【資訊安全】TM-E-1（Part 7）

本文接續上一篇文章，繼續介紹香港金融管理局（簡稱HKMA）發布的《電子銀行的風險管理》（簡稱TM-E-1）。

8. Fraud and incident management
8.1. Fraud monitoring and remediation
8.2. Incident response and periodic drills

第八條在討論異常活動監控及事件管理。認可機構應針對可疑交易及異常活動建立自動化監控機制，如果認可機構允許客戶在非上班時間進行交易，那麼也應針對該時段的交易活動進行監控。實務上，認可機構大多利用洗錢防制（AML）系統監控異常電子銀行活動，而且部分認可機構無法於非上班時間進行匯款交易。

考慮到科技及網路攻擊手法日新月異，認可機構應定期蒐集威脅情資（如F-ISAC），並強化異常活動監控系統及處理程序。此外，認可機構應配置充足的人力，以利認可機構在電子銀行服務時段能處理各種可疑交易及異常活動。

認可機構應建立事件應變管理程序，以利即時進行通報、處理各種事件（如網路攻擊、服務中斷等），並定期辦理事件應變演練，確保認可機構對於事件管理的有效性及應變能力。另一方面，認可機構應建立外部溝通策略，將事件消息傳達給所有利害關係人（如客戶、協力廠商、新聞媒體等），並主動提供求償方式給受影響或可能受影響的客戶。如果電子銀行可能長期中斷服務，認可機構應考慮發布新聞稿，以及通報主管機關（香港金融管理局）。

9. System availability and business continuity management
9.1. Service level of e-banking for customers
9.2. Capacity planning
9.3. Performance monitoring
9.4. System resilience
9.5. Controls for coping with system disruptions

第九條主要在討論電子銀行系統的可及性及營運持續管理，內容包含服務水準、系統容量規劃、系統效能監控、系統韌性和系統中斷時的控制措施。

認可機構應針對電子銀行系統建立服務水準（Service Level），常見的服務水準指標如RTO、RPO、MTPD等。認可機構應確保系統能達成服務水準，以提供客戶穩定的服務。

接著，認可機構應經常檢視設備容量（如CPU使用率、記憶體使用率、硬碟使用量等），並定期制定容量計畫及報告，供高階管理層覆核，以確保能提供穩定的電子銀行服務。實務上，認可機構多半透過效能監控系統（如IBM Tivoli monitoring）瞭解設備的使用狀態。

再來，認可機構應確保沒有單點故障，常見的方法是建立營運持續計畫（BCP Plan），並為伺服器、網路設備建立同地備援或異地備援。認可機構也應定期辦理營運持續計畫演練，確保計畫的有效性。另一方面，如果認可機構的系統仰賴廠商維運（如香港分行委任總行提供資訊服務），那認可機構應瞭解廠商的營運持續計畫，並評估計畫的妥適性。

最後，香港金融管理局（HKMA）特別要求認可機構建立分散式阻斷服務（DDoS）攻擊防禦機制，並定期辦理演練。常見的做法是向網路服務供應商（IPS）租用流量清洗服務。