-
【幸福企業專欄】合作金庫:連續4年獲幸福...
銀行招考|2024/07/03
-
【幸福企業專欄】台灣企銀:生育補助第一
銀行招考|2024/07/02
-
【幸福企業專欄】兆豐銀行:金融業年薪冠軍
銀行招考|2024/07/01
-
【幸福企業專欄】華南銀行:員工平均滿意度...
銀行招考|2024/06/26
-
【幸福企業專欄】彰化銀行:百年經營金飯碗
銀行招考|2024/06/25
消費金融及其他業務 (四)
作者:洪健凱圖片來源暫無說明
消費金融及其他業務 (四)
資訊業務
一、電腦化對控制環境之影響
(一) 稽核軌跡的改變
傳統憑目力覆核所抽查之書面文件或憑證,以獲取供其表示審核意見所需之佐證,在電腦化及網路化後,行員利用終端機,客戶透過網路使得資料之處理轉為無紙化,部分原始憑證被省略,以致形成稽核軌跡不清之現象。
(二) 職務分工受挑戰
電子資料處理多集中在同一部門,內部控制所需的責任分工、相互制衡受到挑戰。
(三) 授權方式改變
新式電子資料處理系統可經由主管卡或輸入授權密碼取得授權,和傳統書面審核之授權方式迥然不同。
二、電腦化對銀行恐造成之風險
| 實體安全 | 電腦中心機房、硬體設備、線路等可能遭受人為破壞或天然災害。 |
| 傳輸設備 | 傳輸之穩定與否,將影響資料之可靠性,一旦斷線將影響銀行正常運作及聲譽。 |
| 系統軟體及硬體設備 | 應定期維護或例行檢查,方可確保運作正常。 |
| 應用程式 | 開發必須符合需求,且須正確無誤。 |
| 資料庫系統 | 系統設計之良好與否,關係到資料之正確性及完整性。 |
三、網路銀行安全機制
| SSL 機制 | SET 機制 | Non-SET 機制 | |
| 電子憑證 | 無電子憑證,使用者憑身分證號碼、使用者代碼或個人密碼進入。 | 採帳戶電子憑證,並安裝電子錢包使用。須同時使用電子錢包及密碼進入。 | 採身分電子憑證,使用電子憑證金鑰及密碼進入。 |
| 客戶端安控軟體 | 網路瀏覽器 | 電子錢包 | 金鑰安控程式 |
| 轉帳交易規定 | 非約定帳戶每筆最高五萬元,每日最高十萬元,每月最高二十萬元。 | 額度由銀行自行訂定。 | 額度由銀行自行訂定。 |
| 優點 |
1. 無須申請電子憑 證,使用較為方便。 2. 銀行可自行開發各種服務項目。 |
1. 採帳戶電子憑證,他 人無法假冒進入系統。 2. 操作流程較複雜,且操作時間較長。 |
1. 採身分電子憑證,他人無法假冒進入系統,且方便管理所有帳戶。 2. 安全性較高。 |
| 缺點 | 無法辨識使用者身 分,安全性較低。 |
1. 一個帳戶須申請一張 電子憑證,管理上較不方便。 2. 操作流程較複雜,且操作時間較長。 |
1. 金鑰磁片須妥善保管,遺失易被他人複製。 2. 由於交易平台不同,使用者只能將本帳戶存款轉至他行,卻無法將他行存款轉入該網路銀行帳戶內。 |
(一) 安全機制應具備之防護措施
1. 無論是上述何種機制,其安全設計均應具備訊息隱密性、完整性、來源辨識性、不可重複性、無法否認傳送訊息及無法否認接收訊息等六大防護措施。
┌ 六大防護措施
● 完整性
● 來源辨識性
● 不可重複性
● 隱密性
● 無法否認傳送訊息
● 無法否認接收訊息
2. 若為約定轉帳因屬低風險交易,得排除無法否認傳送訊息及無法否認接收訊息之安全設計。
3. 電子轉帳及交易指示類之安全機制,若不具備無法否認傳遞訊息、無法否認接收訊息之功能,則其使用之對稱性加解密系統之金鑰長度不得小於 128 位元,且必須改採使用者代號、密碼,以強化安全防護。
(二) 電子金融交易之風險
| 高風險交易 | 該訊息執行結果,對客戶權益有重大影響之各類電子轉帳及交易指示,如非同戶名且非約定轉入帳戶之各類電子轉帳及交易指示。 |
| 低風險交易 | 該訊息執行結果之風險性低,如同戶名或約定轉入帳戶,或非約定轉入帳戶小金額之轉帳(每戶每筆不超過五萬元,每天累計不超過十萬元,每月累計不超過 二十萬元為限)之各類電子轉帳及交易指示。 |
四、專人陪同維護機器
廠商前來營業單位維護機器,應由專人陪同並登記備查。
五、主管與櫃員權限代號分別持有
一人不得同時持有主管權限及櫃員權限之端末機使用者代號。
六、禁止多人共用同一使用者代號
不宜二人或多人共用同一使用者代號,以防權責不明。
七、使用者代號控管
端末機使用者代號之新增、變更、刪除應登記控管。
八、變更密碼
端末機使用者密碼應定期變更。
九、關閉工作站或簽退
