按 Enter 到主內容區
:::

中央銀行-中文版

:::

新聞發布第190號(使用免費及開放原始程式碼軟體之風險管理)

發布日期:

中央銀行新聞稿 93年11月3日發布

<網址: http://www.cbc.gov.tw>



使用免費及開放原始程式碼軟體之風險管理

美國聯邦金融監理委員會(FFIEC)為協助金融機構,在使用免費及開放原始程式碼軟體(Free and Open Source Software,以下稱FOSS)時,可辨識其風險並採取適當風險管理措施,於2004.10.21發布「免費及開放原始程式碼軟體之風險管理指引」,主要內容包括:

一、FOSS係指使用者得使用、研習、修改及再分配其軟體而不需支付授權費用的軟體。使用FOSS通常都會有存取其原始程式碼的需求,常見的FOSS有Linux作業系統、Apache架站軟體、mySQL資料庫,以及一些使用在網路監控、診斷及弱點偵測等的軟體。

二、主流資訊技術及金融服務業者使用FOSS有逐漸增加的趨勢,FFIEC認為使用FOSS,相較於使用版權軟體與自行開發軟體等,基本上並不會產生不一樣的風險,但在取得及使用FOSS仍應採行特別的風險管理措施,包括在策略、作業及法律等方面均需額外的風險考量。

三、在策略風險方面,軟體的需求應取決於業務營運的策略目標,金融機構應在效用、效率及因應未來的成長與支援等方面,評估採用FOSS的優點。主要應考量的因素包括:銀行修改軟體的能力、與現有電腦設備的相容性、軟體的成熟度、不同版本間的差異性、與現有系統整合與後續的支援能力,以及包括其他非直接成本(如訓練、管理等)的總建置成本等。

四、在作業風險方面,除一般性的電腦作業管理外,應特別注意:如何確保程式碼的完整性、技術說明文件是否足夠、軟體可否持續使用與其應變計畫,以及是否可取得足夠的外部組織或廠商的技術支援等。

五、在法律風險方面,包括:軟體是否允許自由重製、修改與分配等的授權與特許權議題,以及軟體品質的保證與賠償問題等。金融機構應徵詢具著作權與專利權等專業知識人員的意見,以降低此方面的風險。

隨著2002年我國行政院啟動「自由軟體產業發展計畫」的五年計畫,以及去年(2003)結合產官學研界所共同發起的「阿里山日出」計畫,社會大眾對自由或免費軟體的應用,將會更為積極,而國內部分金融機構亦已適度引進採用。金融機構在引進FOSS前,應確實瞭解其所可能衍生的風險,從而適度修改相關管理措施,並隨時注意相關軟體技術的發展,適時調整因應對策,以符合金融機構安全與穩健的經營原則。
 

收合/CLOSE
回頁首