【資訊安全】TM-E-1（Part 1）

由於國內銀行業務逐漸飽和，部分銀行開始在海外布局。香港因為地緣關係，可以就近服務中國、香港的台商，加上相對完善的金融監理制度，因此經常成為國內銀行跨足國際金融的第一站。

香港金融管理局（Hong Kong Monetary Authority，簡稱HKMA）發布一系列的監管政策手冊（Supervisory Policy Manual，簡稱SPM），針對科技相關風險制定若干規範，本系列文章將介紹編號TM-E-1的《電子銀行的風險管理》（簡稱TM-E-1）。

TM-E-1如同《金融機構辦理電子銀行業務安全控管作業基準》，用於規範電子銀行（網路銀行）業務。和台灣的資安法規不同的是，SPM非常強調董事會及高階管理層的責任。舉例來說，TM-E-1有一整個章節（Risk governance of e-banking）在談董事會及高階管理層的責任及應辦理事項。

另一方面，SPM採用風險導向管理。例如TM-E-1的4.1.3談到密碼設定原則時，僅要求認可機構針對密碼強度建立適當控制措施（"AIs should put in place adequate controls related to the strength of the password including a Personal Identification Number (PIN)"）；反觀《金融機構辦理電子銀行業務安全控管作業基準》要求密碼不得使用顯性資料、不應少於六位、不應訂為相同之英數字\連續英文字\連號數字等，內容鉅細靡遺。讀者可以從上述舉例中觀察兩地法規的差異。

好消息是，HKMA秉持公開透明原則，要取得SPM十分容易，只要瀏覽HKMA官方網站，就能下載相關監管政策手冊；不幸的是，並不是每一份法規都有中文翻譯，以2019年10月24日公布的TM-E-1為例，目前僅有英文版本，對於習慣閱讀中文的朋友來說，可能會稍微吃力。

本文將站在評估人員的角度，分享如何評估認可機構是否符合TM-E-1的要求。考量TM-E-1的內容繁多，本文將針對重點進行提示，不會逐項翻譯、說明SPM的內容。如果讀者想瞭解特定法條內容，歡迎在下方留言！

接著，就開始介紹TM-E-1吧！

1. Introduction
1.1 Background
1.2 Types of e-banking
1.3 Supervisory objective and approach
1.4 Applicable risk management principles

第一條法規分為4個部分，包含立法背景、適用範圍、立法目的和風險管理原則。對於評估人員來說，最重要的部分應該是釐清法規的適用範圍，如果認可機構有提供電子銀行、行動網路銀行、自動化服務（如ATM）和電話銀行等服務，那麼就應該瞭解、遵循TM-E-1！