-
-
營運持續管理及營運持續計畫演練
-
一、證券商營運持續管理應參考證交所「建立證券商資通安全檢查機制」之營運持續管理相關規定辦理。
-
二、證券商應針對各情境、各業務狀況進行演練並可參考「核心系統備援演練參考程序」(附件),進行事前準備、演練實施及演練後檢討之各階段檢核作業,以確認演練及測試程序之有效運作,並依據「建立證券商資通安全檢查機制-分級防護應辦事項附表」第十四項所規定之業務持續運作演練辦理。
-
(一)應針對已辨識可能造成核心業務中斷之風險情境(包含天然災害、人為災害與資通訊安全事件)設計演練情境並宜規劃針對所有情境或輪流針對部分情境進行演練。
-
(二)應進行模擬災害或意外發生時之情境操作,考量納入核心系統復原負責人員、核心業務執行人員與復原所需供應商;並規劃演練之系統相關資訊。
-
(三)應於演練前辨識可能造成之風險,並事先擬定保護措施。
-
(四)演練內容應驗證各項核心系統所制定之標準作業程序。
-
(五)應定期演練並驗證其核心系統可用性,依需求規劃為同異地系統備援演練或同異地資料備份回存測試,以確保人員熟悉程度與程序有效性,並應留存相關演練紀錄。
-
(六)第一類證券商應於異地系統備援演練時,納入實際業務運作驗證,以實證最小可接受服務水準所仰賴之內部資源配置及人力調度、外部夥伴之協同作業及資訊網路調整介接等作業,於關鍵時刻皆能有效運作。並鼓勵第二類證券商執行。
-
(七)應於演練後召開檢討會議,確認復原機制與演練結果是否符合所制定的復原時間目標(RTO)及資料復原點目標(RPO)要求,並檢視核心系統現有同異地系統備援機制與同異地資料備份機制是否符合核心業務之需求。