【毕业学位论文】（Word原稿）证券业网路下单稽核环境之研究-信息管理学

证券业网路下单稽核环境之研究黄明达 萧富元 81 证券业网路下单稽核环境之研究 黄明达 淡江大学 资讯管理研究所 富元 淡江大学 资讯管理研究所要 随着网路下单券商的蓬勃发展，网路下单在股票交易方式中逐渐扮演重要的角色，其安全性也就逐渐受到大众的重视。本研究以电脑稽核的观点出发，来探讨目前国内网路下单券商的安全管理现况，并尝试建立一套下单安全自我评估模式。 本研究采用问卷调查和现场访谈的方式，以线上安全面、备份管理面、操作交易面三 个构面来调查目前国内 26家网路下单券商的稽核环境现况。深入了解网路下单券商在线上下单交易安全上所遭遇的问题与困难，并对网路下单券商在线上下单交易的安全性以百分比法分成 A、 B、 C 三等级，利用卡方检定来分析出不同等级之间的差异，并依此作为不同等级所面临的风险。最后订定出网路下单稽核检查表并提供自我评分方法，让券商可以自我评量找出所属的等级，以及所对应的风险，作为未来改进的参考和政府、网路下单系统厂商 在推行网路下单安全及制定相关政策时之依据。 关键字：证券业、网路下单券商、电脑稽核、交易安全 on of in is of is to of on to up a 6 It us a to of we we an to be by 讯管理展望 第卷 第期 民国八十八年七月 82 壹、绪论 自从 1995年美国第一家网路下单券商 E*办以来，其无疆界、无时差及低成本的优点，迅速获得社会大众的青睐，交易量每年以倍数成长，已使网路下单渐渐成为未来趋势 【 16】 。而国内也在民国 86年 7月准许券商开办网路下单业务，至 87年底为止，根据证交所统计，单月成交总金额占市场成交量的比例从原本的 86/7)87/12)，其间开户人数亦由 1,022人，至今累积成长至 71,533人 【 2】 。随着证券网路下单的蓬勃发展 【 11】 ，建立一个网路下单的安全评估模式，让交易双 方有所参考依循，也就成为一个刻不容缓的议题，并引发了本研究动机： 安全是网路交易的前提，目前各家网路下单券商所强调的安全传输协定 (安全认证磁片是否就足以代表其安全性 【 11】 ，而消费者如何从中选择比较？ 目前各家网路下单券商的安全管理现况为何，同业之间有何差异存在？如果网路下单券商想知道自己安全管理的优劣，有何自我评量的工具？ 有关网路交易安全的研究多偏重于理论面或技术面上的探讨，缺乏实务管理面上的考量 【 7】【 8】【 12】【 26】 。 因此，本研究尝试采用电脑 稽核的观点，从不同角度来审视网路下单的安全性。本研究目的如下： 藉由问卷调查的方式，来审视目前各家网路下单券商的稽核环境现况，并找出目前网路下单券商所面临的问题。 将调查结果加以统计分析，比较归纳出不同的等级，作为网路下单券商以后改进的目标和消费者选择的参考，并可依此来建立出一套网路下单安全的自我评估模式。 本研究针对国内目前已经开办网路下单业务的券商进行安全现况调查，另外包含一些已经在准备测试中但尚未开办的网路下单券商 【 2】 。本研究以网路下单的稽核环境为主，界定于在全球资讯网 (易环境下与网路交易安全有直接相关的线上安全面、备份管理面、交易操作面的安全稽核现况调查，对其他如人事管理、委外管理等不纳入其中 【 1】 。 本研究的研究步骤依序如下：确定研究动机及目的、搜集相关文献、确立研究架构、设计问卷初稿、专家预试、问卷填答。为求得调查资料的真实性，更深入的了解问题，本研究问卷一律采现场访谈方式来完成。在经过 26家网路下单券商的访谈之后，再利用 套装程式进行资料分析、解释资料分析结果，最后做成结论与建议。 