一、 前言
隨著全球數位化與網路化程度持續提升,資訊安全已不再是單一技術議題,而是攸關國家安全、產業發展與金融穩定之重要治理課題。世界經濟論壇於《2025年全球風險報告》中指出,「網路犯罪與資安危機」已列為未來兩年最受關注的全球性風險之一,顯示資安風險已成為影響全球經濟與社會運作的關鍵因素。
金融業因掌握大量客戶資料與交易資訊,且金流系統高度集中,長期為國際駭客組織與犯罪集團關注之對象。近年來,勒索軟體、供應鏈攻擊、零日漏洞利用及分散式阻斷服務(DDoS)等事件頻傳,顯示金融機構所面臨的威脅型態日益多元且複雜,一旦發生重大資安事件,可能影響業務營運、法遵管理及市場信心。
臺灣在複雜的地緣政治情勢下,隨著數位經濟快速發展,整體資安風險暴露程度持續升高。疫情期間,非面對面金融服務、居家辦公及雲端應用迅速普及,促使金融機構系統架構與作業模式產生顯著變化,同時也擴大了潛在攻擊面,凸顯金融機構強化資安防護與風險管理的迫切性。
金融監督管理委員會亦持續透過法規要求與監理措施,推動金融機構建立完善的資安治理體系,以確保金融體系穩定運作。
在金融產業中,證券業隨著數位交易模式與金融科技應用的快速發展,資訊系統已深度整合交易平台、客戶服務、後端作業及外部供應鏈環境,使資安防護範圍持續擴大。任何資安事件一旦發生,均可能影響投資人權益、市場秩序及整體金融穩定,凸顯資訊安全已成為證券市場維繫投資人信任與確保穩定運作之關鍵基石。
為持續強化證券市場的監理效能,並提升整體資訊安全防護韌性,114年度續辦理「證券業資安總體檢」專案。本次專案委由第三方專業機構,依國際標準與相關法令法規,全面識別我國證券業資訊安全現況及潛在風險。評估範圍涵蓋組織治理、營運管理流程及技術防護機制,並結合制度面問卷自評與技術面資安曝險評估等多元方法,透過制度面與技術面之交叉分析,客觀檢視各受評證券商之資安防護能力與整體風險態勢。
藉由本次評估成果,得以辨識證券業在資安防護上的優勢與待強化環節,並據以提出具體建議,作為後續監理精進、業者輔導及風險管理強化之重要依據,以持續提升整體資安韌性,維護市場穩定運作,並保障投資人權益。
二、 專案執行方法
本次資安總體檢從多角度深入了解受評證券商的資安現況,不僅涵蓋組織管理層面,也延伸至技術層面的細節分析,透過問卷調查與資安曝險評估,分別評估資安管理與資安防護水平,以掌握受評證券商的資安控管能力(詳見圖1)。具體執行方式可分為以下兩大環節:
(一) 問卷評估方法
本項評估係針對證券商之資通安全管理制度、作業流程及控制措施等面向,透過問卷自評機制蒐集資料,並以系統化分析與歸納方式進行整體盤點與比較分析,以掌握資安現況與管理程度。
問卷設計基於國際資訊安全標準、國內外證券業相關法規與實務指引,例如:ISO/IEC 27001、NIST Cybersecurity Framework(CSF)、資通系統安全防護基準自律規範、網路安全防護自律規範、金融資安行動方案2.0,以及國際證券業相關資安實務指南,同時結合顧問團隊之產業實務經驗及方法論進行架構整合與內容設計。問卷共規劃七大構面(詳見圖2),內容涵蓋治理、技術與營運層面之核心風險議題,說明如下:
1. AI與新興科技運用風險
檢視公司導入人工智慧技術或新興科技之應用情形,評估其於資訊安全及個人資料保護等面向之管理與控制機制。
2. 營運持續管理
瞭解公司營運持續管理機制之完整性與有效性,包括:通報機制及恢復策略、營運持續計畫制定、故障復原程序測試、核心資訊系統備援中心建置及導入ISO 22301營運持續管理制度等。
3. 個人資料保護
瞭解公司個人資料保護制度之落實程度,包括:法令法規遵循、內部規範與作業流程、個人資料蒐集、處理、利用之管理機制、個人資料外洩應變措施、以及儲存媒體(如USB)與對外傳輸之控管機制,並評估個資保存期限屆滿後之銷毀與刪除程序等。
4. 網路安全防護