操作人員暫時離機或有他人需要使用同一端末機時,應先由原操作人員關閉工作站或簽退 (SIGN OFF、LOG OFF)。
十、排程處理
例行作業應依預定排程處理,非例行作業之處理應先經核可或授權。
十一、資料診斷人員之特殊權限
對於儲存體或記憶體之傾錄或傾印 (STORAGE OR MEMORY DUMP) 應只限於需以該項資料作診斷之人員。
十二、機密性資料之隱密
機密性資料 (ex.亂碼基碼有關資料) 輸入電腦過程必須隱密。
十三、符合牽制原則
資料輸入人員或核對人員,或輸入憑證保管人員之指派,必須符合牽制原則。
十四、網路銀行業務之申請或報備
開辦網路銀行相關業務必須向主管機關申請核准或報備後辦理。
十五、風險限額
網路銀行之轉帳或匯款類交易,應訂定風險限額。
十六、針對網路銀行業務之開發維護、運作及管理,必須:
(一) 明訂內控規章。
(二) 有關開發、維護、運作等作業流程必須符合內部控制原則。
(三) 系統維護及資料管理必須依內部規章辦理。
十七、網路銀行系統訊息傳輸之安全設計,必須:
(一) 對電子轉帳及交易性指示等之金融交易訊息或電子文件傳輸,必須有來源辨識及隱密性、完整性、不重複、無法否認傳送訊息及無法否認接收訊息等之設計。
(二) 查詢或通知類訊息之交易,不得違反有關資訊保密等之規定。
(三) 私密金鑰之長度設計必須符合規定。
(四) 私密金鑰、憑證資料或亂碼基碼之產生、儲存設計應符合內控機制。
(五) 對於訊息及電子簽章應保存完整之記錄。
十八、主機操作及作業處理
(一) 電腦作業系統運作紀錄(SYSTEM LOG)或控制台操作紀錄 (CONSOLE LOG) 等有關工作處理之紀錄,應保存適當期間並指定專人負責查核,且對例外情況必須加以追蹤處理。
(二) 控制台及週邊設備(ex.印表機)僅限輪值操作員操作。
(三) 例行工作應依預定排程處理,非例行工作之處理應經核准。
(四) 操作異常狀況應予紀錄。
(五) 發生嚴重問題時,應依規定之程序,立即通知主管。
(六) 每班作業應至少有二名操作員輪班。
十九、主管授權工具
主管卡、主管鑰匙或密碼應由主管親自持用。
二十、特殊交易查證
對特殊交易內容事先應予審核查證,且事後加以追蹤查證。
二十一、密碼變更
金融機構對於電腦公司安裝電腦系統時,其系統工程師使用之預設密碼,應於驗收後上線前立即刪除或變更,並定期變更密碼,以維護電腦網路安全。
二十二、為符合分工牽制作業原則
(一) 連線管理人員不得兼任應用系統程式之維護工作。
(二) 系統分析及程式撰寫人員不得兼任資料輸入之管制工作。
(三) 機房操作人員不得兼任系統分析及程式撰寫工作。
(四) 經電腦檢核為異常或錯誤之輸入資料,應指定操作員以外人員負責查明處理。
(五) 儲存機密資料或程式之磁帶、磁片等媒體之保管,應由有權人員二人會同封簽後密存。
(六) 密碼單之印製及金融卡之製作,應指定不同人員將卡片及密碼單分開製作、分開寄送。
二十三、亂碼化介面程式
(一)「亂碼化介面程式碼」不可存放於主機系統程式館內。
(二) 亂碼化介面程式維護、修改應依「亂碼化作業安全規章」所訂程序及規定辦理。
(三) 有關亂碼化作業之紀錄資料,包括作業紀錄、基碼變更紀錄、程式報表紀錄,均應由安全控管人員定期查閱。
二十四、金融機構媒體管理應注意事項
(一) 儲存機密資料或程式之磁帶應由二人會同封簽後密存。
(二) 應注意媒體品質維護,必要時予以清潔、維護或重錄。
(三) 媒體廢棄前應先消磁以防資料外洩。
(四) 媒體編號必須可由外標籤查知媒體內容及用途。
二十五、防火牆、路由器之設定
(一) 設定內容應留存書面文件備查,設定內容變更應經申請評估後,始准由專人予以變更。
(二) 對非法入侵防火牆事件,應即時處理,並留存紀錄。
(三) 應依不同功能,不用地域或不同使用者設定不同網域,以利控管。
(四) 變更防火牆應經測試並經主管審核。
(五) 防火牆外部網路位址與內部網路位址對應資料之建置、變更應有專人控管。
試題練習
1. 有關主機操作及作業處理,下列敘述何者錯誤?
(A) 控制台及週邊設備僅限程式設計人員使用
(B) 例行作業應依預定排程處理
(C) 操作發生異常狀況應予紀錄
(D) 電腦作業系統運作紀錄或控制台操作紀錄應保存適當期間
Ans:A
2. 下列何種程式之原始碼(Source Code)不可存放於主機系統程式館內
(A) 放款
(B) 存款
(C) 亂碼化介面
(D) ATM扣款
Ans:C
金融銀行考試資訊》
優惠資訊》
加入FB粉絲團》金融銀行專業教室
| 暫無討論 |
百科問與答