臺灣證券交易所 文刊中心

＜English version＞

在數位金融浪潮的驅動下，遠端維運與雲端服務的廣泛應用，使證券商的資安防護邊界日益模糊。過去「防火牆內即安全」的觀念早已不敷使用，取而代之的是以「零信任（Zero Trust）」為核心、「持續驗證」為手段的韌性治理架構。面對人工智慧（AI）衍生的新型態威脅及供應鏈滲透風險，證券商必須建構多層次、縱深配置的防禦體系，方能有效應對。

從近年來周邊單位查核結果來看，常見缺失多集中於網路系統安全評估不足、委外廠商管理疏漏、網路設備安全管理未臻完善，以及帳號密碼管理不當等面向。值得注意的是，上述缺失所形成的漏洞，往往正是外部攻擊者主要鎖定的入侵途徑，對證券商整體資安防護構成不可忽視的風險。

有鑑於此，單一法規已難以全面因應日趨複雜的資安威脅，近年來主管機關、周邊單位及中華民國證券商業同業公會(下稱券商公會)陸續建立完整的規範體系。在資安事件通報與委外管理方面，主管機關訂有「證券期貨市場資通安全事件通報應變作業注意事項」及「證券商作業委託他人處理應注意事項」；在整體資安防護的查核與落實方面，證交所與周邊單位則以「建立證券商資通安全檢查機制」為依據，定期檢視各證券商推動資安防護作業的落實情形；在基礎資安防護的自主強化方面，券商公會則訂有多項資安自律規範，提供業者具體的遵循準則。

關於「建立證券商資通安全檢查機制」的詳細內容，可參閱先前「觀點」專欄之介紹。本文旨在說明中華民國證券商業同業公會各項資安自律規範的重點內容，並援引 ISO 27001 的 PDCA（Plan-Do-Check-Act）循環概念，闡述自律規範與「建立證券商資通安全檢查機制」之間相輔相成的動態關係，以期提供大眾對證券業整體資安防護架構更完整的認識。以下係為各自律規範之重點說明：

