Docs | Eric 個人部落格

安全需求識別範本 Prompt 目標指導 AI 進行全面的安全需求分析，建立符合 SSDLC 標準的安全需求規格。角色設定你是一位資深資訊安全顧問，具備豐富的安全需求分析和威脅建模經驗，熟悉各種安全框架和標準。任務描述請協助我完成 {專案名稱} 的安全需求識別和分析工作。專案安全背景專案名稱: {填入專案名稱} 系統類型: {填入系統類型，如：Web應用、API服務、移動應用} 資料敏感度: {填入資料敏感度等級，如：公開、內部、機密、極機密} 合規要求: {填入相關法規或標準，如：GDPR、HIPAA、PCI-DSS} 威脅等級: {填入威脅等級評估，如：低、中、高、極高} 安全分析框架請按照以下結構進行安全需求分析： 1. 威脅建模分析資產識別與分類威脅行為者分析攻擊向量識別威脅情境建模 2. 風險評估威脅可能性評估影響程度分析風險等級計算風險處理策略 3. 安全控制需求預防性控制偵測性控制回應性控制復原性控制 4. 合規性需求法規要求分析標準符合性檢查稽核要求定義報告需求規劃 5. 資料保護需求資料分類要求資料生命週期保護隱私保護需求資料銷毀要求 6. 基礎設施安全網路安全要求主機安全要求應用程式安全雲端安全要求輸出格式 # {專案名稱} 安全需求規格文檔 ## 1. 威脅建模分析 ### 1.1 資產識別與分類 | 資產類型 | 資產名稱 | 機密性 | 完整性 | 可用性 | 業務影響 | |----------|----------|--------|--------|--------|----------| | 資料資產 | [資產名稱] | [高/中/低] | [高/中/低] | [高/中/低] | [影響描述] | | 系統資產 | [資產名稱] | [高/中/低] | [高/中/低] | [高/中/低] | [影響描述] | | 人員資產 | [資產名稱] | [高/中/低] | [高/中/低] | [高/中/低] | [影響描述] | ### 1.2 威脅行為者分析 #### 威脅行為者: [行為者類型] **動機:** [攻擊動機] **能力等級:** [初級/中級/高級/專家] **攻擊手法:** [常用攻擊方法] **目標資產:** [主要攻擊目標] ### 1.3 威脅情境 #### 威脅情境 ID: T001 **威脅名稱:** [威脅名稱] **威脅描述:** [詳細描述] **攻擊路徑:** [攻擊步驟] **影響資產:** [受影響的資產] **可能性:** [很低/低/中/高/很高] **影響程度:** [輕微/低/中/高/嚴重] ## 2. 風險評估 ### 2.1 風險矩陣 | 威脅ID | 威脅名稱 | 可能性 | 影響程度 | 風險等級 | 處理策略 | |--------|----------|--------|----------|----------|----------| | T001 | [威脅名稱] | [評分] | [評分] | [風險等級] | [接受/減輕/轉移/避免] | ### 2.2 高風險項目處理計畫 #### 風險ID: R001 **風險描述:** [風險說明] **處理策略:** [減輕措施] **負責人員:** [負責人] **預計完成時間:** [時間] **成功標準:** [衡量指標] ## 3. 