重視IT及稽核 元富證券在穩健中拼第一

證券業，是高度競爭的金融服務業。整個產業內價值鏈，包括從研究、產品設計、銷售、交易、風險管理到客戶服務管理，每個環節對資訊科技的仰賴極深，然而這個產業也由於同業間彼此同質性高、差異化小，要如何創造競爭優勢是經營管理的難題。成立已逾22年的元富證券，在其八大經營原則當中，明確指出要利用科技改善作業，提供有效率且即時的服務。一家公司是否重視IT，看組織層級就知道。元富的資訊科技暨資作會議每個月定期召開一次，各業務單位主管必須參加，總經理親自擔任委員會主席，其中包括討論資安議題。

總經理親召開IT作業會議 深入問題核心

由於證券業的營業服務內容直接關係著客戶財富，相關投資標的的資產價值是隨著市場價格而變動，客戶也會隨時作買進賣出的調整。因此，證券業資訊系統的一大前提就是必須既快速且穩定。如今當快速穩定的服務已經是行業內必備的基礎時，元富的IT服務要以「突破現狀，掌握未來」來為公司創造附加價值。

帶領管理部、資訊部的元富證券副總經理林東和表示，交易平台會有兩發展走向以滿足不同客戶需求，提供一般客戶的除了系統安全、穩定之外，強調容易使用、標準化的介面設計，而針對自營、VIP特殊客戶則須提供客製化的操作介面，同時兼具快速與風險控制功能的架構。

兼具快速與風控的系統架構，說來容易做起來不簡單。如果把所有系統的檢核節點都拿掉，效能速度一定最快，但風險卻隨之提升，兩者之間必須拿捏取捨。要達到安全穩定須靠完善的基礎架構規劃，這部份元富與同業間的差異不大。但造成交易系統速度差異還與應用系統架構、程式設計的交易邏輯有關，這部份林東和認為元富IT團隊具有相當優勢。至於「掌握未來」則是指將來市場發展會朝向逐筆撮合的策略交易，這時IT團隊必須扮演更重要的資源技術整合的角色，將報價資料、風控模組、交易後線上監控機制等塊狀模組整合起來，並結合外部雲端應用服務，以滿足跨市場的快速交易。同時必須考量更多的備援、風控檢核點等，挑戰相當大。

元富經營團隊深深明白IT對於券商營運的重要性，IT投資在全年的資本支出當中就佔9成。因此在2004年成立資訊科技暨作業會議，由總經理直接擔任委員會主席，委員會設立的目的就是為了提升資訊服務品質。主要討論議程包括：1.對重大IT專案做績效追蹤，包括新開發業務系統的效益追蹤，透過設定KPI來檢視達成情形。2.對期間重大異常個案提出問題追蹤分析及對策，資訊部必須提出異常問題的標準結構、事件發生的記錄，分析屬於可控制或不可控制的情形，並提出治標、治本的因應對策。3.資安議題，包括產業外部資安個案或法規、內部資安事件、資安政策以及員工資訊使用行為分析檢討。資訊安全在元富已經是總經理層級關注的議題。

元富證券小檔案

資安事件資料庫 有效降低異常發生率

以證券業來說，由於必須受證交所、期交所及金管會檢查局等主管機關管轄，大都已有自訂內部管理制度，加上證交所也制定一套「建立證券商資通安全檢查機制」及檢查表。元富除了以主管機關之規範為基本外，於2008年，在資訊科技暨作業會議通過下，元富決定導入資訊安全管理系統(ISMS)，來徹底解決在作業風險當中最難控制的黑洞──資訊作業風險。

「導入ISMS，不是為了那一張證書，建立一套SOP也只是過程，制度被建立起來是規範了資訊人員，但更重要的是形而上地變成文化，變成所有資訊人員的行為準則。」林東和說。元富ISMS驗證範圍是資訊部所有業務，但管理應用範圍包括子公司(含期貨、投顧)、分公司在內的所有使用者。 

「導入ISMS，不是為了結果（證書）、不是為了架構（程序），而是對形而上、精神層次（資安文化）的追求。」~元富證券管理部副總經理 林東和

ISMS對系統開發單位及維運單位同仁來說，最辛苦的是必須把所有作業歷程文件化，除了緊急需求的變更外，所有異動都須符合規範，留存修改歷程並且通過主管審核授權後才能進行異動。為了在便利與符合法規之間取得平衡點，於是專案負責團隊──資訊部風控處，在一次次與資訊部所有使用者討論修改之後，制訂出一套SOP，包括8個辦法、14個細則、15個注意事項以及高達120張的表單。

變更錯誤向來是造成資安事件的原因之一。這套ISMS自2008年底取得驗證通過實施2年多以來，所有表單都已電子化，且建立起變更資料庫，可追蹤完整變更軌跡。由於系統變更上線管制的徹底執行，使系統錯誤機率降低至少4%。

