Embed Size (px)
Citation preview
1
2
3
4
5
「證券期貨市場資通安全事件
通報應變作業注意事項」宣導
說明會問與答
適用範圍議題 ....................................................................................................................... 6
注意事項與其他法令、法規關係議題 ............................................................................... 7
通報議題 ............................................................................................................................... 8
會員申請議題 ..................................................................................................................... 11
系統功能面 ......................................................................................................................... 12
6
適用範圍議題
Q1 :「證券期貨市場資通安全事件通報應變作業注意事項」之適用
對象為何? 加入通報系統是否有時限要求?
A:
1. 本通報應變作業注意事項(通報系統)適用對象:
• 包含證券商、期貨商、期貨信託事業、期貨經理事業、
證券投資信託事業、證券投資顧問事業、證券金融事業
等證券期貨業者。
• 除上述業者外,於主管機關證期局網站公告之「證券期
貨特許事業」
(http://www.sfb.gov.tw/ch/home.jsp?id=722&parentp
ath=0,4)皆應遵循本通報應變作業注意事項。
2. 為利於通報系統儘早正常運作,敬邀業者於說明會後一星期
內(106年 1月 23日)申請加入系統。
Q2 :以下情事是否可不納入通報系統?
銀行局已訂有通報規範,銀行業者是否可遵循該規範即可,
以避免通報作業規範的重疊?
若為銀行業兼營投顧全權委託與投資顧問服務,不會與客戶
簽約也沒有客戶資料,使用到的系統只有路透與彭博系統,
是否仍需要加入系統?
銀行兼營債券,無下單客戶,是否仍需要加入系統?
A:
• 銀行若於兼營證期局所轄特許業務之範圍,發生重大影響客
戶權益或正常營運之資訊服務異常事件,以及資通安全事
件,請依「證券期貨市場資通安全事件通報應變作業注意事
項」辦理。
Q3 :以下情事是否不需遵循本通報應變作業注意事項?
若資通安全事件未影響證券期貨市場,僅影響銀行端客
戶,仍需遵循本通報應變作業注意事項嗎?
若客戶使用境外系統,執行境外交易時發生資安事件,是
否需通報?
A:
• 未影響證券期貨市場,即不需通報本系統。
• 發生影響臺灣客戶權益之事件,且符合本通報應變作業注意
事項規範之事件時,應進行事件通報。
7
注意事項與其他法令、法規關係議題
Q4 :本通報應變作業注意事項與中華民國 105年 10月 5日臺灣證券
交易所臺證輔字第 1050504050號重申本公司「證券商電子交易
系統故障通報機制」作業。關係為何?
A:
• 當證券業者資安事件發生時,判別若需對市場公告時,除依
「證券期貨市場資通安全事件通報應變作業注意事項」通報
外,仍應依證交所「證券商電子交易系統故障通報機制」辦
理。
• 惟本公司將視通報系統運作情形,另與券商公會研議整併
「證券商電子交易系統故障通報機制」之可行性,期未來逕
以本通報應變作業注意事項(通報系統)取代原有之通報機
制。
Q5 :經由「證券期貨市場資通安全事件通報應變作業注意事項」(通
報系統)辦理之通報即視為正式通報嗎?
A:
• 「證券期貨市場」相關資安事件皆採本系統進行正式事件通
報,通報系統於接獲事件通報時,將自動以簡訊、電子郵件
方式同時通知主管機關證期局及相關單位。
• 惟現階段「證券商」除採本系統進行通報外,仍應依本公司
「證券商電子交易系統故障通報機制」辦理。
Q6 :若機構原已被要求遵循「國家資通安全通報應變作業綱要」通
報資安事件予金管會,可否逕行以本通報應變作業注意事項(通
報系統)取代原有之通報作業?
A:
• 機構應同時遵循「國家資通安全通報應變作業綱要」,及本
通報應變作業注意事項(通報系統)。
Q7 :個資外洩時,必須要函送交易所再轉陳主管機關,如果有此通
報系統,是否還需要發函給交易所還是說直接使用此系統通報即
可?
A:
• 依主管機關指示,當發生個資外洩事件時,交易所需要先了
解狀況再行通報主管機關。
• 本通報應變作業注意事項(通報系統)需通報之事項涵蓋個資
外洩事件,未來可逕行採用本機制通報交易所。
8
通報議題
Q8 :本通報應變作業注意事項(通報系統) 規定初步通報要在 30分
鐘內完成,是否有規定正式通報及解除通報完成之時限?
A:
• 初步通報 30分鐘主要是讓主管機關可以盡早了解現況,因
正式通報單相對複雜,故請業者查明原因後再提供,現行規
範並未有明確之時間限制,但請業者能儘速作正式通報。
• 有關解除通報之時限,參考目前政府機關之有關資安通報作
業規定,請於正式通報後 3日內完成解除通報,「證券期貨
市場資通安全通報系統」增設「於正式通報後 3日內尚未解
除通報者,系統自動發送通知予業者及其主管單位」功能,
以提醒業者及業管單位儘速辦理事件後續作業。
Q9 :初步通報的「知悉」時間是從甚麼時間點起算? 因系統問題常
需一些時間判斷,是否可以從機構內確認為資通安全事件時起
算?
A:
• 本通報應變作業注意事項(通報系統)中所稱之「知悉」為確
認問題將影響客戶權益時,即為「知悉」。
Q10 :漏報事件是否有處罰? 主管機關接獲通報的後續動作為何?
