【 資訊安全】金融機構提供自動櫃員機系統安全作業規範（Part 1）

金融監督管理委員會（以下簡稱「金管會」）為確保金融機構自動櫃員機（以下簡稱「ATM」）系統安全，制定《金融機構提供自動櫃員機系統安全作業規範》（金管銀國字第 10702042100號）。

本文將逐條說明法規內容，並提出評估方式供各位讀者參考。建議讀者上網查詢有無最新法規（參考連結）。

第一條
目的
金融機構提供自動櫃員機（以下簡稱 ATM）服務，除符合「金融機構辦理
電子銀行業務安全控管作業基準」外，為確保金融機構 ATM系統安全，特
定本作業規範。

除了本法，《金融機構辦理電子銀行業務安全控管作業基準》第十二條也針對ATM有若干規範。評估人員辦理評估作業時，應確認金融機構符合上述法規的要求。
據筆者瞭解，目前僅銀行有提供ATM服務，因此本文會穿插使用「金融機構」、「銀行」！

第二條
用詞定義如下：
一、兩項以上技術…
二、ATM之相關伺服器…

一、「兩項以上技術」是指《金融機構辦理電子銀行業務安全控管作業基準》第七條第四款所列之身分認證方式。簡單來說，就是指雙因子認證（Two-factor authentication，簡稱「2FA」）。
二、「ATM之相關伺服器」是指支援ATM系統的相關系統伺服器，法規解釋得很清楚，建議讀者直接閱讀法規。

第三條
開發測試
一、開發單位應以ATM應用程式進行原始碼掃描並提供掃描報告。
二、開發單位應以兩人以上授權或採用兩項以上技術進行版本控管，並交
付派版程式清單、程式異動前後差異比對表、程式變更內容及原始碼
掃描報告。
三、金融機構應檢視、測試及風險評估後，依據原始碼掃描報告，判定是
否進行派版。

金融機構的資訊單位大多落實專業分工，系統開發單位、派版單位分屬不同部門，第三條即針對開發單位進行規範。

一、開發單位應定期或於申請派版前，針對ATM應用程式進行原始碼掃描（Source Code Review）。評估人員應確認掃描結果有無中、高風險弱點，並確認受評機構落實弱點修補作業。

二、開發單位申請派版前，除了機構內部的申請單外，應檢附相關文件，例如：派版程式清單、程式異動前後差異比對表、程式變更內容和原始碼
掃描報告。以下簡介各個文件：
「派版程式清單」：內容較為精簡，通常只列出程式名稱；
「程式異動前後差異比對表」：可能以左右對開方式呈現，比較派版前、後的目錄內容差異；
「程式變更內容」：筆者見過直接列出派版前、後的原始碼。
「原始碼掃描報告」：利用掃描工具（例如：Fortify）產製的結果報告。

依個人經驗，大多數金融機構都採用兩人以上授權進行版本控管，較少金融機構將雙因子認證應用於版本控管。評估人員應確認開發單位進行程式異動時，有無留存兩人以上的核准紀錄。

三、此處點呼應第一點，開發單位應確認掃描結果有無中、高風險弱點，並辦理弱點修補作業。若有無法修補或延長修補期限之情事，金融機構應留存相關申請、討論紀錄。