為健全證券投資顧問業務之經營與發展，提升業者資安防護能量及意識與事件應變處理能力，維持業務永續經營及金融市場秩序，保障投資大眾權益，金管會爰於112年2月23日函囑本公司查核辦理基金電子交易平台銷售業務之投顧事業資通安全作業是否符合相關規定，並研議未來例行性查核機制報會。

為期查核相關作業順利達成，稽核室爰先行擬訂「辦理基金電子交易平台銷售業務之投顧事業資通安全查核計畫」，並依計畫時程分別完成各階段規劃工作：

一、查核前準備作業

(一)成立跨部室查核小組 鑑於查核投顧事業資通安全作業非屬本公司例行業務範疇，為因應金管會前揭交辦事項，稽核室爰與數位暨資安部及內部查核室具資安專業證照及背景同仁組成跨部室查核小組，共同執行本項查核工作。

(二)研討查核範圍、項目及制訂查核工作底稿 本案查核作業的首要任務即為研討制訂符合投顧事業屬性之查核範圍、項目及工作底稿等查核相關表單，查核小組成員在制訂過程中，藉由跨部室的研討及意見交流，更能掌握應當查核的範圍、項目及要點，從而確保查核作業的全面性和有效性。經參酌本公司及相關單位有關資通安全查核資料，以及ISO 27001資訊安全風險管理規範之控制措施，查核小組同仁在極短時間內完成擬定12項查核作業共64小項查核項目。

(三)查核行前教育訓練 為提升查核人員資通安全之專業知識及查核技巧，本公司邀請臺灣證券交易所券商輔導部具資通安全查核實務專長人員進行外部教育訓練。此外，並商請基金暨國際部及稽核室同仁經驗分享，俾查核人員於執行查核前，均能接受完整之教育訓練。

二、執行查核與經驗分享 本案自本年3月28日至4月14日，陸續完成三家投顧事業查核作業，並進行經驗分享及檢討，充分體現查中學，並於學習中精進專業知能的精神。本次查核發現資安缺失事項共計12項(如附圖)，提出優化之建議事項共計38項，三家受查單位均認為有助於渠等健全資安管理制度與完善風險管理體系。

查核行程結束後，4月19日總經理主持查核作業總結座談會。未來於辦理查核作業時，將依座談會之建議事項辦理，如有要求受查單位於一定期間內改善者，應考量業者可配合改善期間之可行性，及以例行查核方式辦理時，應視未來查核家數多寡，審酌適當之執行方式等意見，將有助於促進與業者的溝通，同時可提升查核效益。

三、查核結果及查核相關辦法草案陳報 依金管會指示研議未來例行性查核機制部分，本公司爰參採有關資通安全作業，以及金管會委託本公司查核股務單位股務作業相關法規，擬訂與查核投顧事業相關之「查核投顧事業資通安全作業辦法」、「查核投顧事業資通安全作業缺失追蹤考核及輔導要點」及「專案查核投顧事業資通安全作業及輔導要點」等三項作業草案，同時訂定「投顧事業資通安全作業查核手冊」。 本案從接獲指示至報會歷時約2個月，在首長的指導及跨部室同仁通力合作下，群策群力完成任務，充分展現本公司團隊合作的特質，除可落實金管會推動金融資安行動方案2.0政策，並檢視受查投顧事業法令遵循及整體資安防護作為，建構安全的服務發展環境，俾保障金融市場之秩序。