中央銀行新聞稿 93年11月3日發布

<網址: http://www.cbc.gov.tw>



使用免費及開放原始程式碼軟體之風險管理

美國聯邦金融監理委員會(FFIEC)為協助金融機構，在使用免費及開放原始程式碼軟體(Free and Open Source Software,以下稱FOSS)時，可辨識其風險並採取適當風險管理措施，於2004.10.21發布「免費及開放原始程式碼軟體之風險管理指引」，主要內容包括：

一、FOSS係指使用者得使用、研習、修改及再分配其軟體而不需支付授權費用的軟體。使用FOSS通常都會有存取其原始程式碼的需求，常見的FOSS有Linux作業系統、Apache架站軟體、mySQL資料庫，以及一些使用在網路監控、診斷及弱點偵測等的軟體。

二、主流資訊技術及金融服務業者使用FOSS有逐漸增加的趨勢，FFIEC認為使用FOSS，相較於使用版權軟體與自行開發軟體等，基本上並不會產生不一樣的風險，但在取得及使用FOSS仍應採行特別的風險管理措施，包括在策略、作業及法律等方面均需額外的風險考量。

三、在策略風險方面，軟體的需求應取決於業務營運的策略目標，金融機構應在效用、效率及因應未來的成長與支援等方面，評估採用FOSS的優點。主要應考量的因素包括：銀行修改軟體的能力、與現有電腦設備的相容性、軟體的成熟度、不同版本間的差異性、與現有系統整合與後續的支援能力，以及包括其他非直接成本（如訓練、管理等）的總建置成本等。

四、在作業風險方面，除一般性的電腦作業管理外，應特別注意：如何確保程式碼的完整性、技術說明文件是否足夠、軟體可否持續使用與其應變計畫，以及是否可取得足夠的外部組織或廠商的技術支援等。

五、在法律風險方面，包括：軟體是否允許自由重製、修改與分配等的授權與特許權議題，以及軟體品質的保證與賠償問題等。金融機構應徵詢具著作權與專利權等專業知識人員的意見，以降低此方面的風險。

隨著2002年我國行政院啟動「自由軟體產業發展計畫」的五年計畫，以及去年（2003）結合產官學研界所共同發起的「阿里山日出」計畫，社會大眾對自由或免費軟體的應用，將會更為積極，而國內部分金融機構亦已適度引進採用。金融機構在引進FOSS前，應確實瞭解其所可能衍生的風險，從而適度修改相關管理措施，並隨時注意相關軟體技術的發展，適時調整因應對策，以符合金融機構安全與穩健的經營原則。