一、 帳號與存取控制

(一)、 禁止共用帳號：資通系統應具備唯一識別功能，嚴禁多人共用同一帳號以落實可歸責性。

(二)、 多因子驗證 (MFA)：凡透過網際網路登入系統時，必須採用多因子驗證機制（如：密碼 + 手機 OTP 或憑證）。

(三)、 權限審查：應定期（至少每半年一次）審查帳號及權限之適切性，並停用閒置帳號。

(四)、 密碼原則：強制密碼複雜度要求，且變更時不得與前三次相同；預設密碼於首次登入後必須立即強制變更。

二、 系統開發與生命週期安全

(一)、 需求與風險評估：系統開發初期於需求分析階段即應確認安全需求（機密、可用、完整性），並根據核心功能進行風險評估。

(二)、 網路實體環境區隔：正式作業環境應與開發、測試環境區隔，避免開發中的漏洞影響正式交易環境。

(三)、 安全檢測：

• • 源碼掃描：核心系統（如網際網路下單系統）上架前及重大更新時應執行源碼掃描。
  • 弱點掃描：應定期（至少每半年一次）辦理資通系統弱點掃描。

(四)、 版本控制：維運階段應嚴格執行版本控制與變更管理程序。

三、 稽核軌跡與監控機制

(一)、 日誌保存 (Log)：核心系統電腦稽核紀錄應記錄特定事件，且必須保存至規定年限以上。

(二)、 異常偵測：應持續監控核心系統，即時偵測攻擊行為及未授權連線。

(三)、 入侵應變：發現被入侵跡象時，應立即通報並通報權責人員處理。

四、 資料安全與通訊保護

(一)、 加密傳輸：資通系統不以明文傳輸身分驗證資訊；敏感資料於儲存或傳輸時應採用適當的加密技術。

(二)、 遠端連線管理：

• • 遠端連線必須先取得授權並留存紀錄。
  • 遠端連線必須加密，並僅限透過公司核准的存取點進行。
  • 遠端連線應落實多因子驗證。

五、 營運持續與備援管理

(一)、 RPO/RTO 要求：應訂定核心系統可容忍之資料損失時間 (MTPD) 與服務恢復時間 (RTO)。

(二)、 備份驗證：應定期測試備份資料的可還原性，確認備份機制之有效性。

(三)、 演練測試：核心系統備援還原作業應納入營運持續計畫，並定期辦理實際演練。

一、 網路架構與區域防護

(一)、 完整網路架構呈現：明定網路架構應呈現之內容，如防火牆、路由器、交換器、系統設備、線路配置、伺服器與服務、無線網路等重要設備。

(二)、 落實網段區隔：應依據業務運作劃分網段，並針對不同網段間的存取實施嚴格管控。

(三)、 無線網路全面控管：無線網路存取必須採用現行無已知弱點之安全協定（如 WPA3），並訂有密碼強度規範。

(四)、 外部設備接入管理：嚴格限制人員使用非公司核發設備存取內部網路，需事先申請並經授權，且應限制其存取範圍。

二、 網路設備安全管理

(一)、 設備生命週期監控：禁止使用已停止支援或生命週期終止（EOS／EOL）之設備，並應提前擬定汰除與更新計畫。

(二)、 規則最小授權原則：網路存取與防火牆規則應採「正面表列 (Allowlist)」方式建制，且至少每年檢視一次對外網路設備規則（DMZ 區之防火牆規範每半年應檢視一次）。

