Page 332 - 銀行委外業務之監理與管理
P. 332

314





                           12
                       上,       必須  確  認  委外供應者是       否  具備  包括全    天候   的  支  援  人  力  、全  球  化資

                       通  安全  知識   庫  系統  、資   通  安全事    件收   集  /  分  析  平  台、  問  題  /  事  件  處理管理
                       系統   、資   通  安全服務     入口網     站  、及  通  過  世  界  認證   (  如  BS7799  及  ISO
                                                      13
                       9001  等  )   的  標準  管理程序等,          以及委外供應者本         身  的各項客     觀  條  件  。
                                                                                14
                                     通
                           一
                              般
                                對資
                                                                     項目包括
                                                                              :
                                                                  比
                                       安全委外供應者的主要
                                                                評
                           1.   相關  軟  、  硬  體設施。   網路   架  構、   軟  體及  硬  體安全防護      措  施、監控
                       管理機制、對外         網路   的  頻寬   及  穩  定度、   電力   、及  通  信能   力  等。
                           2.   實體安全。資       通  安全監控中       心  所設  置  的地點    必須   考  慮  意  外  災害  所
                       造成的    影響   ,例如,     水災   及  火災  的防護。

                                                  作及監控人員的
                              人員的專業性。
                           4.  3.   災害  應變計  畫  及  備  援  系統  的建  置  。    素  質及  編  制將  影響  資  通  安全監
                                               操
                       控中  心  服務的品質,人員是維              持  資  通  安全主要的資       產  ,專業度及       良好   的
                       工  作配  置  是委外供應者        競  爭  的最大   優勢   ,  擁  有全  球  認  可的資   通  安全   認證
                       專業人員,       才  是真正確保作業與服務品質的關                    鍵  。例如,資      訊  安全   首  要

                       稽
                         核員
                                                                          認證
                       system security professional)    (lead auditor)  、資  訊系統 等國際資  安全專家  通  安全   (certified information   的人員,  甚  至  是  取
                       得  認證  資  格  的專案管理專業人員            (project management professional)     。

                           5.   完  整  清晰  的作業與服務       流  程。  清楚   地  告訴  銀行完     整  及  清晰  的作業
                       與服務處理       流  程,監控     技術也    必須   符合銀行的        網路環    境  ,並  提  供資   通  安

                       全事
                                                    輔
                                                                     詳
                                   安全事
                                           件
                                             的
                                                                             件回
                           6.  件  的  紀  錄及  文  件  ,有效  回  應及處理。包  助銀行管理其  含  周 網路環  的事  境  。     應計  畫  、  縮短  緊
                              資
                                 通
                       急  事  件  的  回  應時  間  、及  當  事  件  發生後的處理方式,         產  生包括處理       情形   、

                       12
                        資  通安  全即資  訊  及  通訊  的  安  全,係指  投  資人利用網  路  的方  便性來投  資  證券  、  期貨  、申  購股票
                        與金融商品、及管理       帳  務與個人  投  資資料時,應同時      兼顧  資  訊  及  通訊  的  安  全  性  。
                       13
                        BS7799  指  由英  國標  準  協會   (British Standards Institution)   在  1995  年提出、  修  訂的  7799  號
                        資  訊安  全實務法規   (BS7799 Code of Practice for Information Security)  ,為  目前  國  際  上最
                                                             標
                                                                       (International Organization for
                                                           際
                        知名的資
                                      全規範,
                                                成為國
                                                         準
                        Standardization  訊安  ,  ISO)   接  納  而  且已  際 被 標 國  。  ISO 9001  準組織  是  國  際  標  準組織  發布的一項品質管理
                        系統  標  準  ,其  闡述  一個  組織要做  好品質管理應該    達到  的  基本要  求。當一個   組織  依  ISO 9001  管
                        理  系統  的  模  式  來運  行,即形成一個  完整  的管理  系統  。
                       14
                        參  考  政  府  機關資  訊  委外知  識  網   (http://web.rdec.gov.tw)  。
   327   328   329   330   331   332   333   334   335   336   337