證券業競爭激烈,同業競爭不只是比服務、比產品,還包括交易的速度與便利性,成立超過22年的元富證券,在其八大經營原則中,明確指出要利用科技改善作業,提供有效率且即時的服務,也因此,元富資訊團隊積極開發各種電子及行動交易平台及軟體,如何確保這些交易平台與AP的正常運作,就是元富資安工作的主要目標。
資安工作重點
元富證券資安工作的目標,就是維持交易系統快速且穩定的運作,為了達成目標,元富在資訊部下設立風控處,負責資安政策推動、制度建立與遵循,這與一般公司的資安編制不同,也意味著元富將資安當作公司營運風險來看待,除了導入ISO 27001認證形塑資安行為準則,並且自行研發資安管理工具,確保資訊系統的可用性。
資安管理
元富透過資訊安全管理系統(ISMS)解決資訊作業風險,為了兼顧作業便利性,風控處制訂出一套SOP,包括8個辦法、14個細則、15個注意事項及120張表單,並透過表單電子化及事件資料庫,落實資安管理流程。
資安作業表單電子化:將重點且申請頻率較高的申請表單電子化,目前共有資訊安全服務申請書、資通安全事件通報、系統變更申請表、系統上線申請表及機房設備進出申請表共計5張,其他表單陸續開發中。電子化除了可以完整記錄使用者之變更需求,嚴格禁止非事先申請及通過授權之系統變更,確保系統正確性之外,還有另外一個好處就是建立完整資料庫,追蹤完整系統變更軌跡,由於徹底執行系統變更上線管制,使得系統錯誤機率降低4%。
建立資安事件資料庫:建置完整地資訊安全事件電子資料庫,詳實記錄事件發生時間、異常徵兆等,一旦發生系統異常,資訊部各單位的系統負責人員,可以參考異常事件資料庫的處理經驗,並遵循處理事件SOP來排除問題,後續則加強分析異常事件發生的原因,徹底執行治標及治本作業,避免相同問題重複發生,而資安事件影響交易的發生機率也因此降低50%。
權限管理:
(1)針對應用系統的權限管理,由業務部門負起權限管控的責任,自行設定每個職位應有的權限,資訊部門則提供系統權限設定介面,同時每半年列出角色權限清單,供各分公司經理人覆核,以及稽核單位的實地抽查,降低人為舞弊的風險。
(2)針對系統管理員的權限管理,將密碼分成二部份,交由兩人分持保管。透過資料庫存取行為監控,確保資料庫記錄的不可竄改性。
「服務不中斷」是元富證券對於客戶的承諾,任何系統異常,都可能導致短暫的交易異常、交易中斷、交易錯帳、甚至是影響交易市場,元富透過各項管理制度與流程,確保系統的正常運作,協助企業得到股東與客戶的信賴、支持。
元富證券管理部副總經理林東和表示,導入ISMS不是為了那張證書,而是要讓它變成一種文化,一種所有資訊人員都會遵循的行為準則。
|
1. 資安團隊:2名專職人員
|
|
2. 服務範圍:現有51家分支機構,共約2,152位使用者、491台伺服器主機、2,249台電腦
|
|
3. 資安驗證:2008年取得ISO 27001驗證,驗證範圍:資訊部。
|
|
4. 主要特色:
(1) 以落實「公司治理」的態度推動資安政策:資訊部下設專責的資安政策推動單位─風控處,定期審核作業規範、徹底執行內部自評。
(2) 每月召開「資訊科技暨作業會議」,全體高層主管參加,總經理主持,討論IT專案績效追蹤、重大異常追蹤、以及內外法規、資安事件等。
(3) 資安表單電子化,並建立完整資訊安全事件電子資料庫,加強事件發生原因分析,從經驗中學習「不二錯」。
|