台証自行導入ISO 27001，預計明年中取得認證

自從7月1日開始，臺灣證券交易所等相關單位，對於證券業的管理，決定比照銀行業，其中以資訊安全的層面來說，雖然沒有明文要求證券業者，必須在一定時限內取得ISO 27001的認證，但是證券業者如果擁有ISO 27001的認證，那麼就可以免除臺灣證券交易所的稽核，在這樣的前提下，台証證券決定以ISO 27001作為資訊安全的作業規範，並且計畫在2007年中取得認證。

值得一提的是，目前台証證券的ISO 27001，並沒有顧問等外部資源的介入，台証證券資訊服務部資訊長吳益竹表示，在成本效益的考量下，決定憑著過去在中國信託的BCP專案經驗來做，預計後期才會引入顧問資源。除此之外，相關的系統工具也會在近1～2個月內導入，其中包括資訊安全即時監控系統以及作業維護即時監控系統等，都將在既有的基礎上添購不足的部分，依據現況來看，並沒有大規模導入新的系統工具需求。

吳益竹表示，ISO 27001專案在7月正式啟動之後，現階段已經陸續完成資產風險與業務風險的評估，這個過程中，台証證券也檢視到過去有所忽略的環節，例如：委外廠商的維護能力與支援，對於台証證券的業務營運所造成的風險，是不是符合台証證券的要求。

吳益竹表示，目前台証證券的營運系統，雖然全部都是由台証自己負責維護，但是委外開發的系統也不少，如果系統發生問題，相關的委外開發廠商也必須協助處理，在這樣的前提下，根據ISO 27001的作業規範，台証證券就必須把委外廠商納為風險管理的一環。

事實上，台証證券雖然有將近10家的委外廠商，但是過去並沒有建立一套機制，因應系統出現風險的配套措施，吳益竹表示，一般來說，證券相關的系統，如果發生問題，一定都是在正常的上班日，這樣的情況下，委外廠商幾乎都能在最短的時間內協助處理，不過，從風險的角度來看，仍舊必須建立一套完善的機制，確保風險一旦發生仍能因應，以復原程序來說，甚至必須涵蓋到相關文件的完整度。

吳益竹表示，ISO 27001就像是一個下水道工程，表面上看起來沒有什麼具體的改變，可是內在的體質就會因此不同，台証證券決定以ISO 27001作為安全的作業規範之後，目前包括系統面、組織面都有所調整，過去風險的稽核人員，因為是隸屬在總公司之下，對於IT的流程並不了解，因此在稽核的過程中，比較不容易抓到重點，現在，台証證券為了符合ISO 27001的標準，IT部門不僅配置專屬的稽核人員，還必須完成外部稽核單位的培訓課程才能擔任。

從系統開發的角度來看，每一個專案成形之後，除了資訊與業務單位的人必須參與之外，稽核人員也必須從需求確認階段就加入，然後一直到部署上線，吳益竹表示，這樣的運作方式，等於是為每個專案多了一層把關，IT與稽核人員將可交互稽核。

除此之外，30多個與營運相關的系統，諸如帳務系統、電子交易系統等，都必須從風險的角度一一檢視，吳益竹表示，ISO 27001所代表的不只是一個認證，而是一連串的風險評估動作，包括網路、設備、軟體、人員等不同面向，都必須符合ISO 27001的標準，才能通過認證。文⊙楊惠芬