瞭解公司資訊系統與網路環境之安全防護措施,包括:實體環境安全、管理制度與作業流程、硬體設備及防火牆、物聯網設備防護機制、網路連線安全管理、帳號與權限控管、以及電腦稽核日誌留存與監控機制等。
5. 供應商管理
瞭解公司對於第三方服務提供商之風險管理機制,包括供應商評選與風險評估程序、遠端連線控管規範、委外人員帳號權限管理、合約資安條款訂定,以及定期稽核與監督機制等。
6. 程式變更管理
瞭解公司對於系統開發與變更管理制度之完整性與可追溯性,包括開發與測試環境設置、系統開發文件留存、程式碼安全性測試機制、版本控管流程、行動應用程式偽冒偵測與裝置破解偵測機制、以及整體系統開發生命週期(SDLC)管理等。
7. 身分驗證管理
瞭解公司對網路下單系統之身分驗證與帳戶保護機制,包括帳號登入認證機制、帳號鎖定機制、驗證資料加密保護、交易活動驗證及帳戶保護機制等。
(二) 資安曝險評估方法
證券商雖已依循相關法規制定完善之資安政策、作業程序及管理機制,然於實際技術實作與系統配置層面,仍可能存在設定偏差、管理落差或環境變動,產生潛在風險暴露情形。傳統資安評估多仰賴問卷調查、自我檢核或內部稽核等方式,雖有助於檢視制度面設計與文件的完整性,卻較難有效辨識隱藏於技術細節與外部攻擊面之實質風險。
基於上述考量,本次評估延續採用「資安曝險評估」方法,惟評估架構與前次有所調整與精進。透過外部觀測與風險分析機制,補強傳統制度面評估於技術曝險辨識之不足,使評估結果更貼近實際威脅情境,並提升整體安全態勢掌握之完整性與客觀性。
資安曝險評估係自外部視角出發,採非入侵式檢測方式,在不影響證券商既有系統運作及對外服務之前提下,進行持續性安全監測。其方式主要係蒐集與分析證券商於公開網際網路環境中所揭露之資訊與數位足跡,據以衡量相關安全績效指標,包括潛在技術漏洞、惡意軟體感染跡象、疑似遭入侵系統情形等,並綜整計算曝險評分。
該評分機制係基於即時資料進行動態分析,能反映當下的安全態勢變化,同時透過與同業進行對標比較,使證券商得以了解自身於產業中的相對安全水準。此外,評估亦納入歷史趨勢分析,追蹤安全狀況的改善或惡化軌跡,以形成兼具即時性與長期觀察之整體評級結果,較為全面地呈現證券商網路安全狀況和風險暴露程度。
本評估架構涵蓋四大核心面向(詳見圖3),分別為「已知惡意活動偵測」、「資安設定合規性」、「使用者行為風險」及「公開資訊暴露風險」,各面向依其風險屬性進一步細分為多項可量化之技術指標進行評估。透過此多層次風險評估框架,得以自外部可觀測之技術面向,系統性檢視證券商之資安防護程度及潛在曝險情形,作為整體安全態勢分析之基礎。
1. 已知惡意活動偵測
本面向主要評估是否存在惡意軟體程式、殭屍網路活動或未授權軟體運作等異常活動跡象,以判斷既有安全控制措施是否有效阻擋惡意活動。相關風險一旦發生,可能導致日常業務運營中斷,並增加資料外洩與橫向滲透的風險。
2. 資安設定合規性
本面向透過蒐集與分析公開可得之技術資訊,評估公司於防範外部攻擊方面所採取之技術性防護措施落實程度,包括網路服務安全設定、系統維護更新及通訊安全防護等,藉以衡量其安全配置是否符合業界安全基準及最佳實務,以反映整體安全態勢與防護程度。
3. 使用者行為風險
本面向聚焦於公司員工可能產生之高風險網路活動,例如使用未經授權之檔案共享(File Sharing) 、憑證外洩或密碼重複使用等情形。這類行為若管理不當,可能成為惡意軟體入侵或社交工程攻擊之入口,進而引發資安事件或敏感資料外洩風險。
4. 公開資訊暴露風險
本面向主要評估與公司相關且可能遭受不當存取或利用的公開資訊,包括已發生的資料外洩事件、一般性安全事件,以及其他可能暴露公司弱點或敏感資訊的公開披露內容等。
(三) 評估結果計算與評分機制
1. 問卷評估結果計算方式
(1) 各證券商之問卷最終評估分數,係透過加權計算各構面得分,以反映不同領域的重要性。評分透過標準化處理確保可比性,反映各業者的相對控管程度。
