歷史法令規章

名  稱:

證券商因應嚴重特殊傳染病申請居家辦公指引 

Guidelines for the Work-From-Home Application by Securities Firms in Response to Severe Communicable Diseases

修正日期: 民國 112 年 10 月 03 日
主題分類: 市場監理 > 證券商管理

歷史名稱: 證券商因應嚴重特殊傳染性肺炎(COVID-19)事件申請居家辦公指引(民國 110 年 05 月 25 日)
歷次修正日期:
1
壹、證券商啟動居家辦公之條件
    證券商除遇有下列情形外,應優先啟動另覓營業處所辦公(含異地備
    援營業處所):
一、配合中央流行疫情指揮中心發布重大疫情事件(例如社區感染)。
二、營業處所員工有發生確診病例。
三、營業處所有主要承辦業務者及代理人須居家隔離、居家檢疫或自主健
    康管理。
2
貳、證券商申請居家辦公之申請流程及申請書件
一、證券商申請流程
(一)證券商申請居家辦公屬受託買賣作業及交易作業、自行買賣作業及
      交易作業、結算及申報作業等業務,應依本公司「證券商因應嚴重
      特殊傳染性肺炎(COVID-19)事件相關措施」一、(五)辦理,向
      本公司申請以專案方式轉報主管機關核准,惟為縮短申請程序,證
      券商可備妥相關書件向本公司申請預先審查,若遇緊急情況發生時
      (例如封城、員工確診病例等),致無法循正常程序函報申請,則
      可採特殊個案方式(例如以電子郵件)向本公司通報,事後再補具
      相關書件送本公司備查。
(二)證券商申請居家辦公,如非屬受託買賣作業及交易作業、自行買賣
      作業及交易作業、結算及申報作業等業務,應檢具相關申報書件(
      包括居家辦公期間、人員配置、業務項目及管控措施),於居家辦
      公前或居家辦公之日起 3  日內向本公司申報備查。
二、申請書件
    證券商申請居家辦公,應事先提具應變計畫及案件檢查表(附件),
    向本公司專案申請,前述應變計畫應包含下列事項:
(一)使用期間:申請居家辦公之使用期間不得超過三個月,但有正當理
      由,得於期限屆滿前向本公司申請以專案方式轉報主管機關核准延
      展三個月,若遇緊急情況發生時,致無法循正常程序函報申請,則
      可採特殊個案方式向本公司通報,事後再補具相關書件送本公司備
      查。
(二)人員配置:人員姓名、居家地址等資料,且須指定高階經理人為與
      本公司聯繫之窗口,如有異動應事先向本公司申報備查。
(三)業務項目:居家辦公之業務範疇僅限申請辦理部分(例如:交易、
      結算)。如僅申請居家辦理交易業務,則未申請之結算業務僅能在
      營業處所執行,如需異動仍應向本公司申請以專案方式轉報主管機
      關核准,若遇緊急情況發生時,致無法循正常程序函報申請,則可
      採特殊個案方式向本公司通報,事後再補具相關書件送本公司備查
      。
(四)作業方式及程序:居家辦公之作業方式及程序,須明確敘明與營業
      處所辦公之差異。
(五)管控措施:
      1.公司對於居家辦公員工之活動、通訊須建立監理措施,居家從事
        活動僅限於公司核可之範圍,並強化審查居家辦公員工個人交易
        行為(包括委託買賣等相關之通訊及活動,應明訂控管方式);
        另負責審查監理居家辦公員工活動人員,原則上不得居家辦公,
        但其居家辦公無礙執行審查監理作業時,不在此限。
      2.公司對居家辦公者應充分告知其權益及義務,並充分說明法令遵
        循之重要性。
      3.公司應對客戶隱私、資料及記錄之安全性等採行保護措施,並明
