【資訊安全】TM-E-1（Part 2）

本文接續上一篇文章，繼續介紹香港金融管理局（簡稱HKMA）發布的《電子銀行的風險管理》（簡稱TM-E-1）。

2. Major risks inherent in e-banking
2.1 Operational risk
2.2 Reputation and legal risk
2.3 Risks associated with underlying financial services

第二條提到電子銀行的固有風險，也就是尚未採取任何風險管理措施的情況下，可能發生的風險，如營運風險、聲譽及法律風險、金融服務相關風險。

營運風險是最主要的風險，舞弊、網路攻擊、資料外洩、服務中斷和系統錯誤都屬於營運風險，營運風險隨著資訊環境與日俱新而動態調整。發生營運風險的原因舉例如下：
1. 客戶在不安全的環境下存取電子銀行服務。
2. 電子銀行仰賴多家協力廠商。
3. 不斷推陳出新，或較為複雜的系統架構或邏輯。
4. 電子銀行提供全天候服務。

營運風險會直接或間接造成聲譽及法律風險，當認可機構發生營運風險時，若未妥善處理客戶抱怨的話，將造成聲譽風險；若客戶採取法律行動，將造成法律風險。認可機構應特別留意個人資料傳輸、儲存和使用可能涉及的聲譽及法律風險。

金融服務相關風險如信用風險，也就是客戶未能履行契約造成的風險。認可機構應特別留意流動性風險管理（Liquidity risk management），當客戶透過電子銀行移轉大筆資金時，應確保維持資本流動性。

3. Risk governance of e-banking
3.1 Board and senior management oversight
3.2 Accountability and staff competence in the three lines of defence
3.3 Independent assessment and penetration tests

第三條在談風險治理，認可機構的董事會及高階管理層落實風險監管、建立內部控制三道防線、定期辦理獨立評估及滲透測試。

對於有導入資訊安全管理制度（ISMS）的認可機構來說，一般會依據內部風險管理程序，定期辦理風險評鑑，並發展風險管理計畫；認可機構也會建立稽核計畫，定期辦理內部稽核；業務管理單位（如資訊部門）可能定期執行自行查核；董事會及高階管理層則定期召開管理審查會議，檢視風險管理的落實程度。

認可機構應建立三道防線，第一道防線為業務管理單位（如分行行員）；第二道防線為風險管理部門或法務部門；第三道防線為內部稽核單位。認可機構應清楚識別三道防線的定義及職掌。

認可機構推出新的電子銀行服務或大幅調整現有服務前，應進行獨立評估，管理階層應指派專責單位，追蹤評估缺失的改善情形。評估單位應具備獨立性（如外部顧問），並依據HKMA發布的監管政策手冊（如TM-E-1）和產業公會（如HKAB）發布的相關指引進行評估。除此之外，認可機構應每年辦理電子銀行滲透測試，並定期辦理電子銀行相關風險評估。