虽然国内网路下单券商发展相当蓬勃，然而因网路下单业务开 放至今也不过一年多的时间，所以网路下单券商家数有限。本研究在排除种种困难后，寻得九成以上网路下单券商的协助，但总家数仍未达到统计学上的大数 (N30)，使得本研究无法进行较周详的检定，以提升本研究的信度与效度。 贰、文献探讨 目前由于国内网路下单券商刚刚开办不久，所以相关研究甚为缺乏，而国外有关网路下单券商的文献大多偏向经营策略的研究，例如 季定期对网路下单券商评分排名 【 13】 ，作为消费者选择网路下单券商的参考，以及 网路下单券商调查报告 【 18】 等，然而国内 网路证券交易制度与交易习惯均和国外有所不同，且因发展起步较晚的关系，使得安全机制标准不一，所以在稽核实务方面需要另外自行发展。 证券业网路下单稽核环境之研究黄明达 萧富元 83 而网路交易安全方面的研究，大多数是安全技术的探讨 【 5】【 6】【 14】【 17】【 25】 ，缺乏针对网路交易安全管理的调查。 在电脑稽核方面，国外已有 相关的自我检查表和评量方法 【 22】【 23】 ，但其资料过于老旧，早已不符合现代所需。而由美国资讯管理训练学会 (发表的电脑稽核和安全检查表 【 24】 及资讯系统稽核控制协会 (电脑稽核项目手册 【 20】 则缺乏专门针对网路下单券商的稽核项目且无法自行评估优劣。 综合以上所言，本研究除了参考前述文献外，另外依照国内现行股票交易制度而设计出网路下单券商的自我检查表，并提供自我评量的模式。表 1为证券业网路下单安全所整理出的相关文献。 表 1 网路下单券商下单安全相关文献 研究主题 作者或单位 时间 内容概述 电子商务安全 1985 针对电脑系统安全提出评估标准，包括密码管理准则 (身分验证和授权指引 (电脑稽核指引 ( 等 【 25】 网际网路上安全的电子付款环境之探讨 丘信荣，交通大学资讯管理研究所 1996 对 P 协定上的通讯安全协定 分析比较与安全性探讨，分析网际网路电子付款系统，并规划一个网际网路电子付款系统的雏形架构 【 5】 . 1996 讨论网际网路在商业上应用的安全，包括建构一个安全的网路系统、确保通道安全、安全通讯协定、安全管理政策、保护使用者与网路商店等 【 14】 A 997 提供网路商店在风险评估时应注意事项、订定安全存取控制政策、维持网路安全和安全管理上应有的认知 【 27】 台湾电子商务发展之研究 管理研究 (一 ) 陈嘉玫，中山大学资讯管理系 1998 针对电子商务在安全系统之操作与管理制度上，提出解决方案，并设计一个系统安全原型 (电子书店 )进行测试评估 【 6】 997 998 利用问卷调查英国前 1000大公司在电子商务方面所遇到的安全问题，讨论公司安全政策、控管方法、所面临的风险和对策，最后提出改进建议 【 17】 电脑稽核 . 972 针对资讯管理系统作全面性的稽核与评估，提供人事、实体安全、程式文件、操作、资料备份、系统发展、保险、安全规划管理等八大构面的自我检查表和评估方法 【 22】 & . 987 提出组织架构、实体安全、意外处理、资料备份、资料安全、系统操作、资讯部门管理、保险 、系统发展、电脑犯罪、线上传输等12构面的电脑稽核方式和自我检查表 【 23】 992 提出线上安全、商务费用、资料库、资料中心、系统发展、网路安全稽核、 次稽核 50步的自我检查表 【 24】 996 线上系统可藉由网际网路技术的协助来达到持续性的控制和监视，并讨论电子交易安全 所需公开金钥和秘密金钥加密等密码学和应用 【 21】 996 建立一个独立的资讯系统专门负责管理整合员的工作，以达到同步稽核 (目标 【 19】 电子商务环境中会计及审计作业之流程模式 余千智 ;周济群，政治大学 1997 提出电子商务环境中执行审计作业的流程模式，含期间性审计与连续性审计等两个模式 