        訂管控措施。
      4.公司必須確認客戶身分(例如接受下單時),並對客戶帳戶提供
        強化之管控措施。
      5.公司應將居家辦公之摘要事項,公告於公司網站(首頁),並協
        助客戶瞭解公司營運情況及可能交易中斷風險等事宜。
(六)測試報告:公司須先測試居家辦公之遠距連線系統,並確保員工僅
      能透過安全連線至公司系統。
(七)資安措施:
      1.公司須定時更新虛擬專用網路(VPN;Virtual Private Network
        )連線和其他遠距連結系統之安控措施、採多因子身分驗證機制
        及教育居家辦公者應對網路風險保持警覺等。
      2.公司須建立安全的遠距網路通道,且限制僅能由公司員工登入連
        線,設備操作軌跡應保有完整紀錄,並依據員工職掌作業時間訂
        定可開放連線時段相關規範。
(八)出具「建立證券商資通安全檢查機制」聲明書。
(九)防範利益衝突及違規之相關措施:就居家辦公者訂定完整且明確之
      防範利益衝突及違規之相關措施。
(十)董事會議事錄(董事會同意居家辦公)或由總公司或集團所屬區域
      中心出具之同意書代替。
3
參、證券商居家辦公之配套管控措施
一、受託買賣作業及交易作業
(一)受託買賣業務人員從事業務時,應本誠實及信用原則執行業務,避
      免不當利用未公開資訊,或有利益衝突之情事。
(二)居家使用之個人電腦應由公司統一配發,若使用非由公司提供之個
      人電腦,則於事前應先經公司核准及進行資訊安全檢測,相關電腦
      設備於居家辦公期間僅得做為公務使用。
(三)居家辦公者應透過虛擬專用網路(VPN )連線並依使用權限登入後
      ,始得辦理交易作業。所有使用者登入系統及交易紀錄應留存詳實
      軌跡。
(四)多因子驗證機制:為提高使用操作安全,個人帳號密碼應輔以多因
      子驗證機制(員工帳號密碼、動態密碼、一次性帳密)之雙認證機
      制,以確認使用者身分。
(五)委託人委託電話須撥至營業處所,再轉接至受託買賣業務人員手機
      或居家電話(由公司設備錄音)。如公司現行設備無法全程錄音,
      再採行由業務人員手機或自行錄音,並輔以下列措施:業務人員下
      單後須儘速將委託時間及內容,致電公司錄音設備進行錄音存檔或
      電郵公司及客戶。
(六)負責審查監理居家辦公員工活動人員,須定期確認居家辦公者之錄
      音紀錄,業與留存於營業處所之錄音相符並可區分為居家辦公。
(七)受託買賣業務人員透過 VPN  連線至公司的個人電腦之下單系統,
      委託人買賣額度依現行機制控管。
(八)居家辦公員工個人交易行為之控管方式,包括委託買賣等相關之通
      訊及活動等,應有明確之作業方式及管控方式。
二、自行買賣作業及交易作業
(一)自行買賣業務人員從事業務時,應本誠實及信用原則執行業務,避
      免不當利用未公開資訊,或有利益衝突之情事。
(二)自行買賣業務人員居家使用的個人電腦應由公司統一配發,並依人
      員從事業務安裝適當之硬體及軟體進行管控。
(三)居家辦公者透過虛擬專用網路(VPN )連線並依使用權限登入後始
      得辦理交易作業。所有使用者登入系統及交易紀錄應留存詳實軌跡
      。
(四)多因子驗證機制:為提高使用操作安全,個人帳號密碼應輔以多因
      子驗證機制(員工帳號密碼、動態密碼、一次性帳密)之雙認證機
      制,以確認使用者身分。
(五)公司應於交易員之居家辦公空間設有足夠的電腦螢幕。另應設置視
      訊設備及耳機,在交易時間保持暢通並全程視訊錄影且留存紀錄。
(六)交易員於交易時間須全程連線視訊設備且於交易時間須全程保持各
