2024年证券商资通安全会议现场合影,(由左至右)分别为台湾证券交易所经理刘学庸、总经理简立忠、副理廖正华。台湾证券交易所/提供
台湾证券交易所5月2日假台北君悦酒店举办2024年证券商资通安全会议,该场会议除证券期货局长官到场指导,并有中华民国证券柜台买卖中心及中华民国证券商业同业公会等周边单位亦指派多名代表与会外,另有140余位证券业资安高阶管理人员共襄盛举,会议圆满成功,议题涵盖面向多元,广获与会嘉宾好评。
这次会议由台湾证券交易所总经理简立忠揭开序幕,致词中除感谢各证券业者一直以来为证券交易市场安全及稳定所共同付出的努力,也提及新兴科技的发展与应用不仅带来新的商机,同时也伴随著不可忽视的风险和挑战,从个人乃至社会层面都将面临威胁,因此,资通安全在未来将仍是政府施政的重点项目之一。
/*.innity-apps-underlay-ad {z-index: 34 !important; }*/ .innity-apps-underlay-ad ~ .header {z-index: 35;} .innity-apps-underlay-ad ~ .main-content .inline-ads { background: transparent;} #eyeDiv ~ .footer{ position: relative; z-index: 2;} /* sizmek_underlay 投递调整置底 z-index 权重 */ .article-content__abbr__text {display:inline-block;} /* to be remove */
为此,台湾证券交易所近年共推动五大强化措施:「推动证券商资安治理成熟度评估、办理证券商资通安全总体检、强化证券商资安防御机制、开办ISO27001资安专业课程、实施重大资安事件通报程序」,透过这些强化措施了解整体证券商资安管控程度及防御弱点,提升证券商网路安全防护系统及资安人员专业能力,并加强证券商资安事件通报作业程序,共同建立证券市场的资安防护网。简立忠也期勉各证券同业,安全稳定的证券市场是维持金融体系正常运作的关键,因此在数位化的网路时代一定要持续地重视资安,并共同努力加强合作,才能持续提升整体市场的资安韧性与资安量能。
为涵盖证券商内部及外部的资安议题面向,这次会议共有三大主题,首先为「资通安全查核重点及缺失案例分享」,由台湾证券交易所分享近年证券商重大资安事件案例、作业缺失项目与相关强化措施说明,案例包含外部骇客攻击、程式测试计划与作业未完善、厂商连线与权限管控不足等,使证券商能从同业已发生案例中相互学习,并将资安管控重点更加聚焦于高风险的部分。
第二项主题为「云端服务之资安治理」,由安碁资讯总经理吴乙南介绍金融机构作业上云五大重点,包含1.使用云端服务的治理框架,并考量使用云端服务对金融机构治理和运营模式影响;2.使用云端服务的安全管理,应执行适当尽职调查及持续监控云端服务安全性;3.应制定流程来识别、衡量、监控和控制与云端服务相关风险;4.使用云端服务应有资讯安全维护意识及人员培训计划;5.金融机构和云端服务业者的合约应明确说明双方责任画分,透过落实以上云端管控重点,并系统性规划与执行资安演练与SF-CERT通报处理作业,协助证券商在应用云端科技发展业务及提升服务效率的同时,亦能兼顾足够的安全及稳定。
勤业众信风险管理咨询副总陈威棋,分享第三项主题「强化证券市场资安防御策略」,从全球资安趋势的角度,如近年生成式AI所带来的网路攻击威胁等,切入我国证券市场未来资安防护的重点与方向,并呼应主管机关金融资安行动方案的策略主轴「以风险为导向的资安监理、以整体为核心的资安治理、以演练为实证的资安韧性、以信任为基础的资安联防」,详细说明了骇客攻击框架、资安事件应变及演练策略等,提供证券业者在强化资安治理与资安韧性等方面完整的参考。
这次会议旨在凝聚我国证券市场业者于资通安全防护的向心力,以资安「零容忍」为目标,为建立整体市场的发展及数位化提供强而有力的基础,并能在资安风险与威胁不断变化的现代网路环境中持续提升防护力,使台湾资本市场稳健立足国际舞台。