安全控制需求 ### 3.1 身份驗證與授權 **需求ID:** AC001 **控制目標:** 確保只有經過驗證的使用者能夠存取系統 **實作要求:** - 多因子驗證 (MFA) - 強密碼政策 - 帳戶鎖定機制 - Session 管理 **測試方法:** [測試步驟] **符合標準:** [相關標準條款] ### 3.2 資料加密 **需求ID:** CR001 **控制目標:** 保護敏感資料的機密性 **實作要求:** - 傳輸中加密 (TLS 1.3) - 靜態資料加密 (AES-256) - 金鑰管理機制 - 加密強度要求 **測試方法:** [測試步驟] **符合標準:** [相關標準條款] ### 3.3 安全監控 **需求ID:** MN001 **控制目標:** 即時偵測安全事件 **實作要求:** - 安全事件記錄 - 異常行為偵測 - 即時告警機制 - 事件關聯分析 **測試方法:** [測試步驟] **符合標準:** [相關標準條款] ## 4. 合規性需求 ### 4.1 法規要求對照表 | 法規名稱 | 條款編號 | 要求內容 | 對應控制措施 | 實作狀態 | |----------|----------|----------|--------------|----------| | [法規名稱] | [條款] | [要求說明] | [控制措施] | [待實作/已實作] | ### 4.2 稽核要求 **稽核頻率:** [年度/季度/月度] **稽核範圍:** [稽核項目清單] **稽核標準:** [依據的標準或框架] **報告要求:** [報告格式和提交時間] ## 5. 資料保護需求 ### 5.1 資料分類標準 | 分類等級 | 標籤 | 存取控制 | 處理要求 | 保存期限 | |----------|------|----------|----------|----------| | 公開 | Public | [控制要求] | [處理方式] | [保存期限] | | 內部 | Internal | [控制要求] | [處理方式] | [保存期限] | | 機密 | Confidential | [控制要求] | [處理方式] | [保存期限] | | 極機密 | Top Secret | [控制要求] | [處理方式] | [保存期限] | ### 5.2 隱私保護要求 **個人資料處理原則:** - 合法性和透明度 - 目的限制原則 - 資料最小化原則 - 準確性維護 - 保存期限限制 - 完整性和機密性 ## 6. 基礎設施安全需求 ### 6.1 網路安全 - 網路分段和隔離 - 防火牆和入侵防護 - DDoS 防護機制 - 網路流量監控 ### 6.2 應用程式安全 - 安全編碼實務 - 輸入驗證機制 - 輸出編碼處理 - 錯誤處理機制 ### 6.3 雲端安全 (如適用) - 雲端服務安全配置 - 資料隔離要求 - 存取控制管理 - 雲端監控要求威脅建模工具建議 STRIDE 分析框架 Spoofing (偽裝): 身份偽造威脅 Tampering (竄改): 資料完整性威脅 Repudiation (否認): 不可否認性威脅 Information Disclosure (資訊洩露): 機密性威脅 Denial of Service (拒絕服務): 可用性威脅 Elevation of Privilege (特權提升): 授權威脅 PASTA 方法論定義目標 (Define Objectives) 技術範圍定義 (Define Technical Scope) 應用程式分解 (Application Decomposition) 威脅分析 (Threat Analysis) 弱點分析 (Vulnerability Analysis) 攻擊建模 (Attack Modeling) 風險影響分析 (Risk Impact Analysis) 品質檢查清單完整的資產識別和分類全面的威脅情境分析定量化的風險評估具體的安全控制措施明確的合規性對照詳細的資料保護要求可測試的安全需求可追溯的需求編號使用範例範例：電子商務平台安全需求威脅情境範例威脅ID: T001 威脅名稱: SQL 注入攻擊威脅描述: 攻擊者透過惡意 SQL 語句存取資料庫攻擊路徑: ...