【 4】 998 针对电脑安全准则、组织架构、资料处理、系统安全和系统发展提出详细的电脑稽核要项 【 20】 网路下单券商 998 利用亲自上线、问卷、电话访谈的方式来调查网路下单券商的使用者介面、客户信赖度、站上资源、相关服务、所需费用并加以排名【 13】 998 由 3000名读者票选出 网路下单券商最重要的五个影响因素，分别是客户信赖度、手续费、成交价格、使用者介面、提供服务，并依此对每一家券商加以评分排名 【 18】 参、研究设计 本研究所采用的研究方法是意见研究 (之调查法 ( 15】 。研究架构主要是参考 992)所发展的电脑稽核和安全检查表 【 24】 中的线上安全检资讯管理展望 第卷 第期 民国八十八年七月 84 查清单，并透过资料中心安全、网路安全、 最后再配合国内现行股票交易制度发展出交易操作面而产生三 个会直接影响网路下单安全的构面，如图一。 本研究问卷填答方式采用复选题的形式，并以名目尺度 (填答方式来进行，使填答者直接对适当的答案勾选即可，缩短答题思考的时间，以减少填答者的负担并增加答案之可靠性。 研究对象则是已有开办网路下单业务的券商，由于目前网路下单券商如雨后春笋般的发展，为求时间一致性，所以本研究以证交所公布的 87年 10月份的网路下单券商为主 【 2】 ，另外包含了一些已经在规划测试中但仍尚未开办网路下单的券商。受访者以负责网路下单的业务部门主管或资讯部 门主管为主，其中也包含了负责维护网路下单系统的资讯工程师。为求得调查资料的真实性，更深入的了解问题，故一律采用现场访谈的方式来进行。调查时间从 87年 11月 13日开始至 12月 17日止，总共访谈 26家，达当时总样本数的九成。 肆、资料分析 一、 基本资料分析 从表 2可以看出目前网路下单所遭遇到的最大问题是线路中断和系统当机，两者总和占了出现过问题的 82%，经访谈结果发现，整体的网路还境还不够成熟稳定，网际网路服务供应商 (网路品质还有待改善，而网路下单交易系 统的开发时间有限，又缺乏与原有交易系统的整合，以致于系统当机事件频传。而其他问题未发生的原因可能是网路下单刚开办不久，目前仍在摸索和适应阶段，市场规模不大，所以仍没有严重问题产生。 表 2 网路下单出现过最严重问题 严重问题 样本数 百分比 排名 无 11 网路中断 6 系统当机 4 其他 2 人员舞弊 0 0 5 网站被入侵 0 0 5 从表 3可以看出券商认为网路下单的主要风险分别为线路中断和客户恶意违约，共占 访谈结果发现线路 中断可能使得客户无法以即时价格成交或重复下单等种种问题而造成交易上的纠纷。其次是法律规范不周和帐户被盗用，共占 可见法律保护条文尚未建立前，网路下单的风险始终居高不下 【 10】 ，而网站安全等技术问题大多可以自行克服所以风险较低。另外对于职员操守不佳所引起的相关犯罪反而较不担心，访谈结果发现这是因为网路下单所需人力较少，彼此可以就近互相监视的缘故。 网路下单安全 线上安全面 1. 一般性 2. 身分验证 3. 系统安全 4. 技术面 备份面 1. 备份规划 2. 软 /硬体备份 交易操作面 图一、研究架构证券业网路下单稽核环境之研究黄明达 萧富元 85 从表 4中发现目前实行网路下单安全所遭遇的最大困难分别是人才不足和技术更新太快，可见网际网路近年快速兴起，相关人才普遍不足。 表 3 网路下单最主要风险 主要风险 样本数 百分比 排名 线路中断 5 客户恶意违约 5 帐户被盗用 4 法律规范不周 4 网站安全性不足 3 认证公信力不足 3 交易内容被窃取或修改 1 职员操守不佳 1 表 4 实行网路下单安全所遭遇的最大困难 最大困难 样本数 百分比 排名 人才不足 9 技术更新太快 7 高阶主管支持度不够 3 经费不充裕 2 其他 2 其他的发现如下： 规模较大的券商尝试开办网路下单业务的意愿较高：其中综合券商有 证券经纪商 2家，占了 网路下单所需人数较传统下单来的精简：相较于传统至少 40人以上的传统券商，负责处理网路下单人数有 410人之间。 