臺灣證券交易所舉辦113年證券商資通安全會議
臺灣證券交易所於本(113)年5月2日下午,假台北君悅酒店舉辦「113年證券商資通安全會議」。本場會議除敦請證券期貨局長官蒞臨指導,並有中華民國證券櫃檯買賣中心及中華民國證券商業同業公會等周邊單位亦指派多名代表與會外,另有140餘位證券業資安高階管理人員共襄盛舉,會議圓滿成功,議題涵蓋面向多元,廣獲與會嘉賓好評。
此次會議由臺灣證券交易所簡立忠總經理揭開序幕,致詞中除感謝各證券業者一直以來為證券交易市場安全及穩定所共同付出的努力,也提及新興科技的發展與應用不僅帶來了新的商機,同時也伴隨著不可忽視的風險和挑戰,從個人乃至社會層面都將面臨威脅,因此,資通安全在未來將仍是政府施政的重點項目之一。為此,臺灣證券交易所近年共推動五大強化措施:「推動證券商資安治理成熟度評估、辦理證券商資通安全總體檢、強化證券商資安防禦機制、開辦ISO27001資安專業課程、實施重大資安事件通報程序」,透過上述強化措施瞭解整體證券商資安管控程度及防禦弱點,提升證券商網路安全防護系統及資安人員專業能力,並加強證券商資安事件通報作業程序,共同建立證券市場的資安防護網。最後,簡總經理也期勉各證券同業,安全穩定的證券市場是維持金融體系正常運作的關鍵,因此在數位化的網路時代一定要持續地重視資安,並共同努力加強合作,才能持續提升整體市場的資安韌性與資安量能。
為涵蓋證券商內部及外部的資安議題面向,本次會議共有三大主題,首先為「資通安全查核重點及缺失案例分享」,由臺灣證券交易所分享近年證券商重大資安事件案例、作業缺失項目與相關強化措施說明,案例包含外部駭客攻擊、程式測試計畫與作業未完善、廠商連線與權限管控不足等,使證券商能從同業已發生案例中相互學習,並將資安管控重點更加聚焦於高風險的部分。
第二項主題為「雲端服務之資安治理」,由安碁資訊股份有限公司吳乙南總經理介紹金融機構作業上雲五大重點,包含(1)使用雲端服務的治理框架,並考量使用雲端服務對金融機構治理和運營模式影響、(2)使用雲端服務的安全管理,應執行適當盡職調查及持續監控雲端服務安全性、(3)應制定流程來識別、衡量、監控和控制與雲端服務相關風險、(4)使用雲端服務應有資訊安全維護意識及人員培訓計畫、(5)金融機構和雲端服務業者的合約應明確說明雙方責任畫分,透過落實以上雲端管控重點,並系統性規劃與執行資安演練與SF-CERT通報處理作業,協助證券商在應用雲端科技發展業務及提升服務效率的同時,亦能兼顧足夠的安全及穩定。
最後,由勤業眾信風險管理諮詢股份有限公司陳威棋副總經理,分享第三項主題「強化證券市場資安防禦策略」,從全球資安趨勢的角度,如近年生成式AI所帶來的網路攻擊威脅等,切入我國證券市場未來資安防護的重點與方向,並呼應主管機關金融資安行動方案的策略主軸「以風險為導向的資安監理、以整體為核心的資安治理、以演練為實證的資安韌性、以信任為基礎的資安聯防」,詳細說明了駭客攻擊框架、資安事件應變及演練策略等,提供證券業者在強化資安治理與資安韌性等方面完整的參考。
此次會議旨在凝聚我國證券市場業者於資通安全防護的向心力,以資安「零容忍」為目標,為建立整體市場的發展及數位化提供強而有力的基礎,並能在資安風險與威脅不斷變化的現代網路環境中持續提升防護力,使台灣資本市場穩健立足國際舞台。