業務需求收集範本 Prompt 目標協助 AI 理解如何進行系統性的業務需求收集，產生完整的業務需求文檔。角色設定你是一位資深業務分析師，具備豐富的需求收集經驗，能夠透過結構化的方法收集、分析和文檔化業務需求。任務描述請協助我完成 {專案名稱} 的業務需求收集工作。專案背景資訊專案名稱: {填入專案名稱} 專案類型: {填入專案類型，如：Web應用、移動應用、桌面應用等} 目標使用者: {填入目標使用者群體} 業務領域: {填入業務領域，如：電商、金融、教育等} 專案規模: {填入專案規模，如：小型、中型、大型} 具體要求請按照以下結構產生業務需求文檔： 1. 專案概述專案目標與願景成功標準定義專案範圍界定主要限制條件 2. 利害關係人分析識別所有利害關係人分析各利害關係人的需求和期望定義利害關係人的影響力和重要性建立溝通策略 3. 業務流程分析現有業務流程描述問題點識別改善機會分析未來流程設計 4. 功能需求概述核心功能列表次要功能列表可選功能列表功能優先級排序 5. 業務規則業務邏輯規則驗證規則計算規則工作流程規則 6. 資料需求主要資料實體資料關係資料品質要求資料安全要求輸出格式請使用以下 Markdown 格式輸出： # {專案名稱} 業務需求文檔 ## 1. 專案概述 ### 1.1 專案目標與願景 [詳細描述] ### 1.2 成功標準 [具體的、可測量的成功標準] ### 1.3 專案範圍 [明確的範圍界定] ### 1.4 限制條件 [技術、時間、預算等限制] ## 2. 利害關係人分析 ### 2.1 利害關係人清單 | 角色 | 姓名/部門 | 需求/期望 | 影響力 | 重要性 | |------|----------|----------|--------|--------| | [角色] | [姓名] | [需求] | [高/中/低] | [高/中/低] | ### 2.2 溝通策略 [溝通方式和頻率] ## 3. 業務流程分析 ### 3.1 現有流程 [流程描述或流程圖] ### 3.2 問題分析 [問題點列表及影響分析] ### 3.3 改善建議 [具體改善方案] ## 4. 功能需求概述 ### 4.1 核心功能 - [功能1]: [描述] - [功能2]: [描述] ### 4.2 次要功能 - [功能1]: [描述] - [功能2]: [描述] ### 4.3 功能優先級 | 功能 | 優先級 | 理由 | |------|--------|------| | [功能] | [高/中/低] | [理由] | ## 5. 業務規則 ### 5.1 業務邏輯規則 - [規則1]: [描述] - [規則2]: [描述] ### 5.2 驗證規則 - [規則1]: [描述] - [規則2]: [描述] ## 6. 資料需求 ### 6.1 資料實體 - [實體1]: [屬性列表] - [實體2]: [屬性列表] ### 6.2 資料品質要求 - 準確性: [要求] - 完整性: [要求] - 一致性: [要求] 品質檢查清單請確保產生的文檔包含以下要素： ...

專案 Review 指引文件版本： 1.1 更新日期： 2025年8月29日適用對象：部門主管文件性質：專案管理指引 📑 目錄 1. 文件目的與重要性 1.1 為什麼主管需要做專案 Review？ 1.2 主管在專案治理中的角色與責任策略指導者 (Strategic Advisor) 資源協調者 (Resource Coordinator) 風險監督者 (Risk Supervisor) 績效推動者 (Performance Driver) 💡 實務案例 2. 專案 Review 的流程與步驟 2.1 準備階段 (Preparation Phase) Step 1: 收集專案資訊 Step 2: 建立檢視清單 Step 3: 預備會議安排 2.2 審查階段 (Review Phase) 2.2.1 進度審查 (Schedule Review) 2.2.2 成本審查 (Cost Review) 2.2.3 品質審查 (Quality Review) 2.2.4 風險與議題審查 (Risk & Issue Review) 2.2.5 資源與團隊審查 (Resource & Team Review) 2.3 討論與回饋階段 (Discussion & Feedback Phase) 2.3.1 主持有效會議的技巧 2.3.2 提出建設性建議的方法 2.4 後續跟進 (Follow-up Phase) 2.4.1 改進措施追蹤 2.4.2 Review 結果記錄 3. 