新聞發布第131號(無線網路之風險管理)
<網址:http://www.cbc.gov.tw>
--------------------------------------------------------------------------------
無線網路之風險管理
美國金融機構應用無線網路低成本與易安裝優點,以增加銀行收益的家數日見增多,鑑於無線網路本質特性為訊號無方向性的傳播,以及目前所採用的加密機制尚存在安全瑕疵的弱點,為避免銀行可能暴露於其所衍生的風險,美國財政部金融局(OCC)於92.12.9發布「無線網路之風險管理」,其內容除探討無線網路相關的潛在風險,及提醒金融機構董事會與管理階層應予注意外,並提供一些風險管理準則。
該文指出,無線網路可能衍生的潛在風險,將依金融機構對其運用的程度而異,其面臨的風險主要為策略、交易及信譽風險等。銀行是否有能力控制其風險將取決於:董事會與管理階層監督的有效性、政策與程序對管理其專案的有效性、技術能力的取得、網路的可靠性、偶發事件與緊急應變計畫的妥適性,以及安全規章執行能否落實等。
OCC將董事會與管理階層如何有效率的監督無線網路,以及如何有能力管理與控制其所衍生的風險,列為其監理重點,並將議題著重於安全、專案管理,以及效能等項目。
至於如何降低無線網路所衍生的風險,該文提供可採行的步驟:包括網路建置前進行安全評估與制定適當的政策與內控制度、確保安全措施可有效保護銀行整體網路、注意無線網路的安全測試、檢視委外服務能滿足其有效性,以及將額外投入的安全成本納入其建置與維護的投資總成本或效益中。
對於如何有效確保無線網路安全,該文建議可採取:制定使用者的使用政策與管理程序、明訂線上可傳輸的訊息類別、留存建置文件、控制廣播範圍、資料加密、辨識控制、設備的防護、系統瑕疪檢視,以及完整安全測試等措施;有關專案管理部分,則建議採行完整的審慎評選與成本效益分析;至於無線網路效能,則應注意預估網路的容量、瞭解網路可用性,以及訂定緊急應變計畫等。
該文結論建議,金融機構於建置無線網路前,董事會與管理階層應先配合檢討修改銀行的安全規章,並監督執行情形,以確保能達成有效風險管理的目標。
由於台灣已成為全球無線產業設備的生產重鎮,加上政府將「推動無線寬頻網路計畫」納入「挑戰2008國發計畫」的「數位台灣計畫」中,我國銀行對無線網路的運用,將會隨社會大眾對其使用的程度,而為適度的採用與引進。惟金融機構在計劃引進此項技術前,應確實瞭解其所可能衍生的風險及產生的衝擊,從而修改安全政策並擬訂良好的管理措施,隨時注意科技的進展,適時調整因應對策,以符合金融機構安全與穩健的經營原則。