对网路下单业务逐渐重视：有 券商另外成立网路业务部门来专门负责，券商的网路下单业务仍归属于其他部门来管理，。 网路下单使用族群仍以上班族为大宗占 这主要是因为网路的方便性与隐密性，解决了上班 族空暇时间有限与不想被外界发现的困扰。其次是学生族，占 可见良好的电脑基础与上网经验也有助于采用网路下单。 网路下单仍属初期发展阶段，成交总额有限：目前券商每天网路下单的总成交金额以 1000万以下居多，有 11家占 每天利用网路下单的委托总张数有一半在500张以下，平均每笔交易的成交金额不超过 20万。 大部分券商对自己的下单系统安全满意度不高：觉得满意的只有 显示下单安全仍有很大的改善空间。 使用不习惯是一般大众不使用网路下单最主要原因占 其次是网路不 二、 证券业网路下单稽核环境现况 从表 5调查网路下单稽核环境现况中，发现网路下单系统大部分为委外开发或技术合作，占 访谈结果结果发现这主要是受限于技术人力方面的限制。其他发现如下： 电脑稽核制度的建立仍有待加强：只有 券商有设置专门的电脑稽核人员或制度。定期举办安全训练的观念仍不普及，只有 与主计处调查一致 【 3】 。 缺乏第二验证码：除了登入密码以外，只有 用安全认证磁片， 际下单时需要另外一组交易密码，这可能与目前仍无公认的认证中心 (关。 密码控管不严格：统计结果只有 求客户定期更改密码， 系统强迫更改密码，大部份券商均交由客户自行决定，没有券商采用不同等级的密码来区别其授信交易的等级，当客户帐号长期不用时，密码仍永久有效。访谈结果发现因为网路下单券商是营利性质，需要考虑客户使用方便性，尽量减少客户管理密码所造成的困扰，但也因此提高密码外泄机率。 密码本身安全性有待加强：只有 防止新密码与生日、身分证号码、电话号码、资讯管理展望 第卷 第期 民国八十八年七月 86 帐号等身分识别代号部分或完全相同， 用 破解密码工具来测试密码的安全性。 缺乏适当安全技术：在单次密码 (与认证磁片的防拷备也因目前无适当技术问题而无法达成。 表 5 网路下单稽核环境现况线上安全面 一般性 样本数 百分比 券商在网路下单的安全政策方面的规定： 明确的安全管理条文及罚责 13 50 有设置专门的电脑稽核人员或电脑稽核制度 8 客户的帐号密码与交易资料，有安全相关条例来加强规范管理 18 户和公司两者的权利与责任清楚订定于契约中 22 责下单系统的相关人员皆有工作指导手册，并随时更新 10 上下单系统的操作有安全程序来规范 21 期为网路下单的员工举办安全训练 5 网路安全方面所做的定期或不定期检查 检查是否有交易资料未入帐户，或交易讯息失真、重复、延迟等异常情况发生 21 查网路运作及伺服器操作状况，侦测线路 /数据机错误 23 查公司对外拨接线路或网路通道是否安全 13 50 检查网路监视器材是否有上锁，监视记录是否有遭到窃改 10 有可疑的侵犯网路 安全事件最后会呈报给安全管理者 13 50 身分验证 样本数 百分比 身份识别与验证方面 每一个客户都有唯一一个帐号且需要密码验证 26 100 在登录不同系统譬如线上交易统和即时报价系统时，使用不同密码 9 一次下单交易或查询帐户资料时都需要重新身分验证 15 客户有授信大量金额交易的资格时加强验证的方式： 采用不同等级密码 0 0 增加更改密码频率 1 客户做较详细的询问，确认无误后才能交易 10 登录或验证密码以外，还有那些第二验 证码： 