https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

元富證券:有效管控資訊作業風險 從經驗中學習不二錯

2011 / 10 / 18
廖珮君
元富證券:有效管控資訊作業風險  從經驗中學習不二錯

證券業競爭激烈,同業競爭不只是比服務、比產品,還包括交易的速度與便利性,成立超過22年的元富證券,在其八大經營原則中,明確指出要利用科技改善作業,提供有效率且即時的服務,也因此,元富資訊團隊積極開發各種電子及行動交易平台及軟體,如何確保這些交易平台與AP的正常運作,就是元富資安工作的主要目標。

 

 

資安工作重點

 

元富證券資安工作的目標,就是維持交易系統快速且穩定的運作,為了達成目標,元富在資訊部下設立風控處,負責資安政策推動、制度建立與遵循,這與一般公司的資安編制不同,也意味著元富將資安當作公司營運風險來看待,除了導入ISO 27001認證形塑資安行為準則,並且自行研發資安管理工具,確保資訊系統的可用性。

 

 

資安管理

 

元富透過資訊安全管理系統(ISMS)解決資訊作業風險,為了兼顧作業便利性,風控處制訂出一套SOP,包括8個辦法、14個細則、15個注意事項及120張表單,並透過表單電子化及事件資料庫,落實資安管理流程。

 

資安作業表單電子化將重點且申請頻率較高的申請表單電子化,目前共有資訊安全服務申請書、資通安全事件通報、系統變更申請表、系統上線申請表及機房設備進出申請表共計5張,其他表單陸續開發中。電子化除了可以完整記錄使用者之變更需求,嚴格禁止非事先申請及通過授權之系統變更,確保系統正確性之外,還有另外一個好處就是建立完整資料庫,追蹤完整系統變更軌跡,由於徹底執行系統變更上線管制,使得系統錯誤機率降低4%

 

建立資安事件資料庫建置完整地資訊安全事件電子資料庫,詳實記錄事件發生時間、異常徵兆等,一旦發生系統異常,資訊部各單位的系統負責人員,可以參考異常事件資料庫的處理經驗,並遵循處理事件SOP來排除問題,後續則加強分析異常事件發生的原因,徹底執行治標及治本作業,避免相同問題重複發生,而資安事件影響交易的發生機率也因此降低50%

 

權限管理:

(1)針對應用系統的權限管理,由業務部門負起權限管控的責任,自行設定每個職位應有的權限,資訊部門則提供系統權限設定介面,同時每半年列出角色權限清單,供各分公司經理人覆核,以及稽核單位的實地抽查,降低人為舞弊的風險。

(2)針對系統管理員的權限管理,將密碼分成二部份,交由兩人分持保管。透過資料庫存取行為監控,確保資料庫記錄的不可竄改性。

 

 

「服務不中斷」是元富證券對於客戶的承諾,任何系統異常,都可能導致短暫的交易異常、交易中斷、交易錯帳、甚至是影響交易市場,元富透過各項管理制度與流程,確保系統的正常運作,協助企業得到股東與客戶的信賴、支持。

 

 

元富證券管理部副總經理林東和表示,導入ISMS不是為了那張證書,而是要讓它變成一種文化,一種所有資訊人員都會遵循的行為準則。

 

1.      資安團隊:2名專職人員

2.      服務範圍:現有51家分支機構,共約2,152位使用者、491台伺服器主機、2,249台電腦

3.      資安驗證:2008年取得ISO 27001驗證,驗證範圍:資訊部。

4.      主要特色:

(1)    以落實「公司治理」的態度推動資安政策:資訊部下設專責的資安政策推動單位─風控處,定期審核作業規範、徹底執行內部自評

(2)    每月召開「資訊科技暨作業會議」,全體高層主管參加,總經理主持,討論IT專案績效追蹤、重大異常追蹤、以及內外法規、資安事件等。

(3)    資安表單電子化,並建立完整資訊安全事件電子資料庫,加強事件發生原因分析,從經驗中學習「不二錯」。