證券商因應嚴重特殊傳染病申請居家辦公指引 英
Guidelines for the Work-From-Home Application by Securities Firms in Response to Severe Communicable Diseases
壹、證券商啟動居家辦公之條件 證券商除遇有下列情形外,應優先啟動另覓營業處所辦公(含異地備 援營業處所): 一、配合中央流行疫情指揮中心發布重大疫情事件(例如社區感染)。 二、營業處所員工有發生確診病例。 三、營業處所有主要承辦業務者及代理人須居家隔離、居家檢疫或自主健 康管理。
貳、證券商申請居家辦公之申請流程及申請書件 一、證券商申請流程 (一)證券商申請居家辦公屬受託買賣作業及交易作業、自行買賣作業及 交易作業、結算及申報作業等業務,應依本公司「證券商因應嚴重 特殊傳染性肺炎(COVID-19)事件相關措施」一、(五)辦理,向 本公司申請以專案方式轉報主管機關核准,惟為縮短申請程序,證 券商可備妥相關書件向本公司申請預先審查,若遇緊急情況發生時 (例如封城、員工確診病例等),致無法循正常程序函報申請,則 可採特殊個案方式(例如以電子郵件)向本公司通報,事後再補具 相關書件送本公司備查。 (二)證券商申請居家辦公,如非屬受託買賣作業及交易作業、自行買賣 作業及交易作業、結算及申報作業等業務,應檢具相關申報書件( 包括居家辦公期間、人員配置、業務項目及管控措施),於居家辦 公前或居家辦公之日起 3 日內向本公司申報備查。 二、申請書件 證券商申請居家辦公,應事先提具應變計畫及案件檢查表(附件), 向本公司專案申請,前述應變計畫應包含下列事項: (一)使用期間:申請居家辦公之使用期間不得超過三個月,但有正當理 由,得於期限屆滿前向本公司申請以專案方式轉報主管機關核准延 展三個月,若遇緊急情況發生時,致無法循正常程序函報申請,則 可採特殊個案方式向本公司通報,事後再補具相關書件送本公司備 查。 (二)人員配置:人員配置相關資料,且須指定高階經理人為與本公司聯 繫之窗口。 (三)業務項目:居家辦公之業務範疇僅限申請辦理部分(例如:交易、 結算)。如僅申請居家辦理交易業務,則未申請之結算業務僅能在 營業處所執行,如需異動仍應向本公司申請以專案方式轉報主管機 關核准,若遇緊急情況發生時,致無法循正常程序函報申請,則可 採特殊個案方式向本公司通報,事後再補具相關書件送本公司備查 。 (四)作業方式及程序:居家辦公之作業方式及程序,須明確敘明與營業 處所辦公之差異。 (五)交易及員工行為管控措施:: 1.公司對於居家辦公員工之活動、通訊須建立監理措施,居家從事 活動僅限於公司核可之範圍,並強化審查居家辦公員工個人交易 行為(包括委託買賣等相關之通訊及活動,應明訂控管方式); 另負責審查監理居家辦公員工活動人員,原則上不得居家辦公, 但其居家辦公無礙執行審查監理作業時,不在此限。 2.公司對居家辦公者應充分告知其權益及義務,並充分說明法令遵 循之重要性。 3.公司應對客戶隱私、資料及記錄之安全性等採行保護措施,並明 訂管控措施。 4.公司必須確認客戶身分(例如接受下單時),並對客戶帳戶提供 強化之管控措施。 5.公司應將居家辦公之摘要事項,公告於公司網站(首頁),並協 助客戶瞭解公司營運情況及可能交易中斷風險等事宜。 6.受託買賣作業、自行買賣作業、結算及申報作業之管控措施,包 括錄音、錄影或相關替代措施之管控作業程序。 (六)測試報告:公司須先測試居家辦公之遠距連線系統,並確保員工僅 能透過安全連線至公司系統。 (七)資訊安全管控措施: 1.公司須建立安全的遠距連線機制(如:Virtual PrivateNetwork,VPN;Virtual Desktop Infrastructure,VDI ),包含:採多因子身分驗證機制(員工帳號密碼、動態密碼、 一次性帳密)、加密連線、採最小授權原則、留存完整使用者操 作稽核軌跡、監控與警示異常操作行為、執行安全性漏洞更新等 安控措施,並教育居家辦公者應對網路風險保持警覺等。 2.公司須限制僅能由公司員工登入連線,設備操作軌跡應保有完整 紀錄,並依據員工職掌作業時間訂定可開放連線時段相關規範。 3.公司須透過防火牆來阻擋惡意或未經授權之連線,並以最小權限 原則設定規則及關閉非必要之埠號,並應監控網路流量及異常警 告及中斷連線機制。 4.公司須以最小授權原則,對使用者進行存取系統權限之差異化管 理,居家辦公者僅能有執行業務之必要功能權限,關閉非必要之 系統功能授權。 (八)出具「建立證券商資通安全檢查機制」聲明書。 (九)防範利益衝突及違規之相關措施:就居家辦公者訂定完整且明確之 防範利益衝突及違規之相關措施。 (十)董事會議事錄(董事會同意居家辦公)或由總公司或集團所屬區域 中心出具之同意書代替,倘遇緊急情況發生時,致無法事前經董事 會同意者,可採事後追認方式辦理。 (十一)執行風險評估:申請居家辦公之使用期間連續達 1 年以上者, 應檢視應變計畫內容是否符合現況及定期(每年至少 1 次)評 估實施長期居家辦公可能產生新風險(風險評估應包含資訊安全 風險、法律風險、作業風險、個資風險及金融犯罪風險等)。 (十二)居家辦公教育訓練及宣導紀錄(每半年至少 1 次)。