安全认证磁片 (公开钥匙系统的私钥 ) 10 际下单时需要另外一组交易密码 4 全认证磁片保护控制 安全认证磁片的制作和公司内部传送过程均有保密安全控制，避免被职员窃取或盗用 9 90 安全认证磁片的交付方式须为现场签收或邮寄回函卡签章或挂号等证明客户本人签收 8 80 安全认证磁片有防拷备措施 0 0 安全认证磁片有一定的有效期限，到期须从新申请更换 5 50 在产生客户密码的过程中，所采取的保护控制 密码是由客户自订产生或电脑随机选取 23 客户自订密码的填写与输入过程或随机选取产生的密码条，其印出与传送程均有安全保密控制 15 确告知客户，注意保管密码避免外泄 19 户在更改密码时有下列检查： 防止新旧密码完全相同 11 止新密码和生日、身分证号码、电话号码、帐号等完全或部分相同 1 查新密码长度是否足够譬如至少四字以上 19 更改密码方面，有下列控制： 定期或不定期提示更改密码 2 系统强迫更改密码 1 第一次使用时强迫更改密码 17 次下单时密码就变更一次 0 0 要求客户更改密码的频率为：单选题 一个月 0 0 三个月 2 年 0 0 不要求 24 于密码输入的安全措施 连续输入错误密码达多次以上时，密码会自动锁住失效 21 入密码时，密码以 ” * ”号或其他替代字元显示 22 公司内部方面，对密码的管理，有下列控制： 有书面的密码发行及维护程序 10 客户忘记密码时，需要到现场签章申请或经过其他认证手续后才可以发给新的密码 24 客户帐号长期不用时譬如三个月，密码会自动锁住失效，须重从新申请 0 0 当线上下单相关人员职务变更或停职时，其所属帐号密码应立刻删除 14 上下单相关人员严禁使用同一个密码 14 有安全管理者能够存取密码档 15 码档有使用单向 (数加密 10 线上下单中，每次上线时的提示有 提醒上一次登入与登出时间 3 供不成功上线记录检视 3 上下单在网路讯息传输上，有下列控制： 在登录时所输入的帐号和密 码均有加密处理 23 客户交易资料的连接有加密以外，公司内部网路的连结传输过程也均有加密 9 笔交易资料及讯息传递均有稽核轨迹 18 网路中断时，有书面化的复原程序来重新建立连结 7 网路中断重新连结时，客户需重新登录或身分验证 20 系统安全 样本数 百分比 贵卷商的线上下单交易系统的开发方式为： 自行开发 4 外处理 21 上下单伺服器的实体安全控制有： 对电脑机房的进出加以管制譬如识别证刷卡 22 脑机房有装设录影机录影监视 4 工作人员进出电脑机房时，对磁片报表与其他有形资产的携带加以管制 5 服器键盘或主机有开关上锁 6 服器邻近区域，有装置消防侦测及灭火设备 23 上下单伺服器的使用控制有： 对操作员与管理者的操作活动加以记录 18 定萤幕保护程式，并有密码保护 16 离开电脑时，需将橱柜上锁并清除所有的工作资料，避免被别人看见 5 关线上下单交易系统文件列为机密文件来管理 10 统管理者禁止从远端登录 16 上下单交易系统会自动断线的情况有： 当客户端电脑有相当长一段时间没有任何操作时 12 客户连续输入错误密码达多次以上时 19 线上下单交易系统中的记录档 (： 硬体失败的记录档 18 体错误记录档和重新传输记录档 22 户登入及登出系统记录档 ( 23 上下单交易系统为确定输入的交易资料有效，所作的检查有： 字元检查 可空白、只限数字输入 ) 23 位检查 入数值是否合理、是否有范围或上限、下限的限制 ) 24 关线上下单交易系统安全的控制还有： 对重要档案 (譬如客户帐号、交易记录 )加密并有档案属性保护 12 用加密保护时，对加密钥匙有适当管制软体错误记录档和重新传输记录档 7 最小权限原则 16 技术面 样本数 百分比 