(2) 問卷評估結果依整體得分區分為三個等級,分別為「優良」、「尚可」及「待加強」,以利清楚呈現各證券商的資安管理水準。
(3) 針對問卷所涵蓋的七大構面,運用統計分析方法,透過計算平均數及標準差等離散程度指標,比較各證券商在七大構面之控管程度差異,藉以比較其與同業間之相對表現,並辨識控管程度落差較為顯著之重點領域。
2. 資安曝險評估結果評分方式
資安曝險評估係針對技術面防護狀況進行量化分析,並透過標準化與加權機制轉換為可比較之評分結果,以反映外部技術曝險程度。
依據最終評分結果,整體資安防護程度區分為三個等級:「基本」等級、「良好」等級及「優秀」等級。前述等級係用以呈現各證券商於技術面之相對防護程度。
3. 資安控管程度綜合評分方式
為全面且客觀地評估各證券商資安控管程度,本專案採用綜合評估模型,整合「問卷評估」與「資安曝險評估」兩大面向分數,透過量化加權方式計算各證券商之整體資安控管程度。
同時運用統計分析方法,掌握證券業整體資安防護水準之分布狀況與離散程度,以評估產業整體風險態勢。
如有無法進行曝險評估之業者,其綜合評分將僅採計問卷評估結果,作為資安控管程度之主要衡量依據。
4. 評分計算方法
本評估採用加權綜合評分機制,具體計算方式如下:
經標準化處理後的「問卷評估分數」與「資安曝險評估分數」,分別乘以其對應權重後加總,形成各受評證券商之綜合資安控管分數。
權重配置原則係考量資安管理制度為整體防護體系之基礎,並結合外部技術曝險之觀測。透過數據標準化處理,消除不同檢測工具間之量度差異,確保評估結果能客觀反映各業者於產業中之相對防護水準。
5. 評估等級分類標準
根據各證券商計算所得之資安控管程度綜合分數,本評估採用百分位數(Percentile)方法,將所有受評證券商依分數高低排序後,劃分為三個等級,以清楚呈現各證券商在產業中的相對資安防護水準。等級分類標準如下:
- 「優良」等級:代表受評證券商之綜合得分顯著優於產業平均,控管水準優異。
- 「可接受」等級:代表控管水準符合基本要求,但仍有提升空間。
- 「待加強」等級:代表控管水準與產業整體分布情形存在差異,建議優先強化相關改善措施。
6. 離散程度分析意義
透過百分位數分類方法,除可了解各證券商在產業中的相對位置外,亦可進一步分析證券業整體資安控管程度之離散程度(Dispersion)。若分數分布較為集中,表示產業整體資安水準趨於一致;若分數分布較為分散,則顯示證券商之間存在顯著的資安能力差異。此離散程度分析有助於掌握整體風險態勢,針對資安能力落差較大的領域,研擬適當的輔導措施與資源配置策略,以提升產業整體資安韌性,縮小業者間的防護能力落差。
三、 評估結果分析
總體而言,我國證券業在本次總體檢中展現出穩健的防護基石。問卷與技術檢測相互印證:業者在資安制度(管理面)已趨成熟,但在外部攻擊面的精細化管理(技術面)仍有精進空間。
(一) 問卷評估結果
1. 整體資安控管程度表現
依據問卷分析結果,綜合七大構面之整體評估顯示,證券業中約90%受評證券商之資安控管程度已達「可接受」等級以上,反映大部分受評證券商已建立相對成熟且穩定之資訊安全管理制度。在七大構面的表現上較為均衡,未見特定領域顯著落後,整體資安管理水準已達一定成熟度。
然而,仍有少數受評證券商被歸類為「待加強」等級,顯示部分受評證券商在資安管理與落實層面仍存在明顯改善空間,需優先投入資源進行改善,以避免因管理面的不足而導致技術防護措施無法有效發揮效益,進而提高整體資安風險暴露程度。
2. 七大構面表現分析
就七大構面(包含AI及新興科技運用風險、營運持續管理、個人資料防護、網路安全防護、供應商管理、程式變更管理及身分驗證管理)之統計分析結果觀察,各證券商於各構面之控管程度上表現相對一致,尚未有某特定構面明顯落後的情況。
此一結果反映證券業在資安管理制度建置上,能較為全面涵蓋不同風險領域,並未明顯偏重某些特定面向,亦呼應監理單位長期推動資安規範與指引要求之成效。
