English
焦點

簡介建立證券商資通安全檢查機制

劉保鈞
臺灣證券交易所 專員

<English version>

前言

當今數位時代,證券商的資安發展變得尤為重要,隨著證券電子交易佔比率愈高和客戶資料的數位化,證券商面臨著越來越多的網路威脅和資料洩露風險,資安防護不完善可能會導致服務中斷及外洩客戶的重要資料,破壞市場的穩定性和信任度。

現行證券商主要依據「建立證券商資通安全檢查機制」等規範辦理強化資安作業。本文係簡介「建立證券商資通安全檢查機制」之重點及周邊單位如何推動證券商落實前揭規範,以提升整體證券市場資安防護能力,期望讓市場瞭解證券業整體資安防護的重要內容。

一、 建立證券商資通安全檢查機制

為強化證券商資安防護能力,臺灣證券交易所參考ISO27001架構及內部控制制度標準規範要點,擇要修訂「建立證券商資通安全檢查機制」,共計有14個控制領域,以下說明各控制領域相關重點。

  1. 風險評鑑與管理
    • 組織透過風險評鑑識別可能威脅,並制定相應的風險管理措施,故組織應鑑別資訊安全風險範圍內之所有資訊資產以及其擁有者,並確定各作業可接受之資訊安全風險等級。另每年應定期進行前揭資訊安全風險評鑑,並評估核心系統之可容忍中斷時間、復原時間目標及資料復原點目標(RPO)之妥適性。
  2. 資訊安全政策
    • 組織需制定資安政策,以防止資通系統或資訊遭受未經授權之存取、使用、控制、洩漏、破壞、竄改、銷毀或其他侵害,確保達機密性、完整性及可用性。資安政策需經管理階層核准後正式發布讓員工與公司連線之公私機關知悉,以利遵守,發揮最大效益。
    • 組織需將前一年度資訊安全整體執行情形,由資訊安全長或負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「證券暨期貨市場各服務事業建立內部控制制度處理準則」第二十四條規定之內部控制制度聲明書,於會計年度終了後三個月內提報董事會通過,並將該聲明書內容揭露於主管機關指定之申報網站。
    • 組織應依「建立證券商資通安全檢查機制-分級防護應辦事項附表」辦理資訊安全分級防護應辦事項。
  3. 安全組織
    • 為達資安政策之目標,組織需準備相關資源以利推動資安作業,並依規定配置適當資安人員,負責資訊安全制度之規劃、監控及執行資訊安全管理作業,且資安人員應取得並維持相當資通安全專業證照,相關資安證照清單,可以參考數發部資通安全專業證照清單。資安人員及主管每年應定期參加十五小時以上資訊安全專業課程訓練或職能訓練並通過評量,其它使用資通系統之從業人員,每年應至少接受三小時以上資訊安全宣導課程,以提升整體素質。
  4. 資產分類與控制
    • 組織應落實編制資訊資產清冊,並對資通系統進行分級及每年至少檢視分級之妥適性,以有效運用資源。對於資訊資產之資料與文件的保存期限進行規範,並於保存期限到期後進行刪除與銷毀。
  5. 人員安全
    • 組織應要求員工依相關法令課予機密維護責任,確保重要機敏資料不外洩。為深化組織整體資安防護意識,每年應定期辦理員工教育訓練、資通安全宣導講習等,以提升員工素質;另需設置電腦稽核人員,以強化內控及內稽作業,落實法規要求。
  6. 實體與環境安全
    • 電腦機房應落實門禁等機房管制及定期審查門禁管制權限,並確保電源供應系統應含不斷電設備及發電機運作正常。
    • 資訊設備報廢應訂有報廢作業程序管控,相關設備於報廢前將機密性、敏感性資料及授權軟體予以移除、實施安全性覆寫或實體破壞,確保報廢之電腦硬碟及儲存媒體儲存之資料不可還原,並留存報廢紀錄,以防止敏感性資料外洩。
  7. 通訊與作業管理
    • 組織應定期評估及修補網路運作環境及作業系統之安全漏洞,避免使用生命週期終止 (End of Life, EOL)之相關設備,另依用途區隔網段(營運環境、測試環境及其他環境),個人及機敏資料應存放於安全的網路區域。系統僅開啟必要服務與程式,未使用之服務功能應關閉,以避免遭受攻擊。
    • 組織對外應建置防火牆,且有專人管控,防火牆之設定變更應由權責主管核准,且每年定期檢視防火牆存取管控規則,前揭規則應採最小化及正面表列為原則。
    • 網路下單應採加密連線並使用多因子驗證,應對異常登入紀錄等進行分析,防止外部攻擊。
    • 組織應訂有憑證交付程序,憑證下載須採多因子驗證,避免非本人取得憑證,客戶交易身分及使用者帳號應於伺服器端驗證,防止相關驗證機制遭刻意跳脫。
    • 工作站與伺服器應安裝防毒軟體並及時更新程式及病毒碼,對於未能如期更新之設備,應有管控措施;為避免下載惡意程式,組織應建置郵件過濾機制、上網管制措施,並檢視過濾機制之妥適性。為防範網路釣魚及詐騙,應偵測釣魚網站、惡意網站連結及偽冒APP等;組織宜每年定期辦理社交工程演練,並對誤開啟信件或連結之人員進行教育訓練,並再次驗證。
    • 組織應建置防禦網路攻擊機制(如:資通安全威脅偵測管理機制、入侵偵測及防禦機制、應用程式防火牆、進階持續性威脅攻擊防禦措施、防範自動化程式之登入),定期辦理滲透測試、資安健診,藉由前揭檢測及早發現安全性的漏洞並加以改善修正。