參、證券商居家辦公之配套管控措施 一、受託買賣作業及交易作業 (一)受託買賣業務人員從事業務時,應本誠實及信用原則執行業務,避 免不當利用未公開資訊,或有利益衝突之情事。 (二)居家使用之個人電腦應由公司統一配發,若使用非由公司提供之個 人電腦,則於事前應先經公司核准及進行資訊安全檢測,相關電腦 設備於居家辦公期間僅得做為公務使用。 (三)居家辦公者應透過安全的遠距連線機制並依使用權限登入後,始得 辦理交易作業。所有使用者登入系統及交易紀錄應留存詳實軌跡。 (四)委託人委託電話須撥至營業處所,再轉接至受託買賣業務人員手機 或居家電話(由公司設備錄音)。如公司現行設備無法全程錄音, 再採行由業務人員手機或自行錄音,並輔以下列措施:業務人員下 單後須儘速將委託時間及內容,致電公司錄音設備進行錄音存檔或 電郵公司及客戶。 (五)負責審查監理居家辦公員工活動人員,須定期確認居家辦公者之錄 音紀錄,業與留存於營業處所之錄音相符並可區分為居家辦公。 (六)受託買賣業務人員透過安全的遠距連線機制至公司的個人電腦之下 單系統,委託人買賣額度依現行機制控管。 (七)居家辦公員工個人交易行為之控管方式,包括委託買賣等相關之通 訊及活動等,應有明確之作業方式及管控方式。 二、自行買賣作業及交易作業 (一)自行買賣業務人員從事業務時,應本誠實及信用原則執行業務,避 免不當利用未公開資訊,或有利益衝突之情事。 (二)自行買賣業務人員居家使用的個人電腦應由公司統一配發,並依人 員從事業務安裝適當之硬體及軟體進行管控。 (三)居家辦公者透過安全的遠距連線機制並依使用權限登入後,始得辦 理交易作業。所有使用者登入系統及交易紀錄應留存詳實軌跡。 (四)公司應於交易員之居家辦公空間設置視訊設備,在交易時間保持暢 通並全程錄影且留存紀錄。如實際執行錄影有困難者,公司得於評 估風險後採行其他適當措施(例如安排特定時間、一天數次等方式 開啟鏡頭或進行線上會議),並加強檢核居家辦公交易員於買賣決 策形成過程嚴守保密責任,且無以職務上所知悉之消息從事上市( 櫃)有價證券買賣之交易活動及其他違反證券管理法令行為。 (五)非交易時段或非值勤時間,禁止該等人員登入系統。 (六)負責審查監理居家辦公員工活動人員,須定期確認居家辦公者有關 交易之錄音紀錄,業與留存於營業處所之錄音相符並可區分為居家 辦公。 (七)公司就已成交部位之風險曝險情形,營業處所辦公及居家辦公應皆 能進行交易額度及部位風險之控管。 (八)居家辦公者之個人交易行為控管方式:公司得依據公司管理政策, 審慎評估後,自行決定開放或禁止居家辦家者之個人交易行為。如 採開放政策,居家辦公員工個人交易行為之控管方式,應涵蓋委託 買賣相關之通訊及活動等,皆須有明確之作業方式及管控方式(例 :電話下單須全程錄音、由公司配發電腦進行電子式下單應全程側 錄等)。 三、結算及申報作業 (一)證券商應依本公司營業細則及相關規定完成結算交割作業,各項結 算作業及依法規所需申報事項皆應完成,原則上應於營業處所(含 異地備援營業處所)處理,或轉由居家辦公協助處理。 (二)委託人履行交割款項作業、信用交易之非交易作業部分(例如追繳 、現償、還券)及借券、撥券作業,原則上應於營業處所(含異地 備援營業處所)處理,或轉由居家辦公協助處理。 (三)申請者如原未申請居家執行結算業務,則結算交割業務僅能於原營 業處所執行,如申請後因原營業處所被隔離須轉由居家辦公者處理 結算交割業務者,仍應向本公司申請以專案方式轉報主管機關核准 ,若遇緊急情況發生時,致無法循正常程序函報申請,則可採特殊 個案方式向本公司通報,事後再補具相關書件送本公司備查。 四、資訊安全 (一)公司應依申請時之資訊安全管控措施,提供居家辦公者連線作業使 用。 (二)居家辦公者所使用之電腦設備(含筆記型電腦及平板電腦)應安裝 特定資安軟體,控管應用程式存取權限,並關閉電腦上非必要之服 務及作業系統權限,進行遠距工作應採技術面手段實現資料不落地 機制(採技術面手段禁止傳輸及儲存檔案至居家辦公者電腦設備) ,降低資訊外流風險。 (三)所有居家辦公者使用者登入重要系統及交易紀錄應留存詳實軌跡。 (四)居家辦公者如須進行視訊會議,應強化遠距連線安全控管。 五、防範利益衝突及違規 (一)居家辦公者不得在公共空間必須在獨立的空間進行業務之執行,以 確保交易訊息的保密性。 (二)居家辦公者必須妥善保存任何依主管機關、本公司及各該公司要求 與交易有關之紀錄。 (三)公司應指派高階經理人擔任監督主管,負責於交易時間進行相關監 控措施。 (四)公司應檢查居家辦公者有無違反防範利益衝突及違規措施之情事。 六、證券商居家辦公之各項作業應於公司內部控制制度制定適當之控管機 制及查核程序,並妥善保存居家辦公相關資料以利稽核作業。