惟各構面表現趨於一致,亦可能代表證券業整體在各領域的控管深度仍有共同的提升空間,尚未形成明顯差異化的成熟度領先表現。建議證券商在維持均衡發展的同時,應依據自身業務型態、數位化程度與實際風險態勢,針對關鍵構面進行深化管理與技術強化,以提升整體資安防護之縱深與營運韌性。
(二) 資安曝險評估結果
本次評估涵蓋全體證券商,其中約76%完成資安曝險評估,其餘證券商因網路足跡不足或無對外服務系統,無法進行資安曝險評估。
1. 整體技術防護能力表現
依據資安曝險評估結果,將具備可評估之證券商區分為「優秀」、「良好」及「基本」三個等級。結果顯示,在具備可評估之證券商中,多數為「優秀」等級,其餘為「良好」等級,整體未出現「基本」等級。
此分布顯示,受評證券商在技術性資安防護能力與對外曝險控管水準方面,已具備相當的成熟度,普遍能有效降低外部可偵測風險與潛在攻擊面,反映出業者對於基礎技術防護與外部曝險管理之落實成效已有一定水準。
然而,即使整體表現良好,仍需注意「良好」等級業者與「優秀」等級間之成熟度差距。建議相關業者可參考領先業者之標竿實務,持續精進技術防護措施,以促進整體證券業資安防禦水準之提升。
2. 四大技術檢測類型風險分布
進一步針對四大核心面向(包含已知惡意活動偵測、資安設定合規性、使用者行為風險及公開資訊暴露風險) 進行分析,結果顯示部分觀察結果與資安設定管理面向相關,顯示對外服務管理仍有精進空間。儘管業者普遍獲得較佳評等,但此類共性議題屬基本資安防護範疇,而非系統性漏洞,建議持續檢視與優化以確保資料傳輸安全性。
3. 改善建議與檢測工具評估
綜合分析結果顯示,多數風險皆屬於外部可觀察到之資安基礎防護(Security Hygiene)問題,無需進行入侵測試或內部滲透,即可被外部評分或掃描機制偵測,說明部分證券商於基礎防護落實與設定管理機制方面,仍有持續精進空間。
同時亦發現,現行檢測機制於部分外部可觀察面向之涵蓋深度仍有強化空間,可能導致相關風險長期未被即時辨識或重視。
建議證券商可評估導入或強化資安曝險檢測機制,定期由外部視角對公開網路服務進行掃描與評估,以補強內部檢測工具之不足,提升對外部潛在威脅之識別與掌握能力。
(三) 綜合評估結果
1.整體評估結果分布
本次資安控管程度評估,係綜合考量問卷評估與資安曝險評估兩大面向,依據綜合評分公式進行計算,得出各證券商之最終綜合分數,並依據百分位數分類標準,將其區分為三個等級:「優良」、「可接受」及「待加強」。分類標準如下:
- 「優良」:最終綜合分數位於90百分位數以上(前10%表現最佳者)。
- 「可接受」:最終綜合分數位於11百分位數至89百分位數之間(中間80%區間)。
- 「待加強」:最終綜合分數位於10百分位數以下(後10%表現相對較弱者)。
2.評估結果統計
本次納入綜合評分之全體證券商,其評估結果分布情形如下(詳見圖4):
(1) 優良(約10%)
本等級證券商涵蓋不同規模之業者。該等業者於資安管理制度建置與技術防護措施實作方面均展現相對成熟之表現,其資安控管措施展現較成熟之實務經驗,可作為產業標竿。
(2) 可接受(約80%)
本等級證券商涵蓋產業絕大多數業者。該等業者之資安控管程度符合產業常態水準,具備基本防護能力與管理機制,惟在制度深化、技術精進及持續改善機制方面,仍有持續精進空間。
(3) 待加強(約10%)
本等級證券商多為資源規模相對有限之業者,約佔證券商總數的10%。該等業者於資安管理或技術防護方面尚待持續強化,其資安控管程度與產業整體平均水準存在一定落差,建議優先投入資源改善關鍵弱項,以降低潛在資安風險。
3. 評估結果分析
(1)資源配置與控管成熟度之關聯性
依據本次評估結果顯示,資源配置較充足、資安管理制度較完整的業者,其整體控管程度相對較佳。公司對資安議題的重視程度、資源配置之有效性,以及是否建立持續改善機制,仍為影響資安防護成效之關鍵因素。