專案 Review 的重點檢核項目 3.1 專案目標與商業價值對齊程度 3.2 進度與里程碑狀況 3.3 成本與預算控管 3.4 風險與議題管理 3.5 品質保證與測試狀況 3.6 資源配置與團隊狀態 3.7 利害關係人溝通與滿意度 4. 最佳實務與常見錯誤 4.1 主管應如何提供支持而不是微觀管理 4.2 常見的 Review 誤區誤區一：只看數字，忽略背後原因誤區二：不關注風險，只處理已發生的問題誤區三：不給具體行動建議，只提出批評 4.3 有效的提問與引導技巧 5. 範例與工具 5.1 專案 Review 問題清單快速診斷問題清單 (10分鐘版本) 深度檢視問題清單 (完整版本) 5.2 Review 報告範例格式 5.3 可用的專案管理工具進度追蹤工具儀表板工具溝通協作工具工具選擇建議 5.4 數位化 Review 流程與自動化自動化報告生成即時監控儀表板 AI 輔助分析 5.5 不同專案類型的 Review 調整敏捷專案 Review 指引傳統瀑布式專案 Review 混合型專案管理方法 6. 進階主題 6.1 跨文化與遠距團隊的 Review 管理 6.2 大型複雜專案的多層級 Review 6.3 專案組合管理中的 Review 協調 6.4 危機情況下的緊急 Review 程序 7. 結語 7.1 透過持續 Review 建立部門專案治理文化 7.2 將 Review 作為溝通與提升團隊的機會 7.3 最終建議 7.4 持續改善與學習機制附錄：專案 Review 檢查清單 (Checklist) A. Review 會議前準備清單 B. Review 會議進行清單 C. Review 會議後跟進清單 D. 專案健康度快速檢查清單 1. 文件目的與重要性 1.1 為什麼主管需要做專案 Review？專案 Review 是確保專案成功的關鍵管控機制，對新進部門主管而言具有以下重要性： ...

專案品質管理指引目錄品質管理的重要性與目標 1.1 品質管理的定義 1.2 品質管理的重要性 1.3 品質管理目標 1.4 實務案例品質規劃流程 2.1 品質規劃概述 2.2 品質規劃輸入 2.3 品質規劃工具與技術 2.4 品質規劃輸出 2.5 實務案例品質保證流程 3.1 品質保證概述 3.2 品質保證活動 3.3 品質保證工具 3.4 品質保證輸出 3.5 實務案例品質控制流程 4.1 品質控制概述 4.2 品質控制活動 4.3 品質控制工具與技術 4.4 品質控制輸出 4.5 實務案例常用品質工具與方法 5.1 七大品質工具 5.2 軟體品質分析工具 5.3 測試工具與框架 5.4 品質量測工具 5.5 工具選擇指南專案品質指標範例 6.1 品質指標設計原則 6.2 開發階段品質指標 6.3 測試階段品質指標 6.4 維運階段品質指標 6.5 指標監控與報告品質稽核流程 7.1 品質稽核概述 7.2 稽核類型與方法 7.3 品質稽核準備 7.4 品質稽核執行 7.5 稽核發現與報告 7.6 矯正行動與追蹤 7.7 實務案例銀行系統專案品質管控實務案例 8.1 案例背景：數位金融平台建置專案 8.2 品質管理策略 8.3 品質活動實施 8.4 品質挑戰與解決方案 8.5 成果與經驗分享常見問題與解法 9.1 品質規劃階段常見問題 9.2 品質保證階段常見問題 9.3 品質控制階段常見問題 9.4 組織與文化問題 9.5 工具與技術問題附錄：檢核清單範例 10.1 品質規劃檢核清單 10.2 程式碼審查檢核清單 10.3 測試執行檢核清單 10.4 上線前檢核清單參考資料與延伸閱讀 11.1 專案管理相關資源 11.2 品質管理相關資源 11.3 軟體工程相關資源 11.4 測試相關資源 11.5 工具與技術資源 11.6 線上社群與討論區 11.7 實務案例研究 11.8 持續學習建議品質管理成熟度評估 ...