线上下单所使用的加密方法有： 证券业网路下单稽核环境之研究黄明达 萧富元 87 包含 18 包含 7 开金钥 ) 5 开金钥 ) 1 开金钥 ) 3 上下单所使用的公开金钥的长度为：单选题 5124 0245 上下单所使用的秘密金钥的长度为：单选题 表 5 网路下单稽核环境现况 (续 ) 406 6 28 12 券 商所使用的认证机制 (： (单选题 ) 自行设立认证中心 9 90 委托第三者来对客户认证 1 10 贵券商防火墙 (拥有的功能有： 封包过滤 (25 用代理伺服器 (15 路代理伺服器 (7 证伺服器 (16 了防火墙外，还使用其他安全工具： 使用网路查核工具 ，如 3 用密码查核工具，如 2 用网路侦测入侵工具 (5 设防毒程式 20 份管理面 备份规划 样本数 百分比 在线上下单交易系统中，负责资料备份的相关人员与职务有： 安全管理者负责资料备份与定期更新备份计划 21 单系统操作员和系统程式设计师定期检查备份设施的相容性与备份程式的更新 14 阶主管定期检视资料备份计划 12 线上下 单交易系统中，资料备份 (划有下列何种规定： 明确订定交易相关资料的备份频率 22 确订定各项备份资料的保存期限 18 书面的资料备份程序 10 商负责提供训练支援 11 线上下单系统中，资料复原 (划有下列何种规定： 明确订定资料复原的优先顺序 18 确订定资料复原时可接受的最长等待时间 5 等待时间过久时有可替代的方案 10 书面的资料复原程序 11 原 程序手册易于取得 7 商负责提供训练支援 13 50 软 /硬体备份 样本数 百分比 在线上下单交易系统中，有关硬体的备份设备有： 下单伺服器有装设不断电系统 (25 脑机房有装设另外一组备用电源以便在长期停电时可继续保持系统运作 20 装一些额外的电脑或网路设备以便在故障时可立即替代更换 15 备用网路以便在网路中断时可替代使用 15 时报价系统采用双主机以提供永不中断处理 6 单伺服器采用双主机以提供永不中 断处理 8 线上下单交易系统中，对资料与软体的备份包括： 客户帐号资料与密码档 23 易资料档 24 户登入登出和交易资料等记录档 21 上下单交易系统软体，并随时更新 20 资料备份的测试控制有： 每年定期有资料备份演练 7 个月定期测试备用电源或不断电系统 15 备份资料的存放控制有： 定期对备份资料做读取测试 4 份磁带或磁片有防写保护措施 12 备份资料的存取资格加以限 制，只能由安全管理者等相关授权人员来负责 16 号密码档和交易资料档等重要档案的备份放在保管室或保险箱中 16 易操作面 交易操作 样本数 百分比 对于线上下单的初次使用者，提供的辅助资讯有： 操作手册 22 上使用说明 25 上下单开课教导 4 券商对网路交易帐户的报名方式为：单选题 一律需要到现场报名 20 有传统帐户者，可以先在线上报名再委托通信开网路户 6 上下单系统所提供的记录查询有： 委 托历史记录查询 18 交历史记录查询 25 券余额历史记录查询 22 保库存历史记录查询 25 行帐户股款历史记录查询 10 帐单历史记录查询 23 户活动登入登出、修改密码等记录查询 6 上下单对顾客所提供的保障措施有： 客户可自行将下单交易资料备份存档，作为以后交易纷争时的凭据 4 客户下单完毕后，公司即时印出网路下单的书面委托书并交由营业员签章，作为以后交易纷争时的凭据 20 供帐户保险例如帐户被盗用的损失 1 供专门的网路营业负责员接单 18 供电话备援交易系统，以便下单伺服器当机时使用 20 银行帐户股款不足时，立刻以电话或 知补缴 16 融资融券的整户担保维持率不足时，立刻以电话或知回补 16 准备委托下单时，对委托书的确认动作有： 买 /卖委托书以不同颜色红 /蓝来区别 21 完委托书后，送出前重新显示确认一次 23 出委托书后，下单伺服 器将所收到的委托书寄回给客户再次确认，确认无误才生效 8 下单伺服器收到委托书时，电脑所做的检查有： 当委托卖出非券卖时，检查此笔委托的库存股票是否有足够 26 100 当限价委托时，检查买卖价格是否在涨跌停板的范围之内 26 100 当买卖全额交割股或管理股时，检查客户当时是否有足够资金与股票 18 买卖警示股时，提出警告通知或禁止线上交易 24 线上成交金额超过当天最高限额时，拒绝接受或检查客户是否有超额交易的授权 25 信用交易融资、 融券所做的检查有： 检查客户是否有信用交易资格 25 查客户的交易金额是否符合其信用等级 24 查公司股票是否已经禁止或公告暂停信用交易 25 限资、限券时，检查券商的资券配额是否足够客户所需 25 委托下单完毕时，提供的通知服务有： 委托成功或失败讯息显示 26 100 下单伺服器将确认后的委托书内容重新显示一次 20 托书即时处理状查询 24 委托成交时，提供的通知服务有： 显示单笔委托的即时成交状况 23 交结果即时画面显示通知 11 交结果立刻以电子邮件 (知 13 50 成交结果当天限时挂号通知 1 交回报查询 26 100 每月对帐单邮递通知 21 取消委托、委托改价或改量时，会： 对原委托书内容重新显示以提供比较修改 20 供紧急联络电话，以便网路中断或延迟时使用 14 消、改量后的委托结果有画面显示通知 20 客户发生违约交割时，贵券商会： 立刻通知客户 23 刻锁住客户 帐号，停止任何使用 21 讯管理展望 第卷 第期 民国八十八年七月 88 线上交易每日买卖最高成交金额限制为：单选题 300万以下 4 00万以下 18 000万以下 0 0 无 4 券业网路下单稽核环境之研究黄明达 萧富元 89 客户无法自行检查异常登入状况：只有 于每次上线时提示上次登入或登出时间和提示不成功登入记录。 资料复原时间缺乏上限：当资料损毁需要备份复原时，只有 订最长的等待时间， 定期对备份资料作读取测试。这对线上即时系统来说可能造成缺乏时效及备份资料不正确等严重问题。 对客户交易保障有待加强 ：只有 让客户自行将下单交易资料备份存档，作为以后纷争的凭据， 提供帐户保险，对帐户被盗用等意外损失加以赔偿， 将成交结果当天限时挂号通知。 大部分券商都有每日买卖最高成交金额的上限：为了减低网路下单的风险，有 券商限制每日线上交易最高成交金额不得超过 500万元，只有 有限制，改以财务证明的三分之一为限。 在与安全稽核无直接相关的项目中，另外有其他发现： 系统厂商由英特连和精业寡占，各占了 9家和 7家，共占了 证券业网路下单所使用的通讯协定大多数为 全传输 协定。 子交易协定(因机制太过繁琐，使用不方便而无人采用 【 9】 。 在使用功能方面，网路下单除了普通限价委托功能以外，有 供市价委托，可见证券网路下单仍以中长期投资为主，不鼓励作当日冲销短线进出， 网路下单券商提供零股交易， 供承销申购， 供停损委托。 在站上资源提供方面，网路下单所提供的服务有自选股即时行情，股市即时分析及其他国内外金融资讯，股价历史查询，以及 供投资组合模拟 试算。 表 6为券商在不同构面的填答率，其中交易操作面因直接关系到下单交易的安全性，会立刻反映在交易结果上，因此填答率最高。而在电脑运作的系统安全与软 /体备份方面，则因券商在原本的后台交易系统均有相关经验，故引进新的网路交易系统时并无太大问题。至于安全技术面和身分验证则因为时间、人力不足与客户方便性的考量，故平均填答率远低于其他构面。 