金融監督管理委員會　裁處書

受文者：如正副本
發文日期：中華民國114年12月9日
發文字號：金管證券罰字第1140360444號
受處分人：凱基證券股份有限公司
營利事業統一編號：略
地址：略
代表人或管理人姓名：許OO
地址：略
主旨：依證券交易法第178條之1第1項第4款規定核處新臺幣30萬元罰鍰。
事實：本會檢查局於114年4月22日至5月9日對受處分人進行資通安全專案檢查，發現受處分人有違反證券商資訊安全相關管理規範情事，顯示受處分人未落實執行內部控制制度，核已違反證券商管理規則第2條第2項規定。
理由及法令依據：
一、依據證券商管理規則第2條第2項規定，證券商業務之經營，應依法令、章程及所建立內部控制制度為之。復依證券交易法第178條之1第1項第4款規定，證券商未確實執行內部控制制度者，處新臺幣30萬元以上600萬元以下罰鍰。
二、本會檢查局於114年4月22日至5月9日對受處分人進行資通安全專案檢查，發現受處分人有下列缺失事項：
(一)辦理特權帳號管理作業，有未依最小權限原則授權者，核未落實「中華民國證券商業同業公會資通系統安全防護基準自律規範」第3條第八款規定。
(二)辦理網路區隔及存取控制清單(ACL)定期檢視有欠妥適，核與「中華民國證券商業同業公會網路安全防護自律規範」第3條二(五)規定不符。
(三)應用系統變更管理，有下列事項欠妥：
１、提供網際網路下單服務之核心系統更新上架前，有未執行源碼掃描安全檢測者，核與臺灣證券交易所股份有限公司「建立證券商資通安全檢查機制」9(13)規定不符。
２、APP係由程序開發人員自行將所轉寫程式碼，編譯為iOS及Android系統之執行程序檔，且應用程式管理商店管理者帳號、包版用之憑證及電腦亦由程式開發人員持有，不利落實分工牽制原則，核與該公司所訂規定暨臺灣證券交易所股份有限公司「建立證券商資通安全檢查機制」8(2)h規定不符。
(四)辦理個人電腦最高權限及軟體安裝管理有下列事項欠妥：
１、未落實審核使用者之權責與長期取得個人電腦本機最高權限權限之必要性，並依最小授權原則授予權限，核違反「中華民國證券商業同業公會資通系統安全防護基準自律規範」第3條第八款規定。
２、112年及113年上半年辦理檢視公司個人電腦安裝資產清單及113年資通安全健診個人電腦軟體清單檢視報告，發現有安裝雲端空間軟體、通訊軟體及遠端存取軟體等所訂高風險軟體之情形，核與公司所訂規定不符。
三、上開缺失，顯示受處分人未落實執行內部控制制度，核已違反證券商管理規則第2條第2項規定，爰依證券交易法第178條之1第1項第4款規定核處新臺幣30萬元罰鍰。
繳款方式：
一、繳款期限：自本處分送達之次日起10日內繳納。
二、請依（機關）檢附之繳款單注意事項辦理繳納。
注意事項：
一、受處分人如不服本處分，應於本處分送達之次日起30日內，依訴願法第58條第1項規定，繕具訴願書經由本會（新北市板橋區縣民大道二段7號18樓）向行政院提起訴願。惟依訴願法第93條第1項規定，除法律另有規定外，訴願之提起並不停止本處分之執行，受處分人仍應繳納罰鍰。
二、受處分人如逾本處分所定繳款期限不繳納罰鍰者，即依行政執行法第4條第1項但書規定，移送法務部行政執行署各分署辦理行政執行。
正本：凱基證券股份有限公司（應受送達人：代表人許OO先生）
副本：臺灣證券交易所股份有限公司（代表人林OO先生）、財團法人中華民國證券櫃檯買賣中心（代表人簡OO先生）、中華民國證券商業同業公會（代表人陳OO先生）、金融監督管理委員會檢查局、本會證券期貨局(主計室)、證券期貨局(秘書室)、證券期貨局(證券商管理組)