Page 332 - 銀行委外業務之監理與管理
P. 332
314
12
上, 必須 確 認 委外供應者是 否 具備 包括全 天候 的 支 援 人 力 、全 球 化資
通 安全 知識 庫 系統 、資 通 安全事 件收 集 / 分 析 平 台、 問 題 / 事 件 處理管理
系統 、資 通 安全服務 入口網 站 、及 通 過 世 界 認證 ( 如 BS7799 及 ISO
13
9001 等 ) 的 標準 管理程序等, 以及委外供應者本 身 的各項客 觀 條 件 。
14
通
一
般
對資
項目包括
:
比
安全委外供應者的主要
評
1. 相關 軟 、 硬 體設施。 網路 架 構、 軟 體及 硬 體安全防護 措 施、監控
管理機制、對外 網路 的 頻寬 及 穩 定度、 電力 、及 通 信能 力 等。
2. 實體安全。資 通 安全監控中 心 所設 置 的地點 必須 考 慮 意 外 災害 所
造成的 影響 ,例如, 水災 及 火災 的防護。
作及監控人員的
人員的專業性。
4. 3. 災害 應變計 畫 及 備 援 系統 的建 置 。 素 質及 編 制將 影響 資 通 安全監
操
控中 心 服務的品質,人員是維 持 資 通 安全主要的資 產 ,專業度及 良好 的
工 作配 置 是委外供應者 競 爭 的最大 優勢 , 擁 有全 球 認 可的資 通 安全 認證
專業人員, 才 是真正確保作業與服務品質的關 鍵 。例如,資 訊 安全 首 要
稽
核員
認證
system security professional) (lead auditor) 、資 訊系統 等國際資 安全專家 通 安全 (certified information 的人員, 甚 至 是 取
得 認證 資 格 的專案管理專業人員 (project management professional) 。
5. 完 整 清晰 的作業與服務 流 程。 清楚 地 告訴 銀行完 整 及 清晰 的作業
與服務處理 流 程,監控 技術也 必須 符合銀行的 網路環 境 ,並 提 供資 通 安
全事
輔
詳
安全事
件
的
件回
6. 件 的 紀 錄及 文 件 ,有效 回 應及處理。包 助銀行管理其 含 周 網路環 的事 境 。 應計 畫 、 縮短 緊
資
通
急 事 件 的 回 應時 間 、及 當 事 件 發生後的處理方式, 產 生包括處理 情形 、
12
資 通安 全即資 訊 及 通訊 的 安 全,係指 投 資人利用網 路 的方 便性來投 資 證券 、 期貨 、申 購股票
與金融商品、及管理 帳 務與個人 投 資資料時,應同時 兼顧 資 訊 及 通訊 的 安 全 性 。
13
BS7799 指 由英 國標 準 協會 (British Standards Institution) 在 1995 年提出、 修 訂的 7799 號
資 訊安 全實務法規 (BS7799 Code of Practice for Information Security) ,為 目前 國 際 上最
標
(International Organization for
際
知名的資
全規範,
成為國
準
Standardization 訊安 , ISO) 接 納 而 且已 際 被 標 國 。 ISO 9001 準組織 是 國 際 標 準組織 發布的一項品質管理
系統 標 準 ,其 闡述 一個 組織要做 好品質管理應該 達到 的 基本要 求。當一個 組織 依 ISO 9001 管
理 系統 的 模 式 來運 行,即形成一個 完整 的管理 系統 。
14
參 考 政 府 機關資 訊 委外知 識 網 (http://web.rdec.gov.tw) 。

