證交所護資安 五路並進

證交所舉辦113年度證券商資通安全會議,由左至右分別爲證交所經理劉學庸、總經理簡立忠、副理廖正華。圖/證交所提供

臺灣證券交易所上週舉辦證券商資通安全會議,總經理簡立忠致詞時指出,爲強化資通安全,證交所近年共推動五大強化措施,包括推動證券商資安治理成熟度評估、辦理證券商資通安全總體檢、強化證券商資安防禦機制等。

113年證券商資通安全會議,由簡立忠揭開序幕,致詞中除感謝各證券業者一直以來爲證券交易市場安全及穩定所共同付出的努力,也提及新興科技的發展與應用不僅帶來了新的商機,同時也伴隨着不可忽視的風險和挑戰,從個人乃至社會層面都將面臨威脅。

簡立忠表示,資通安全在未來將仍是政府施政的重點項目之一。爲此,證交所近年共推動五大強化措施:「推動證券商資安治理成熟度評估、辦理證券商資通安全總體檢、強化證券商資安防禦機制、開辦ISO27001資安專業課程、實施重大資安事件通報程序」。

他並調,透過上述強化措施瞭解整體證券商資安管控程度及防禦弱點,提升證券商網路安全防護系統及資安人員專業能力,並加強證券商資安事件通報作業程序,共同建立證券市場的資安防護網。

最後,簡立忠更期勉各證券同業,安全穩定的證券市場是維持金融體系正常運作的關鍵,因此在數位化的網路時代一定要持續地重視資安,並共同努力加強合作,才能持續提升整體市場的資安韌性與資安量能。

爲涵蓋證券商內部及外部的資安議題面向,首先爲「資通安全查覈重點及缺失案例分享」,由證交所分享近年證券商重大資安事件案例、作業缺失項目與相關強化措施說明,案例包含外部駭客攻擊、程式測試計劃與作業未完善、廠商連線與權限管控不足等,使證券商能從同業已發生案例中相互學習,並將資安管控重點更加聚焦於高風險的部分。

其次爲「雲端服務之資安治理」主題,由安碁資訊總經理吳乙南介紹金融機構作業上雲五大重點,包含:

一、使用雲端服務的治理框架,並考量使用雲端服務對金融機構治理和運營模式影響;二、使用雲端服務的安全管理,應執行適當盡職調查及持續監控雲端服務安全性;三、應制定流程來識別、衡量、監控和控制與雲端服務相關風險。

四、使用雲端服務應有資訊安全維護意識及人員培訓計劃;五、金融機構和雲端服務業者的合約,應明確說明雙方責任畫分,透過落實以上雲端管控重點,並系統性規劃與執行資安演練與SF-CERT通報處理作業,協助證券商在應用雲端科技發展業務及提升服務效率的同時,也能兼顧足夠的安全及穩定。

最後,由勤業衆信風險管理諮詢公司副總陳威棋,分享「強化證券市場資安防禦策略」,從全球資安趨勢的角度,如近年生成式AI所帶來的網路攻擊威脅等,切入我國證券市場未來資安防護的重點與方向。

陳威棋並呼應主管機關金融資安行動方案的策略主軸「以風險爲導向的資安監理、以整體爲核心的資安治理、以演練爲實證的資安韌性、以信任爲基礎的資安聯防」,詳細說明駭客攻擊框架、資安事件應變及演練策略等,提供證券業者在強化資安治理與資安韌性等方面完整的參考。

證交所強調,此次會議主要凝聚證券市場業者於資通安全防護的向心力,以資安「零容忍」爲目標,爲建立整體市場的發展及數位化提供強而有力的基礎,並能在資安風險與威脅不斷變化的現代網路環境中持續提升防護力,使臺灣資本市場穩健立足國際舞臺。