    • 組織應針對帳號登入及IP異常進行紀錄及分析,符合特定態樣應立即通知客戶及產生示警,以降低入侵或帳號撞庫攻擊之風險。
    • 最高權限帳號使用應設有最高權限管理辦法管控,使用前須取得權責主管同意,並留存相關紀錄。
    • 組織之電腦系統應每年定期對系統容量進行壓力測試,範圍應完整涵蓋前中後台各作業,並留存相關紀錄。
  8. 存取控制
    • 建立資通系統帳號管理機制,相關授權應採最小權限原則進行管控並對人員及程式權限控管,定期審查資通系統帳號及權限之適切性。
    • 系統帳號應使用優質密碼,並避免使用預設帳號及簡易密碼,透過網際網路提供服務之系統應建置多因子驗證機制,以防止非本人登入。
    • 依「個人資料保護法」,妥善處理客戶及組織內部個人資料,並留存個人資料使用稽核軌跡(如登入帳號、系統功能、時間、系統名稱、查詢指令或結果)或辨識機制,以利個人資料外洩時得以追蹤個人資料使用狀況。
    • 電子式及非電子式交易型態以電子郵件執行成交回報之傳輸,組織對姓名、帳號及信用帳號等機敏資訊,應依「機敏資訊類型及隱匿之具體作法原則」辦理。
  9. 系統開發及維護
    • 組織應對資通系統規劃及開發生命週期進行管控,以確保資通系統之品質。
    • 對於委外廠商應訂有合約以利管控,並落實服務供應商集中度及服務品質之管理,委外關係結束後應確保銷毀或轉交予其他承接資訊服務廠商,並要求相關廠商持續遵守保密承諾。
    • 資通系統之源始碼應確保安全且行動應用程式應定期進行檢測及通過公正第三方實驗室驗證,提供網際網路下單服務之核心系統於異動時應執行源碼掃描安全檢測,並確保系統漏洞已完成修補。
  10. 營運持續管理
    • 組織應明確訂定故障復原程序,並週期性測試,並立即就測試缺失檢討改進。
    • 組應訂營運持續計畫,前揭計畫內容應含(含起動條件、參與人員、緊急程序、備援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規劃及合約適當性等),及週期性測試故障復原程序;對於交易主機應建立備援措施。
    • 組織對於資安事件之通報應訂有資訊安全訊息通報機制,並依「證券期貨市場資通安全事件通報應變作業注意事項」及「證券商通報重大資安事件之範圍申報程序及其他應遵循事項」辦理;如發生發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故,應立即函報證交所(或櫃檯買賣中心、券商公會)轉陳主管機關。
    • 為強化持續營運能力,組織應訂定分散式阻斷服務攻擊(DDoS)防禦與應變作業程序,確保遭受攻擊時降低衝擊。若核心系統原服務中斷時,應於可容忍時間內,由備援設備或其他方式取代並提供服務,確保持續營運量能。
    • 考量委外作業比重與日俱增,資訊委外作業如涉及核心資通系統與資通服務,資訊服務供應商應定期提供資通系統與資通服務之回復計畫,回復計畫可以災難復原計畫、備援演練、營運持續計畫等形式呈現。
  11. 符合性
    • 組織應定期(每年至少一次)辦理資訊安全查核作業(內部辦理或委託外部專業機構),以確保相關規範落實執行,並對前開之資訊安全查核報告辦理追蹤改善。
  12. 新興科技管理
    • 組織運用雲端服務時,應評估使用相關服務之風險並考量服務之查核措施、備援機制、服務水準、復原時間及服務終止措施等;如作為雲端服務提供者應訂定相關安控措施,如權限控管、法律遵循及權責歸屬與資安防護等機制。
    • 組織使用社群媒體,應對經營之社群媒體應標示證券商名稱、聯絡方式、許可證字號、客戶申訴聯繫方式及處理窗口,以區別為官方經營之社群媒體,避免投資人混淆,對於社群媒體所發布內容進行管控,對不適當言論及異常事件,進行通報或處置。
    • 組織使用行動裝置,應對公務用及個人用進行管控,公務用之行動裝置應有清除配置程序,個人用行動裝置應限制內部資訊設備透過員工自攜行動裝置私接存取網際網路。
    • 考量物聯網使用比例與日俱增,為強化物聯網設備之資安防護,組織應建立物聯網設備管理清冊並定期更新,物聯網設備應具備安全性更新機制且定期更新,若存在已知弱點無法更新時,應建立補償性管控機制,如設置特定封閉網段及關閉不必要之網路連線及服務,避免使用對外公開的網際網路位置;採購物聯網設備時,宜優先採購取得資安標章之物聯網設備,並定期辦理物聯網設備使用及管理人員資安教育訓練,以提升整體資安防護意識。
    • 組織使用遠距辦公應管控連線之設備防止惡意或未經授權之連線,採多因子驗證身份及以最小權限原則設定遠距帳號存取規則,並留有遠距辦公員工使用者登入系統、電腦設備操作及交易紀錄軌跡。
    • 鑑於近年深度偽造(Deepfake)之事件頻傳,如組織使用影像視訊方式進行身分驗證時,應強化驗證並搭配其他驗證因子,以確認客戶本人身份,定期辦理涵蓋深度偽造認知及防範議題之資訊安全教育訓練,以強化相關資安意識。
  13. 其它
    • 重要法令規章及通知應立即周知,組織應定期檢查網站內對外提供之資訊,對具機密性、敏感性之資訊內容,應立即移除。
  14. 主機共置服務管理
    • 組織應管控主機共置服務之硬體、軟體及連線使用,定期盤點相關設備,以落實法規之要求。