三、 網路傳輸與遠端連線

(一)、 遠端維運高強度驗證：廠商或員工若需從網際網路遠端連線至內部進行維護，必須落實多因子驗證 (MFA)。

(二)、 使用安全的加密演算法：所有網路傳輸之加密機制，應優先選用國際機構驗證且尚未遭破解之演算法。

四、 網路攻擊防護（DDoS 與應用層防禦）

(一)、 DDoS 緩解機制：凡提供網路下單服務或設有官方網站之證券商，必須建置分散式阻斷服務 (DDoS) 防護機制，確保市場劇烈波動時系統不癱瘓。

(二)、 應用程式防火牆 (WAF)：針對具有對外服務之資通系統，應建置 WAF 以防止 SQL Injection、XSS 等常見 Web 攻擊。

五、 辦理安全性檢測

(一)、 滲透測試與資安健診：證券商之資通系統應定期辦理滲透測試與全方位資安健診（含網路惡意活動檢視與防火牆設定檢視）。

(二)、 弱點修補時效性：應定期修補網路漏洞，並依風險高低設定修補期限（如高風險漏洞應於一個月內修補完畢）。

(三)、 日誌保存：網路設備之存取日誌應妥善保存至少 3 年，並確保日誌之機密性，防止未經授權存取。

一、 風險評估與前置審查

(一)、 委外作業可行性評估：在與廠商簽約前，必須分析委外項目受影響之範圍（含資訊資產、業務流程及作業環境），並對廠商的維運能力、財務狀況及集中度執行風險評估。

(二)、 訂定供應鏈廠商之遴選原則：

• • 第一類證券商：其供應商應具備完善的資安管理措施。
  • 雲端供應商：應要求其通過第三方資安驗證。

二、 合約管理與必要項目明確化

(一)、 服務水準報告 (SLA)：一年期以上之維護或委外合約，廠商應定期提交服務水準報告。

(二)、 資安事件通報：明確要求廠商在知悉潛在威脅（如於其他客戶端發生重大事故）時，應立即通知並採取補救措施。

(三)、 分包管理：廠商若要將業務轉包或分包，必須事先載明並取得證券商同意，異動時亦同。

(四)、 稽核權條款：載明證券商（或授權之第三方）擁有對廠商進行資安稽核的權利。

三、 核心系統的強化管理

(一)、 核心系統回復計畫 ：要求委外廠商必須定期提供核心資通系統與服務之回復計畫，確保災難發生時能迅速復原。

(二)、 完善壓力測試：核心系統供應商有義務配合證券商進行壓力測試，並在市場交易量劇增時，調整服務負載量。

四、 持續監控與稽核

(一)、 年度稽核：證券商應每年至少一次（或於必要時）對資訊服務供應商執行資安監督或實地稽核。

(二)、 安全檢測要求：要求廠商在應用程式上線前必須經過完整測試，且禁止在開盤前或交易期間進行可能影響系統穩定的更新。

(三)、 退場管理：應建立委外關係終止或解除後的處理程序，包含資料刪除及存取權限的立即回收。

一、 定義與適用範圍

(一)、 雲端服務定義：包含 IaaS、PaaS 及 SaaS 等透過網路提供彈性、可擴展之服務。

(二)、 適用範圍：證券商對於涉及營業執照所載業務項目或客戶資訊之相關作業委外，並涉及使用雲端服務提供者。

二、 治理制度與風險管理

(一)、 風險基礎方法 (RBA)：使用風險基礎方法確認、評估並瞭解使用雲端服務之風險，對於高風險情形應採取加強控管措施。

(二)、 治理架構：應建立雲端服務治理制度，包含明確的核准程序、責任劃分及內部控制制度。

三、 雲端服務提供者遴選與盡職調查

(一)、 維運能力審查：審核雲端服務提供者之服務水準、資安防護能力及業務持續運作與災難復原能力等。

(二)、 定期查核：落實定期對雲端服務提供者之查核，並視需要委託專業第三人以輔助其監督作業。

四、 技術安全與資料控管

(一)、 資料儲存地限制：

證券商保有指定資料處理及儲存地之權力。
涉及重大性自然人客戶業務資訊系統之客戶資料儲存地，以位於 我國境內為原則；如位於境外，除經主管機關核准者外，客戶重要資料應在我國留存備份。