稽核時會做審視嗎?
A:
• 本通報應變作業注意事項(通報系統) 尚未針對漏通報訂有
明確罰則。但於對業者查核時會視情況進行瞭解,故請業者
落實通報,以利主管機關及早掌握相關資訊。
• 本通報應變作業注意事項(通報系統)之目的為快速傳遞訊息
予業管單位,業管單位仍依現行事件處理程序協助市場及業
者迅速因應事件。
Q11 :如業者兼營證券、期貨、投信投顧等不同業別,通報方式為
何?
A:
• 為確保通報機構之權責,及利於後續之問題之追縱管理,證
券商、期貨商、投信投顧、期信、證金等不同業別之通報帳
號皆為獨立申請及使用。
• 如發生事件,需同時通報多個不同業別之事件,需以不同之
業別身分登入進行通報。
9
Q12 :部分業者兼營證券、期貨、投顧等不同業別,建議考量修改為
1家公司 1個帳號,透過單一帳號同時通報所屬各業別之資安事
件,以免事件同時影響證券及期貨市場,相同的通報單要重複陳
報?
A:
• 為確保通報機構之權責,及利於後續之問題之追縱管理,並
尊重各單位不同內控制度之考量,現階段系統設計為不同業
別之通報帳號皆為獨立申請及使用。
• 後續將視整體作業狀況,適時檢視調整。
Q13 :資訊系統委外予母公司,如果發生資安事件,這樣是哪個單位
進行通報呢?
A:
• 證券商依現行規範,係由證券商通報。
• 假設資訊系統是委外予廠商,則不應將帳號授權予委外廠
商,因為最終責任仍是原單位要承擔。
Q14 :發生天然災害或是管線遭挖斷造成資訊系統無法使用,是否算
是資通安全事件?
A:
• 資訊系統之機密性、完整性及可用性受到影響皆符合行政院
之資通安全事件定義。假設發生天然災害或是管線遭挖斷,
造成服務中斷影響系統之可用性,即屬於資通安全事件。
Q15 :因故致無法於通報系統完成通報時,應如何處置?
A:
• 請先行以電話方式向主管機關證期局負責監理該業者之承辦
人及相關單位辦理事件通報,待網路通訊恢復正常後,仍須
至通報系統補登錄通報資訊。
Q16 :如發現資安事件為誤報,是否一定要填寫正式通報單?
A:
• 已於 106年 4月增修「證券期貨市場資通安全事件通報應變
作業注意事項」之通報作業流程圖,並一併增修「證券期貨
市場資通安全事件通報系統」,業者可取消初步通報單。
10
Q17 :針對核心業務、非核心業務是否有明確定義? 支援核心業務
的所有系統是否算是核心系統?
A:
• 原則上機構辦理證券期貨市場之交易業務為當然之核心業務
外,其餘核心業務之定義尊重各機構自行評估之結果。
• 以證交所為例,基本上支援核心業務的系統皆為核心系統。
Q18 :有關可容忍中斷時間的定義?
A:
• 證券商部分本公司將與券商公會研議整併「證券商電子交易
系統故障通報機制」時,一併討論「電子交易系統」可容忍
中斷時間
• 可容忍中斷時間是各單位在填寫通報單時再勾選事件等級時
評估的依據,若主管機關未針對該項業務有明確之可容忍中
斷時間要求,則尊重各機構自行評估之結果。
• 假設核心系統定義的可容忍中斷時間為 8小時,當核心系統
發生資通安全事件時,如果評估處理的時間會讓系統中斷超
過 8小時,事件通報時符合「核心業務運作遭影響或系統停
頓,無法於可容忍中斷時間內回復正常運作。」屬於 3級事
件。
11
會員申請議題
Q19 :如何申請成為通報系統的會員? 如何管理機構內會員?申請單
上,資安主管的定義為何? 資安長是否一定要有資安背景?
A:
• 經由首頁下載「會員申請表」申請加入會員。
• 每個機構申請一個資安聯絡人帳號此為管理者帳號,負責管
理機構內部會員。
• 資安長可不必然需有資安專業背景,機關中負責推動、協調
及督導資訊安全為之副首長、高階主管或資訊部門主管,皆
可擔任「資安主管」。
Q20 :通報系統中會員主帳號與子帳號區別為何?
A:
• 主帳號可以產生及管理子帳號,子帳號則無此功能。
• 通報時主帳號和子帳號性質相同,皆可代表機關進行通報。
12
系統功能面
Q21 :初步通報、正式通報及解除通報是否能提供預覽列印的功能?
初步通報可否加入暫存功能?
A:
• 將依業者建議於初步通報、正式通報及解除通報增加預覽列
印功能,並於初步通報納入暫存功能。
Q22 :於通報系統中通報的事件,其他業者是否有權限查詢呢?
A:
• 除了與貴機構業務相關之主管機關及業管單位外,其他業者
皆無法查詢機構通報之資料。
Q23 :初步通報中「建議措施」為必填欄位,但實務上進行初步通報
時常無法確定「建議措施」為何,是否可以填寫評估中?
A:
• 通報系統於設計時即提供業者可更新各階段通報內容之彈
性,故於初步通報時,可僅就當時的掌握的狀況進行通報,
並可以於續更新通報內容。