      溝通管道連線狀態,若於交易進行中交易員有連線中斷之情事,系
      統應有關閉交易之功能。
(七)非交易時段關閉系統:如居家辦公者係負責日盤下單,日盤收盤後
      之非交易時段應即關閉交易系統,禁止該等人員登入系統交易。
(八)負責審查監理居家辦公員工活動人員,須定期確認居家辦公者有關
      交易之錄音紀錄,業與留存於營業處所之錄音相符並可區分為居家
      辦公。
(九)公司就已成交部位之風險曝險情形,營業處所辦公及居家辦公應皆
      能進行交易額度及部位風險之控管。
(十)居家辦公者之個人交易行為控管方式:公司得依據公司管理政策,
      審慎評估後,自行決定開放或禁止居家辦家者之個人交易行為。如
      採開放政策,居家辦公員工個人交易行為之控管方式,應涵蓋委託
      買賣相關之通訊及活動等,皆須有明確之作業方式及管控方式(例
      :電話下單須全程錄音、由公司配發電腦進行電子式下單應全程側
      錄等)。
三、結算及申報作業
(一)證券商應依本公司營業細則及相關規定完成結算交割作業,各項結
      算作業及依法規所需申報事項皆應完成,原則上應於營業處所(含
      異地備援營業處所)處理,或轉由居家辦公協助處理。
(二)委託人履行交割款項作業、信用交易之非交易作業部分(例如追繳
      、現償、還券)及借券、撥券作業,原則上應於營業處所(含異地
      備援營業處所)處理,或轉由居家辦公協助處理。
(三)申請者如原未申請居家執行結算業務,則結算交割業務僅能於原營
      業處所執行,如申請後因原營業處所被隔離須轉由居家辦公者處理
      結算交割業務者,仍應向本公司申請以專案方式轉報主管機關核准
      ,若遇緊急情況發生時,致無法循正常程序函報申請,則可採特殊
      個案方式向本公司通報,事後再補具相關書件送本公司備查。
四、資訊安全
(一)居家辦公者所使用之電腦設備(含筆記型電腦及平板電腦),不得
      自行擴充及安裝非公務所需之軟/硬體設備及工具。
(二)所有居家辦公者使用者登入重要系統及交易紀錄應留存詳實軌跡。
(三)居家電腦只能鍵入資料,不得透過居家使用之電腦存取公司電腦設
      備資料。
(四)居家辦公者電腦設備應安裝特定資安軟體,控管應用程式存取權限
      ,並關閉電腦上非必要之服務及作業系統權限,關閉該設備使用
      USB 、藍芽和光碟功能,VPN 設備設定雙向禁止拷貝與傳輸檔案功
      能,降低資訊外流風險。
(五)運用傳輸安全協定虛擬專用網路(SSL-VPN )和多因子驗證機制(
      員工帳號密碼、動態密碼、一次性帳密),建立安全的遠距網路通
      道,且限制僅能由公司員工登入連線,設備操作軌跡應保有完整紀
      錄,並依據員工職掌作業時間訂定可開放連線時段相關規範。
(六)透過防火牆來阻擋惡意或未經授權之連線,並以最小權限原則設定
      規則及關閉非必要之埠號,並應監控網路流量及異常警告及中斷連
      線機制。
(七)系統功能開放居家辦公應有差異化權限控管設計,以最小權限設定
      ,關閉非必要之系統功能授權,系統應依使用者進行差異化管理。
      居家辦公之電腦,使用者應依公司風險政策授予差異化之使用權限
      ,居家辦公者僅能有執行業務必要之功能權限。
五、防範利益衝突及違規
(一)居家辦公者不得在公共空間,必須在獨立的空間進行業務之執行且
      交易時間他人不得進入,以確保交易訊息的保密性。
(二)居家辦公者必須妥善保存任何依主管機關、本公司及各該公司要求
      與交易有關之紀錄。
(三)公司應指派高階經理人擔任監督主管,負責於交易時間進行相關監
      控措施。
六、證券商居家辦公之各項作業應納入內稽內控查核,並落實內部控制制
    度之執行。