金融監督管理委員會　裁處書 
受文者：如正副本
發文日期：中華民國113年4月26日
發文字號：金管證券罰字第1120365705號
受處分人：遠智證券股份有限公司
營利事業統一編號：略
地址：略
代表人或管理人姓名：劉○○
地址：略
主旨：依證券交易法第178之1條第1項第4款規定核處受處分人罰鍰新臺幣30萬元。
事實：財團法人中華民國證券櫃檯買賣中心(下稱櫃買中心)於112年9月25日至28日對受處分人進行資通安全例行查核，發現受處分人有違反證券商資訊安全相關管理規範情事，顯示受處分人未落實執行內部控制制度，核已違反證券商管理規則第2條第2項規定。
理由及法令依據：
一、依證券商管理規則第2條第2項規定，證券商業務之經營，應依法令、章程及所建立內部控制制度為之。復依證券交易法第178條之1第1項第4款規定，證券商未確實執行內部控制制度者，處新臺幣30萬元以上600萬元以下罰鍰。
二、櫃買中心於112年9月25日至28日對受處分人進行查核，發現有下列缺失事項：
(一)受處分人伺服器主機、個人電腦及筆記型電腦最近一次安全性更新紀錄，部分資訊系統未能定期修補作業系統之安全漏洞(如: OPS系統主機feisap01、人資系統主機SMARTMAN、日誌系統主機及DHCP系統主機)，違反證券商內部控制制度標準規範CC-17010網路安全管理(一)、2之規定。
(二)受處分人就停止支援服務之資訊設備，列有升級汰換計劃，惟尚未將Windows Server 2012(含R2)納入升級計劃，並評估對業務影響及因應措施，違反證券商內部控制制度標準規範CC-17010網路安全管理(一)、1之規定。
(三)受處分人每月盤點微軟作業系統AD、OPS系統及資料庫帳戶權限，惟尚未定期就線上資產查詢系統、非微軟作業系統(如:centos、ubuntu)及防火牆帳號權限進行盤點，違反證券商內部控制制度標準規範CC-18000存取控制(二)、7之規定。
(四)受處分人官網有提供客戶資產查詢功能，惟帳號登入尚未依規定採用多因子認證，違反證券商內部控制制度標準規範CC-17020電腦系統及作業安全管理(二)、7之規定。
(五)受處分人防火牆仍開放已無使用需求之規則(如編號9、編號100、編號136至141等)及高風險服務之規則(如編號9、100:檔案傳輸協定FTP、編號143:遠端連線Remote Desktop)，且尚未建立防火牆規則檢視原則，違反證券商內部控制制度標準規範CC-17010網路安全管理(二)、6之規定。
(六)受處分人防火牆管理者帳號密碼最近一次變更日期為107年11月16日，逾5年未變更，且密碼設定參數未依優質密碼原則設置及未限制連線來源，違反證券商內部控制制度標準規範CC-18000存取控制(三)、5之規定。
(七)受處分人AMT-NEW 主機及FEISFTP主機有最高權限帳號登入未留存申請使用紀錄之情形，違反證券商內部控制制度標準規範CC-17020電腦系統及作業安全管理(二)、5之規定。
三、上開缺失顯示受處分人未落實執行內部控制制度，核已違 反證券商管理規則第2條第2項規定，爰依證券交易法第 178條之1第1項第4款規定核處新臺幣30萬元罰鍰；另為加強受處分人作業風險承擔能力，依證券交易法第66條第5款規定，命令受處分人自有資本適足比率之作業風險約當金額應增加計提0.5倍，並於文到次月10日前完成作業風險資本計提之增加及計算資本適足比率與其影響數報會。受處分人於本案相關資安缺失完成改善並報經副本受文者櫃買中心審查同意後，得自次月起恢復原作業風險計提比率。
繳款方式：
一、繳款期限：自本處分送達之次日起10日內繳納。
二、請依（機關）檢附之繳款單注意事項辦理繳納。
注意事項：
一、受處分人如不服本處分，應於本處分送達之次日起30日內，依訴願法第58條第1項規定，繕具訴願書經由本會（新北市板橋區縣民大道二段7號18樓）向行政院提起訴願。惟依訴願法第93條第1項規定，除法律另有規定外，訴願之提起並不停止本處分之執行，受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者，即依行政執行法第4條第1項但書規定，移送法務部行政執行署各分署辦理行政執行。
正本：遠智證券股份有限公司(應受送達人代表人劉○○女士)
副本：臺灣證券交易所股份有限公司（代表人林修銘先生）、財團法人中華民國證券櫃檯買賣中心（代表人陳永誠先生）、中華民國證券商業同業公會（代表人陳俊宏先生）、本會證券期貨局主計室、證券期貨局秘書室、證券期貨局證券商管理組