证交所护资安 五路并进

证交所举办113年度证券商资通安全会议,由左至右分别为证交所经理刘学庸、总经理简立忠、副理廖正华。图/证交所提供

台湾证券交易所上周举办证券商资通安全会议,总经理简立忠致词时指出,为强化资通安全,证交所近年共推动五大强化措施,包括推动证券商资安治理成熟度评估、办理证券商资通安全总体检、强化证券商资安防御机制等。

113年证券商资通安全会议,由简立忠揭开序幕,致词中除感谢各证券业者一直以来为证券交易市场安全及稳定所共同付出的努力,也提及新兴科技的发展与应用不仅带来了新的商机,同时也伴随着不可忽视的风险和挑战,从个人乃至社会层面都将面临威胁。

简立忠表示,资通安全在未来将仍是政府施政的重点项目之一。为此,证交所近年共推动五大强化措施:「推动证券商资安治理成熟度评估、办理证券商资通安全总体检、强化证券商资安防御机制、开办ISO27001资安专业课程、实施重大资安事件通报程序」。

他并调,透过上述强化措施了解整体证券商资安管控程度及防御弱点,提升证券商网路安全防护系统及资安人员专业能力,并加强证券商资安事件通报作业程序,共同建立证券市场的资安防护网。

最后,简立忠更期勉各证券同业,安全稳定的证券市场是维持金融体系正常运作的关键,因此在数位化的网路时代一定要持续地重视资安,并共同努力加强合作,才能持续提升整体市场的资安韧性与资安量能。

为涵盖证券商内部及外部的资安议题面向,首先为「资通安全查核重点及缺失案例分享」,由证交所分享近年证券商重大资安事件案例、作业缺失项目与相关强化措施说明,案例包含外部骇客攻击、程式测试计划与作业未完善、厂商连线与权限管控不足等,使证券商能从同业已发生案例中相互学习,并将资安管控重点更加聚焦于高风险的部分。

其次为「云端服务之资安治理」主题,由安碁资讯总经理吴乙南介绍金融机构作业上云五大重点,包含:

一、使用云端服务的治理框架,并考量使用云端服务对金融机构治理和运营模式影响;二、使用云端服务的安全管理,应执行适当尽职调查及持续监控云端服务安全性;三、应制定流程来识别、衡量、监控和控制与云端服务相关风险。

四、使用云端服务应有资讯安全维护意识及人员培训计划;五、金融机构和云端服务业者的合约,应明确说明双方责任画分,透过落实以上云端管控重点,并系统性规划与执行资安演练与SF-CERT通报处理作业,协助证券商在应用云端科技发展业务及提升服务效率的同时,也能兼顾足够的安全及稳定。

最后,由勤业众信风险管理咨询公司副总陈威棋,分享「强化证券市场资安防御策略」,从全球资安趋势的角度,如近年生成式AI所带来的网路攻击威胁等,切入我国证券市场未来资安防护的重点与方向。

陈威棋并呼应主管机关金融资安行动方案的策略主轴「以风险为导向的资安监理、以整体为核心的资安治理、以演练为实证的资安韧性、以信任为基础的资安联防」,详细说明骇客攻击框架、资安事件应变及演练策略等,提供证券业者在强化资安治理与资安韧性等方面完整的参考。

证交所强调,此次会议主要凝聚证券市场业者于资通安全防护的向心力,以资安「零容忍」为目标,为建立整体市场的发展及数位化提供强而有力的基础,并能在资安风险与威胁不断变化的现代网路环境中持续提升防护力,使台湾资本市场稳健立足国际舞台。