(二)、 加密與金鑰管理：

• • 傳遞敏感資料應使用加密協定（如 HTTPS、SFTP）。
  • 加密工具及金鑰須儲存於隔離且安全網路環境。

(三)、 環境隔離：嚴禁使用正式營運資料進行雲端服務測試與驗證。

五、 營運持續與退場管理

(一)、 營運衝擊分析：應評估使用雲端服務之資通系統韌性與復原能力，並考量雲端服務可提供之復原能力，規劃營運持續管理計畫 。

(二)、 聯合演練：涉及重大性雲端委外作業應考量其風險定期辦理營運持續測試，得與供應商進行聯合演練。

(三)、 轉移策略（退場計畫）：在採用雲端服務前，應定訂轉移策略及計畫，確保約期屆滿或發生意外時，能將作業順利移轉至另一雲端服務提供者或移回自行處理。

(四)、 資料刪除義務：合約終止時，必須確保雲端服務提供者完全刪除相關資料（含虛擬機映像檔、快取及備份），並要求雲端服務提供者出具資料完全刪除證明。

一、 行動應用程式 (App) 安全管理

(一)、 發布審查：App 應於可信任來源商店發布。首次發布或權限變動（如存取相簿、定位）必須經由資安與法遵單位共同同意，並留存紀錄。

(二)、 偽冒偵測：必須建立偽冒 App 的偵測機制，防止駭客以假亂真誤導客戶。

(三)、 端點檢測：App 啟動時需偵測行動裝置是否遭破解（如 Root、Jailbreak 或開啟 USB 調試），並主動提示風險。

二、 電子式交易身分驗證 

電子式交易登入安全設計，必須具備以下三項因子中之任兩項：

(一)、 知識因子：如固定密碼、圖形鎖或手勢。

(二)、 持有因子：如手機、憑證載具，且證券商應確認該設備為約定設備。

(三)、 特徵因子：生物特徵（指紋、臉部等）。可採間接驗證（由手機代驗），但證券商需事先評估客戶身驗證機制之有效性。

三、 深度偽造 (Deepfake) 與網路釣魚防範

(一)、 視訊強化驗證：若使用影像視訊方式進行身分驗證，應具備強化驗證機制，防止遭 AI 變臉技術（Deepfake）欺騙。

(二)、 認知教育訓練：證券商應定期辦理涵蓋 Deepfake 認知及防範議題的資安教育訓練。

(三)、 主動偵測：應主動偵測釣魚網站及惡意連結，並及時提醒客戶防範。

四、 社群媒體與物聯網 (IoT) 管理

(一)、 社群管控：需訂定員工使用社群媒體的管理辦法，區分公務與私人使用邊界，並對官方帳號的發布內容建立審核機制。

(二)、 物聯網安全：盤點證券商內部IoT 設備，優先採購具備資安標章之產品，並落實設備權限與連線控管。

一、建構訊作業韌性管理組織

(一)、 重要業務識別：識別核心業務及其對應之核心系統，作為後續韌性規劃的基礎。

(二)、 影響容忍度：訂定核心系統之 RTO（服務恢復目標時間）與 RPO（資料復原點目標），明確界定可接受的中斷範圍。

二、備份備援機制及機房規劃

(一)、 備份備援機制：資料備份宜至少製作三份備份，將備份分別存放在兩種不同儲存媒體，至少一份放在異地保存。

(二)、 機房規劃及其設置地點：符合特定標準證券商應建置異地備援機房，機房設置地點應考量非同一災難或失效影響之地理位置。

三、災害應變及資訊作業韌性訓練

(一)、 災害應變：辨識可能會造成服務中斷的情境，再規劃相對應的應變措施。

(二)、 教育訓練：養兵千日用在一時，建置強化資訊作業韌性之任務編組，並定期辦理資訊作業演練，確保人員熟練。

一、 適用範圍與定義

(一)、 適用範圍：當 AI 與客戶直接互動、提供金融商品建議、影響交易權益，或對營運有重大影響時，即適用本規範。

(二)、 直接互動定義：指 AI 透過分析提問、產生非預期回應，且過程中無人介入者。

(三)、重大影響定義：參考「證券商作業委託他人處理應注意事項」之重大性定義。

二、 治理架構與問責機制

(一)、 管理層指派：應指定高階主管或委員會負責 AI 相關監督管理。

(二)、 人才培訓：需提供適當人員培訓。另確保運用生成式 AI人員，應掌握技術運作方式及確保AI所產生之回應內容符合背後預測及決策邏輯。

(三)、 委外監督：若使用第三方 AI 技術，必須執行盡職調查，並確保第三方業者留存完整的運算軌跡，以利後續稽核。

三、 透明性與客戶權利

(一)、 明確告知義務：與客戶互動時，應主動揭露該服務係利用 AI 自動完成，並說明其適用場景及使用目的。

(二)、 替代方案提供：宜由客戶選擇是否使用 AI 服務的權利，並是否有其他替代方案可供選擇。

(三)、 可解釋性要求：運用AI提供服務，應提高模型的可解釋性，以確保對人工智慧運作之有效管理。

四、 公平性與演算法倫理

(一)、 資料多元化：宜使用多元且具代表性的數據進行訓練，減少對特定群體（如年齡、姓名、身心障礙等屬性）產生系統性偏見。

(二)、 提高穩健性：應定期檢視 AI 服務之安全性及穩定性，並採取有效措施提升AI技術輸出或生成內容之準確性與可信度。

券商公會所訂定的上述七項自律規範，構成了證券商資安防護的重要準則基礎。然而，規範的訂定僅是起點，落實執行才是關鍵。

周邊單位藉由年度資安例行查核，以「建立證券商資通安全檢查機制」作為查核依據，全面檢視各證券商對上開自律規範的落實情形。查核結束後，隨即針對所見缺失進行彙總分類，有效歸納統計缺失態樣，進而洞悉個別證券商及整體證券市場的資安辦理現況。同時，透過根因分析深入了解缺失成因，提供客製化的輔導建議，協助證券商有效改善防護缺口，形成「發現問題—分析根因—輔導改善」的完整循環。

「靡不有初，鮮克有終。」資安這條路，最難的並不在於起步的規劃，而是在於落實執行與持續不斷的滾動修正。

透過上述七份自律規範的「規劃（Plan）與執行（Do）」，證券商建立防護的核心骨幹；而周邊單位依據「建立資通安全檢查機制」所進行的定期查核與輔導，則扮演了「檢查（Check）」的關鍵把關角色。最後，透過周邊單位對缺失的追蹤改善、以及因應威脅演變而滾動修訂自律規範內容，實現了「行動（Act）」的循環，使整個治理體系得以持續精進，構成一個完整的 PDCA 治理循環，讓防護體系能隨威脅的演進而螺旋式提升。

然而，資安防禦從無一勞永逸的作法。「防微杜漸，未雨綢繆」，唯有時時刻刻保持警惕、與時俱進地更新防護措施，方能在不斷演變的威脅環境中，打造出安全、可信、可持續創新的證券市場。