic Commerce Consultants)
- ECIH 資安危機處理員認證(EC-Council Certified Incident Handler)
- CISM國際資訊安全經理人認證(Certified Information Security Manager)
- CISA國際電腦稽核師認證(Certified Information Systems Auditor)
以及國際公認最具權威的資訊安全專業人員證照:
- CISSP資安系統專家認證(Certified Information Systems Security Professional)
資料顯示二級證券商在取得技術類的資安專業證照選擇上,領域相當廣泛,總數達到22張,並且加入了資安鑑識與電腦稽核類的證照。
在第三級證券商的部分,法規要求是每家應取得2張資通安全專業證照,而數據顯示第三級證券商一共取得51張證照,有7家券商取得張數在2張之上,以平均來看每家取得超過5張證照,前兩名者甚至取得高達16張及9張,包含2張未見於前兩級證券商取得之證照:
- ECSA資安分析專家認證(EC-Council Certified Security Analyst)
- ISO/IEC 29100隱私框架主導稽核員課程
整體來看,三級證券商有近半家數取得技術類資通安全專業證照,總數為12張,領域也相當全面。
在第四級證券商的部分(含外資、銀行兼營證券、期貨兼營證券、券商公會簽約證券商),法規要求是每家應於113年12月底之前取得1張資通安全專業證照,本公司已於今年提供獎勵補助,協助第四級證券商於台北及高雄兩地參加證照課程專班,考取證照可後向本公司申請費用補助,截至九月中,共28家證券商考取「ISO 27001資訊安全管理系統(ISMS)主導稽核員認證」並獲得補助。
數據顯示第四級證券商一共取得78張資通安全專業證照,前三名證券商取得證照張數分別為12張、5張、5張,共49家(94%)的四級證券商已符合規定取得1張以上之證照,其中技術類證照為20張,包含一張未見於前三級證券商取得之證照:
- CND網路防禦專家認證課程(Certified Network Defender)
整體分析各級證券商取得之資通安全專業證照,其中「管理類證照」及「技術類證照」張數比例分別為:
- 第一級證券商:管理類57%、技術類43%
- 第二級證券商:管理類38%、技術類62%
- 第三級證券商:管理類76%、技術類24%
- 第四級證券商:管理類74%、技術類26%
此數據可提供給主管機關當作未來政策推行的評估指標,或可規劃要求第三級、第四級證券商,逐步提升技術類型證照的比重至一定水平,在面對網路威脅與攻擊事件時,有利做出更完善的資安防禦應對策略。
於本次申報後可發現,證券商具有足夠的意願將目前真實的現況,提供給主管機關作為監理之用,透過數據分析的結果,可進一步成為法規制定、政策宣導的參考依據,更能有效的掌握資安防護及人力資源現況,實助益良多。
建置本專區之效益,可掌握證券商資安防護現況,作為資安監理之用,亦可搭配本部數位化查核系統,同步執行資安查核盤點作業,簡化資料蒐集流程,以線上輸入的方式取代電子郵件往返過程,定期要求證券商線上更新資安防護事項辦理情形,節省實地查核等待資料的時間,提升查核效率,優化監理機制。
本次宣導會結束後,主辦單位收到數家證券商法遵主管當面及來電熱烈討論,讚許本次宣導會過程中對於法令遵循及申報細節之解說,均十分詳細,並且認同申報專區的設計理念;討論過程中,主辦單位也提出建議,可將本申報作業納入證券商每季自行查核項目當中,由內部稽核單位定期檢視辦理情形。
本申報專區之設計仍持續更新中,預計於114年逐步將「資安分級防護應辦事項表」當中「應定期申報」且「可量化是否達標」之應辦事項全數納入專區,目前規劃下一階段優先納入之項目包含「業務持續運作演練紀錄」、「入侵偵測及防禦機制監控記錄」、「應用程式防火牆監控記錄」、「資通安全健診辦理情形」等,並期許未來納入更多資安防護面項,建構更全面、更精確的證券市場資安防護網。