【資訊安全】金融機構運用新興科技作業規範（Part 3）

本文接續上一篇文章，繼續介紹《金融機構運用新興科技作業規範》（以下簡稱「作業規範」）。

第三條 社群媒體控管程序
一、 社群媒體係指一交流平台，參與者可代表銀行透過與其他單一或多位參與者單向分享或雙向互動，進行內容產出、知識分享、討論共創之平台。

第三條是社群媒體控管程序。第一項是社群媒體的定義，國內銀行常用的社群媒體包含Facebook、Instagram和Line。建議評估人員向受評機構確認目前使用哪些社群媒體，或以關鍵字上網搜尋。

二、 本控管程序不包含銀行內部使用或與個別客戶溝通使用之平台。

第二項說明銀行內部使用或與個別客戶溝通使用的平台不在控管程序的範疇。舉例來說，多數銀行都有電子布告欄或類似機制，對行員宣達重要訊息以上就不適用社群媒體控管程序。

三、 應制定社群媒體管理政策，至少每年檢視一次。

第三項要求銀行制定社群媒體管理政策，並且每年檢視一次。由於多數銀行有使用社群媒體，因此政策不會直接引用作業規範，而是依據實際作業流程進行說明或調整，相對於雲端服務管理政策，社群媒體管理政策內容較為豐富。建議評估人員向受評機構徵求社群媒體管理政策，並確認政策內容是否與現行作業規範相符。

四、 應制定社群媒體使用守則，明確列出可接受使用之社群媒體、功能及使用規則。

第四項規定銀行應該明確列出可使用的社群媒體、使用哪些功能和規則。如同先前提到，國內銀行大多使用Facebook、Instagram和Line，並使用社群媒體發布行銷宣傳文章。評估人員向受評機構取得社群媒體管理政策後，可以檢視政策是否與實際使用情形相符。

五、 應制定銀行發言規範，明確定義各角色被授予之發言權責，並避免非授權之公務言論發表。

第五項要求銀行應制定發言規範，並定義各角色被授予的發言權責。由於社群媒體平台大多可以設定角色權限（以Facebook為例，角色分為管理者、編輯、版主、廣告主、分析師等），銀行應定義各角色的發言權責及發言流程。舉例來說，數位金融處的同仁如果要發布訊息，應先提出申請並檢附發布訊息或圖片，待主管核准後予以發布。建議評估人員向受評機構徵求至少一筆發言申請紀錄，瞭解實際作業流程。

六、 應制定內容過濾與監視政策，其監視內容應至少包含防止客戶隱私及銀行機密外洩、非授權或偽冒身分發言及不可有攻擊或詆毀同業之情事。

第六項的意思是，銀行應該定期檢視發布內容，確認無機密外洩、非授權或偽冒身分發言、攻擊或詆毀同業之情事。銀行應於政策中定義監視項目，並指派專人定期在各社群媒體平台「巡邏」，瞭解有無不當內容。建議評估人員向受評機構訪談實際做法，理想的做法是留存監視紀錄（如某月某日查無不法情事）。

七、 應制定不當發言之緊急應變程序。

第七項規定銀行應制定不當發言的緊急應變程序。銀行應於政策中定義不當發言（如歧視言論），並說明應變程序（如文章下架）。一般來說，銀行在發布文章或回覆留言前都會經過層層把關，較少不當發言情事，但評估人員不妨詢問評估期間有無類似情形。如果有的話，就請受評機構提供處理紀錄。

八、 應制定社群媒體異常事件通報程序。

第八項提到銀行應制定社群媒體異常事件通報程序，異常事件可能包含服務中斷、社群媒體遭到入侵等。多數銀行早已建立異常事件通報程序，並將社群媒體納入既有處理機制中。建議評估人員同時瞭解受評機構如何處理非社群媒體的異常事件通報。

九、 如有不當發言，應留存通聯紀錄，以供日後調查使用。

一般來說，社群媒體（含即時通訊軟體，如Messenger）會永久保存通聯紀錄，但部分社群媒體有訊息收回功能（如Line），如果銀行透過有訊息收回功能的管道與客戶進行溝通，建議留存對話截圖，以供日後調查使用。