此外，如上所述，系統的安全穩定及資訊的即時與正確性，是證券業資訊系統的基本要求，一旦發生資安事故或重大異常而影響線上下單系統，都會導致客戶抱怨甚至錯帳危機。因此元富特別重視「資訊安全異常事件通報程序」，萬一發生異常問題，系統負責人可以立即根據資安事件電子資料庫的處理經驗以及SOP來迅速排除問題。後續加強事件發生的原因分析，徹底執行治標及治本作業，避免相同問題重複發生，這樣一來，重大異常發生機率更降低了50%以上！在此印證了資安工作的重點在於流程與管理。

DR演練玩真的 逐部規劃BCM

儘管目前ISMS已制定完善的SOP，但天有不測風雲，各種意外、天災等因素仍考驗著元富對客戶系統可用性的承諾。雖然也有建置備援機房並制定災難復原的SOP，但林東和認為若與真正的營運不中斷(BCM)相比，目前的作法深度與廣度都還不夠。 

系統的安全穩定是證券業基本要求，維運處架有各種監控系統掌握最新狀況。

以前曾經發生過由於外部電力供應中斷而導致系統停擺的例子，當時因為環控系統的預警節點覆蓋範圍未臻嚴謹，使得所有不斷電系統耗盡，接著幾百台系統當機，資訊部同仁接到通知已經是早上5~6點，情況非常緊急，處理程序變得很複雜。此後，元富深刻體會到災備(DR)演練的重要。資訊部副總經理李俊德提到，遇到緊急狀況，就算有SOP還是會慌亂，一定要利用演練讓大家熟悉應變程序的前後關係。但真正的DR規劃及演練對於人力、資源的投入並不算小，包括硬體基礎設備、SOP，且需要業務單位同仁及外部IT廠商的配合。今年起，每年將進行兩次模擬大型資安事故的DR演練，以及第二季也預計進行異地備援的演練規劃。然而說到對實體環境毀壞的演練，不僅需要的規劃程序更為複雜，也所費不貲，但是若與營運中斷、動輒上億元的損失相比，BCM是遲早要做的事，現在各方面的時機應該較為成熟了。 

 
人為因素造成的資安問題，需透過管理手段解決，盡量限縮權限、掌握員工特質、密碼分持保管等。 ~元富證券資訊部副總經理 李俊德

除了系統可用性之外，另一個極挑戰的資訊風險則是人為舞弊的問題。由於交易系統多樣且複雜，外電新聞曾報導有營業員利用系統之間權限控管的漏洞，來進行非法的資金挪移並導致企業鉅額損失。對此，元富的作法是透過內部控制程序讓業務部門負起管控責任，由資訊部提供系統權限設定介面，業務部門自行設定每個職位應有的權限，每半年列出角色權限清單，供各分公司經理人覆核，加上稽核單位的實地抽查。

至於若是資訊部門內部系統管理者的權限管理問題，目前應用程式權限有流程管理，資料庫的部份則是留下系統存取日誌。大家都知道要盡量限縮權限，由主管把關，不需要知道的不開放，但對於系統日誌管理者又該如何制衡？除了掌握員工特質，交由信賴員工負責重要工作外，還可將重要核心系統的管理者密碼分成兩部分，交由兩人分持保管。元富風控處副理歐陽立惠提到，透過技術來加強對資料庫存取日誌的不可竄改性，例如資料庫行為監控解決方案。

ISMS打好基礎 法規要求、ITIL建置從容就緒

重視法規、內稽內控制度，元富已經連續五年取得上市櫃公司資訊揭露評鑑最優的獎項，基於公司治理的精神，他們認真推動ISMS建置。現在有了良好的ISMS做基礎，接下來元富希望進一步規劃ITIL，透過與業務單位制定服務水準協定(SLA)，以提升資訊服務品質。包括將來BCM的投入，都是需要業務單位對於SLA的同意與支持，才能讓專案達到最高效益。

此外，對於即將實施的個人資料保護法，有了ISMS元富也能從容應對，透過教育訓練說明，所有高階主管都已了解新版個資法的影響，也已組成跨部門專案小組，由林東和副總率領結合法制、資訊部以及所有業務單位共同規劃因應。

已經22歲的元富，本質上是一家重視內控、制度規範的公司，除了有資訊科技暨作業會議，還有風險控制委員會、法治遵循委員會。不只總公司底下有稽核室，資訊部底下也有專門的風控處，除了基本擔任資訊部內部風險控管角色之外，也須及時掌握證券金融產業面及外部資安環境等相關風險。在這樣的陣容以及穩健的基礎下，元富資訊部今年希望支援業務單位開發更具前瞻的雲端策略驅動交易平台、財富管理業務、電子商務整合服務模式，並積極佈局兩岸三地。讓業務單位無後顧之憂的「拼第一」，是他們今年的目標。