營運持續性及科技風險管理
管理機制
為提供客戶完善且不中斷的服務,台新在銀行業務建置營運持續管理 (Business Continuity Management, BCM) 機制,以因應天然災害、資金緊急調度、資訊系統災變或人為事故之危急狀況下,維持重要營運項目,並儘速回復正常營運,減輕災害帶來的衝擊及營運中斷時間,保障客戶及股東的權益,減少風險的衝擊與增加競爭力。
影響評估
-
天然災害
如火災、地震、颱風等
-
天然災害本身具有不可預測性,加上近年來日益惡化的溫室效應,更加強了天然災害的發生機率。不僅造成公司自身的營運場所、行舍、設備等毀損,放貸與投資對象亦有可能受天災影響,出現還款違約或擔保品滅失等情形。
-
人為事故
如政治事件、罷工、戰爭等
-
若因政治、罷工等人為因素事件,可能導致員工往返營運場所交通受阻,無法正常執行業務;營運場所亦可能因外部事件或周邊環境影響,致無法正常提供服務及營運。且隨著衝突激化,若無法於短期解決,可能造成營運所在地之業務損失等影響。
-
資訊系統災變
如資安攻擊、數位病毒、資料毀損、系統當機、機房無法運作等
-
若遭受各種網路攻擊,可能導致系統中止運作、系統被遠端操縱、資料庫毀損、網路中斷、客戶資料被竄改或竊取、客戶及員工隱私暴露、違反與特店之服務合約等影響,造成公司重大損失。
-
其他
如大規模傳染性疾病
-
當發生重大傳染疾病時,可能因危害員工健康,造成人力資源缺乏、或場所傳播致無法持續營運或提供客戶服務等影響。又若因防疫措施不當,可能導致營運成本提高,甚或營運服務中斷。
應變復原計畫
營運持續計畫
營運持續計畫(Business Continuity Plan, BCP)係為因應突發災難事件而預先規劃的應變與復原作業流程,以確保本公司在可接受的最低營運水準下可持續提供關鍵服務項目予重要客戶。計畫內容亦包含營運衝擊分析、最低資源需求、測試演練等。
-
營運衝擊分析 (Business Impact Analysis;BIA)
-
係用以決定復原目標時間、可容忍的資料損失時間和復原的優先順序,以及評估復原的最低資源需求,以預先準備。
-
最低資源需求 (Minimize Resource Requirement;MRR)
-
係指評估一營業項目在復原至可接受的最低營運水準時所需的備援資源,包括人員、辦公場所及設施、電腦設備、軟體應用系統、通訊設備、電腦網路、重要文件、電子檔或紙本資料、交通工具、文具用品等。營運最低資源需求應足敷相關營業項目持續營運一段時間。
-
測試演練
-
原則上每年至少演練測試一次,必要時可每年測試兩次。
資訊系統復計畫
台新依據資訊系統損害程度,啟動適當的備援方案。大致可區分為以下三大類型:
-
資料毀損
- 採取人工處理
- 執行資料倒檔作業
-
正式營運
系統當機- 評估影響範圍,採取相關因應作業,暫採人工處理方式
- 啟動主機備援
-
機房
無法運作- 依程序啟動異地備援系統及網路連線
緊急資金調度應變計畫
台新銀行設有緊急因應小組,以確保發生流動性危機時,能在計劃時間內調度資金以依約履行支付義務,並因應行內資金需求。緊急因應小組由金控總經理擔任召集人,財務長擔任副召集人。
-
緊急因應小組
- 由財務管理單位主管電話通知緊急因應小組各相關權責單位召開會議。
- 緊急因應小組啟動後,召集人應即通報董事長。
-
任務分工
若緊急因應小組決議要啟動緊急資金調度應變計畫,各權責單位應參照緊急因應小組成立後之工作項目任務分工。
-
每日召開會議
- 各相關權責單位每日召開會議→執行→回報成效。
- 召集人應視情況隨時向董事長彙報應變計畫之執行進度及成效。
-
結案通報
若決定結案,應由召集人同意後發布,並由財務管理單位主管以電子郵件方式通知各相關權責單位主管。
演練與測試
-
營運持續計畫演練
-
營運持續計畫 (BCP) 演練係為確保災難事件發生後,BCP相關應變計畫可立即啟動並確實可行,以使關鍵營運項目在復原目標時間內恢復至正常狀態。測試演練結果應符合下列:
- BCP所述及的最低資源需求,在緊急時確實可供調配,且項目無缺漏,數量足敷使用。
- 確認BCP內容完備,不但涵蓋所有關鍵性作業項目以及各類型的急難狀況,且無模糊不清之處,即使對此BCP不甚熟悉者,亦能輕易遵循執行。
- 確保BCP定期檢視和更新,重要成員確實了解BCP作業,及其所扮演的角色和責任。
- 原則上每年至少演練測試一次,必要時可每年測試兩次。在營運項目、人員、營業場所或外在營運環境有重大變動時,測試之時程應配合修改。
-
資訊業務持續營運演練
-
每半年模擬各種主要資訊系統重大異常事件,透過不同情境進行應變計劃的演練,並檢討演練測試結果及執行缺失改善事項,將檢討報告呈報高階管理階層,以確保系統備援環境完整性,使系統與資料復原的程序更臻流暢,俾以提供更穩定可靠的金融系統服務,保障客戶交易安全。
-
資安事件應變演練
-
每年模擬各種網路駭客攻擊事件,透過不同情境進行應變計劃的演練,以熟悉資安事件發生之處理程序。2022 年演練包含分散式阻斷服務應變(Distributed Denial of Service)、紅隊演練等。
-
緊急資金調度能力檢視
-
- 為確保流動資產部位取得資金之能力無虞,每半年應將流動資產部位以附買回或賣券方式輪流進行變現性測試。
- 財務管理單位平時應利用同業融通管道,測試各金融同業給予本行之融通額度往來是否維持正常。測試時應採分散原則,避免同時進行導致市場產生負面傳言之風險。
- 財務管理單位應將壓力測試結果納入緊急應變計畫之規劃考量,每年定期檢視與修正,以確保計畫之有效性及妥適性。