二、 本公司推動成果

臺灣證券交易所為推動證券商落實「建立證券商資通安全檢查機制」等相關規範,係藉由年度資安例行查核、選案查核及專案查核,瞭解證券商對前揭法規落實情形,自查核結束後,即就查核所見缺失進行彙總分類,以有效歸納統計缺失態樣,洞悉個別證券及整體證券市場資安辦理情形,並就前揭缺失進行根因分析後輔導證券商改善缺失。為讓證券商借鏡他人經驗,定期舉辦資通安全宣導說明會等重要會議,分享常見缺失及特殊案例內容,以強化市場資安聯防效益。經分析近年資安缺失之態樣,過去常見缺失發生頻率已逐年下降,且部分資安事件因證券商營運持續能力強化,對市場衝擊亦有所控,相關結果均顯示證券商資安防護能力已有所精進。

三、結語

在數位化與科技日新月異的今天,資通安全已經是所有產業不可或缺的一部分,隨著電子下單比重持續成長,證券商面臨的資安威脅與日俱增,這些威脅不僅影響投資人的資產安全,同時也可能破壞整個證券市場的穩定性;只有落實資安防護作業,防止重要資料外洩及外部攻擊,才是穩定證券市場的不二法門,臺灣證券交易所亦因應時局,適時修訂相關規範,完備法規內容,並瞭解證券商對相關規範之落實情形,輔導證券商改善防護不足之處,共同維護整體資本市場的信任及穩定。

Top