表 6 网路下单稽核构面的填答率 交叉项目 填答率 排名 交易操作面 1 备份管理面：软 /硬体备份 2 线上安全面：系统安全 3 线上安全面：一般性 4 备份管理面：备份规划 5 线上安全面：身分验证 6 线上安全面：技术面 7 三、 分类 本研究尝试区分这 26家网路下单券商的优劣，在样本数的有限的情况下，为了有等级的差异，将所有券商的稽核结果分成三群，以百分均位法来取舍。于是针对每一项稽核项目计分，除了少数几题单选题因有程度之别改以区间比较 (式来计算外，其余大多数稽核项目以均权的方式予以加总得到总分再加以排名，取前 1/3为序为 果如表 7。 表 7 证券业网路下单统计分类表 等级 家数 平均 最大值 最小值 9 级 9 级 8 、 交叉分析 资讯管理展望 第卷 第期 民国八十八年七月 90 为了更深入了解相关因素与稽核等级的关系，本研究进行彼此的交叉分析。由于样本数过少，且使用卡方检定有次数上的限制，因此将相关的项目次数合并后才进行检定。由于篇幅有限，相关表格无法一一列出。 表 8为基本资料与稽核等级的交叉分析表，发现没有任何项目达到显著水准， 也就是没有因素和稽核等级有直接相关，这可能是因为开办网路下单的时间有限，所以各家券商仍处于摸索尝试状态，故尚未产生直接影响稽核等级的因素。 为了解构面间与稽核等级的关联性，于是再将每个构面所得的分数加以排名分群，因为卡方检定次数上的限制，因此只能分成两群，取前 1/2为高分群，后 1/2为低分群，并与稽核等级做交叉分析如表 9。发现稽核等级较佳的券商，在身分验证、备份规划、软硬体备份表现较佳，而系统安全、技术面和交易操作面因目前券商所用的下单系统大部分为委外开发，在系统厂商有限的情况下，因而差异有限。 表 8 基本资料与稽核等级的交叉分析表 交叉项目 卡方值 线上下单人员编制 上下单人员数目 上下单每日总成交金额 发生严重问题 要风险 意度 ： *表 =. 05， *表 =. 01 表 9 构面与稽核等级的交叉分析表 交叉项目 卡方值 线上安全面：一般性 线上安全面：身分验证 线上安全面：系统安全 上安全面：技术面 份管理面：备份规划 备份管理面：软 /硬体备份 交易操作面 ： *表 =. 05， *表 =. 01 为了更进一步了解全部 161项的稽核项目与稽核等级之间的关系，于是作彼此间独立性检定的交叉分析。经过筛选后，其中关联程度较高的有 20项如表 10，也就是 A、 B、示稽核等级较佳的券商达成明确 订定安全管理条文及罚责等 20项稽核项目的比率愈高。 表 10 稽核项目与稽核等级的交叉分析表 交叉项目 卡方值 一般性 明确的安全管理条文及罚责 对客户的帐号密码与交易资料，有安全相关条例来加强规范管理 检查网路运作及伺服器操作状况，侦测线路 /数据机错误 检查公司对外拨接线路或网路通道是否安全 身分验证 在登录不同系统譬如线上交易统和即时报价系统时，使用不同密码 明确告知客户，注意保管密码避免外泄 定期或不定期提示更改密码 有书面的密码发行及维护程序 当线上下单相关人员职务变更或停职时，其所属帐号密码应立刻删除 线上下单相关人员严禁使用同一个密码 系统安全 贵卷商的线上下单交易系统的开发方式为 当离开电脑时，需将橱柜上锁并清除所有工作资料，避免被别人看见 有关线上下单交易的系统文件列为机密文件来管理 有硬体失败的记录档 备份规划 高阶主管定期检视资料备份计划 有书面的资料备份程序 有书面的资料复原程序 软/硬体备份 有备用网路以便在网路中断时可替代使用 有备份客户帐号资料与密码档 每年定期有资料备份演练 定期对备份资料做读取测试 帐号密码档和交易资料档等重要档案的备份放在保管室或保险箱中 注： *表 =. 05， *表 =. 01 五、等级差异表 为了更进一步了解不同等级之间的差异，作为券商将来改善的参考，于是另外针对等级 A、 B 与稽核项目作