惟評估結果亦顯示,儘管資源配置較充足之業者整體表現較佳,仍有部分規模較大業者落於「可接受」等級,未全數達到「優良」水準。此現象說明,資源充足雖為重要基礎,但真正提升資安控管程度,更需仰賴公司管理層決策品質、管理措施的有效落實,以及公司內部持續改善文化之深化,方能將資源投入轉化為實質防護能力。
(2)具多重監理架構業者之表現特性
評估結果顯示,部分具集團資源或同時受多重監理規範約束之業者,因需符合較高強度之合規要求,其資安管理框架相對較完善,整體表現普遍優於同規模其他業者。
此現象反映,監理要求強度與集團資源整合能力,對資安控管程度具有正面影響。多重監理環境所形成之制度壓力,亦有助於促使業者建立較為制度化與標準化之資安管理機制。
(3)規模較小證券商之資安挑戰
評估結果顯示,「待加強」等級主要集中於資源規模較小之業者。顯示部分小型業者於資安管理與技術防護實務上仍面臨較大挑戰,包括資源有限、資安人力不足,以及制度成熟度相對偏低等情形。
該等挑戰使得部分小型業者於整體產業資安防護體系中,相對承受較高之防護壓力與風險暴露可能性,未來需要有更多針對性的輔導與支援,協助其逐步提升控管能力,以強化產業整體資安韌性。
(一) 後續改善建議與監理策略
1. 專項輔導「待加強」業者
對於本次評估結果最終分數落於全體10百分位數以下之「待加強」等級證券商,未來將視整體風險態勢,研議適當之分級輔導與改善機制。透過明確改善目標,協助其於合理期間內提升資安防護等級,降低其成為產業整體防禦缺口之風險。
2. 強化產業整體資安韌性之策略方向
本次資安控管程度評估結果,已具體呈現證券業資訊安全強度之整體分布狀況,並可作為後續資安監理規劃之重要參考。未來可朝以下方向持續推動:
- 聚焦高風險領域:針對「待加強」等級證券商進行專項輔導,同時就評估中發現之產業共同待強化事項,優先投入資源進行改善。
- 深化資安情資共享:持續強化證券業資安情資分享機制,促進威脅情資、事件經驗與最佳實務之交流,提升產業整體威脅感知與協同防禦能力。
- 持續推動資安意識提升:透過教育訓練、演練活動與案例分享,強化證券業從業人員與管理階層對資安治理之重視,形成由上而下的資安文化。
透過上述策略的推動與落實,將有助於強化證券市場的整體資安防護能力,提升產業韌性,確保金融市場之穩定運作與投資人權益之保障。
四、 結論
本次資安總體檢提供了我國證券業防護現狀的量化圖像,不僅辨識出產業優勢,也精確勾勒出未來監理與輔導的重點方向。依據評估結果顯示,證券業整體資安控管水準已具備一定基礎,多數證券商於資安管理及技術防護措施方面,均已達可接受之控管程度,對資訊安全相關規範之遵循情形整體尚屬穩定。
惟評估結果亦顯示,不同證券商間之資安控管程度仍存在差異,且該差異與業者之資本規模、資源配置情形及所受法令規範強度具高度關聯性。部分資源相對有限之證券商,在資安管理制度深化、管理措施落實及持續改善機制建置方面,仍有進一步精進空間。
從技術性曝險評估結果觀察,證券商整體對外可見之技術防護能力表現尚稱良好,惟曝險風險主要集中於公開網路服務之基礎安全設定項目,顯示部分業者於資安基礎設定管理與例行檢視作業之落實程度仍有精進空間,現行內部檢測與管理機制,對部分外部可觀察之技術性風險,仍有補強空間。
本次資安總體檢專案透過結合制度面問卷評估與技術面曝險評估,從內外部雙重視角呈現證券業資安防護現況,補強傳統評估方式於外部技術曝險辨識之不足,並可作為後續資安監理規劃、分級管理及輔導措施設計之重要參考依據。
總體而言,證券業資安防護已具一定基礎,未來監理重點可由單純「合規達標」逐步轉向「風險導向」之防護效能優化,持續強化基礎資安措施落實程度與產業整體防護一致性,以因應不斷演變之資安威脅態勢,與業者共同強化市場信任基礎與風險防禦能力,維護證券市場之穩定運作與投資人權益。
本次總體檢並非排定優劣,而是透過客觀數據與技術觀測,協助業者辨識潛在風險與優化方向,並與全體業者共同建立更堅韌的市場防禦體系,確保台灣資本市場在數位浪潮下,仍能成為投資人最信賴的交易環境。