|
貳、證券商申請居家辦公之申請流程及申請書件
一、證券商申請流程
(一)證券商首次申請屬受託買賣作業及交易作業、自行買賣作業及交易
作業、結算及申報作業等業務居家辦公,應向本公司提出申請以專
案方式轉報主管機關核准。惟為縮短申請程序,證券商可備妥相關
書件向本公司申請預先審查,若遇緊急情況發生時(例如封城、員
工確診),致無法循正常程序函報申請,則可採特殊個案方式(例
如以電子郵件)向本公司通報,事後再補具相關書件送本公司備查
。
(二)證券商申請居家辦公期間不得超過三個月,但有正當理由,於期限
屆滿前可向本公司申請核備延展三個月。倘延展期滿經評估仍有必
要實施居家辦公,可依前述(一)之流程向本公司提出申請。
二、申請書件
證券商申請居家辦公,應事先提具應變計畫及案件檢查表(附件),
向本公司專案申請,前述應變計畫應包含下列事項:
(一)使用期間:申請居家辦公期間。
(二)人員配置:人員配置相關資料,且須指定高階經理人為聯繫窗口。
(三)業務項目:居家辦公之業務範疇僅限申請辦理部分(例如:交易、
結算)。如僅申請居家辦理交易業務,則未申請之結算業務僅能在
營業處所執行,如為新增之業務範疇,首次仍應依「貳、一」之申
請流程辦理。
(四)作業方式及程序:居家辦公之作業方式及程序,須明確敘明與營業
處所辦公之差異。
(五)交易及員工行為管控措施:
1.公司對於居家辦公員工之活動、通訊須建立監理措施,居家從事
活動僅限於公司核可之範圍,並強化審查居家辦公員工個人交易
行為(包括委託買賣等相關之通訊及活動,應明訂控管方式);
另負責審查監理居家辦公員工活動人員,原則上不得居家辦公,
但其居家辦公無礙執行審查監理作業時,不在此限。
2.公司對居家辦公者應充分告知其權益及義務,並充分說明法令遵
循之重要性。
3.公司應對客戶隱私、資料及記錄之安全性等採行保護措施,並明
訂管控措施。
4.公司必須確認客戶身分(例如接受下單時),並對客戶帳戶提供
強化之管控措施。
5.公司應將居家辦公之摘要事項,公告於公司網站(首頁),並協
助客戶瞭解公司營運情況及可能交易中斷風險等事宜。
6.受託買賣作業、自行買賣作業、結算及申報作業之管控措施,包
括錄音、錄影或相關替代措施之管控作業程序。
(六)測試報告:公司須先測試居家辦公之遠距連線系統,並確保員工僅
能透過安全連線至公司系統。
(七)資訊安全管控措施:
1.公司須建立安全的遠距連線機制(如:Virtual Private
Network,VPN;Virtual Desktop Infrastructure,VDI) ,包含
:採多因子身分驗證機制(員工帳號密碼、動態密碼、一次性帳
密)、加密連線、採最小授權原則、留存完整使用者操作稽核軌
跡、監控與警示異常操作行為、執行安全性漏洞更新等安控措施
,並教育居家辦公者應對網路風險保持警覺等。
2.公司須限制僅能由公司員工登入連線,設備操作軌跡應保有完整
紀錄,並依據員工職掌作業時間訂定可開放連線時段相關規範。
3.公司須透過防火牆來阻擋惡意或未經授權之連線,並以最小權限
原則設定規則? 及關閉非必要之埠號,並應監控網路流量及異常
警告及中斷連線機制。
4.公司須以最小授權原則,對使用者進行存取系統權限之差異化管
理,居家辦公者僅能有執行業務之必要功能權限,關閉非必要之
系統功能授權。
(八)出具「建立證券商資通安全檢查機制」聲明書。
(九)防範利益衝突及違規之相關措施:就居家辦公者訂定完整且明確之
防範利益衝突及違規之相關措施。
(十)董事會議事錄(董事會同意居家辦公)或由總公司或集團所屬區域
中心出具之同意書代替,倘遇緊急情況發生時,致無法事前經董事
會同意者,可採事後追認方式辦理。
(十一)執行風險評估:申請居家辦公期間連續達 1 年以上者,應檢視
應變計畫內容是否符合現況及定期(每年至少 1 次)評估實施
長期居家辦公可能產生新風險(風險評估應包含資訊安全風險、
法律風險、作業風險、個資風險及金融犯罪風險等)。
(十二)居家辦公教育訓練及宣導紀錄(每半年至少1次)。
|
相關資訊
|