專案啟動流程指引文件資訊版本：1.1 建立日期：2025年8月13日最後更新：2025年8月29日適用對象：新進專案經理（0-2年經驗）專案類型：系統開發、基礎架構升級、法遵專案目錄專案啟動流程概述 1.1 定義與目標 1.2 專案啟動的重要性 1.3 專案啟動五大階段專案啟動流程詳細說明 2.1 階段一：專案立案 2.2 階段二：需求初步確認 2.3 階段三：組建核心團隊 2.4 階段四：專案規劃啟動 2.5 階段五：正式啟動會議專案啟動流程總覽表 3.1 流程階段彙整表 3.2 關鍵決策點與升級機制專案啟動文件範本結構 4.1 專案授權書（Project Charter）範本 4.2 專案啟動會議議程範本 4.3 專案啟動會議議程範例成功專案啟動的五大關鍵建議專案啟動常見問題與解決方案專案啟動成功指標與評估標準數位化工具與技術應用法規遵循與資安要求參考資料與延伸學習附錄：版本更新記錄 1. 專案啟動流程概述 1.1 定義與目標專案啟動階段是專案生命週期的第一個階段，目標是正式授權專案開始並為專案成功奠定基礎。這個階段將確定專案範圍、目標、利害關係人，並獲得必要的資源承諾。 1.2 專案啟動的重要性建立共識：確保所有利害關係人對專案目標有一致理解設定期望：明確定義專案成功標準與交付物風險預防：及早識別潛在風險與限制條件資源確保：獲得必要的人力、時間與預算承諾 1.3 專案啟動五大階段 graph LR A[專案立案] --> B[需求初步確認] B --> C[組建核心團隊] C --> D[專案規劃啟動] D --> E[正式啟動會議] 2. 專案啟動流程詳細說明 2.1 階段一：專案立案工作內容撰寫或審核專案提案書進行初步可行性評估確認專案商業價值與對齊策略申請專案預算與資源負責角色主要負責：專案發起人（Project Sponsor）協助角色：業務單位主管、IT部門主管支援角色：財務部門、法務部門輸出成果（Deliverables）專案提案書（Project Proposal）商業案例文件（Business Case）初步預算評估報告專案授權書（Project Charter）草案關鍵檢核點專案與企業策略目標一致商業效益清楚量化預算範圍獲得初步認可高階主管支持確認常見風險與應對風險項目風險等級應對措施商業案例不夠明確高重新檢視需求與效益，補強分析預算評估過於樂觀中加入10-20%風險緩衝利害關係人支持不足高加強溝通，重新爭取支持實務案例情境說明：某銀行要開發新的數位帳戶開戶系統 ...

專案溝通管理指引版本：2.0 建立日期：2025年8月13日最後更新：2025年8月29日適用對象：新進專案經理、專案團隊成員文件性質：內部培訓教材目錄目的與重要性溝通目標溝通角色與責任溝通計畫溝通紀錄與追蹤機制衝突與異議處理溝通成效評估方式數位化溝通工具與技術危機溝通管理跨文化與遠程溝通溝通技巧培訓與發展最佳實務案例附錄：溝通模板與檢核表參考資料 1. 目的與重要性 1.1 指引目的本指引旨在提供新進專案經理一套完整且實用的溝通管理框架，協助：標準化溝通流程：建立一致的溝通標準與流程提升溝通效率：確保資訊正確、及時傳達給相關干係人降低專案風險：透過有效溝通預防和解決潛在問題增進團隊協作：促進跨部門協作與資訊透明化 1.2 溝通管理的重要性根據 PMI（專案管理協會）統計： 90% 的專案經理時間用於溝通 57% 的專案失敗源於溝通不良 75% 的專案干係人問題可透過有效溝通避免 1.3 金融業溝通特性在銀行與金融業專案中，溝通管理具備以下特殊性：法規合規性：須符合金管會、央行等監管要求風險敏感性：任何資訊錯誤可能造成重大損失多方干係人：涉及內部部門、外部供應商、稽核單位等資訊安全性：需要特別注意敏感資訊的保護 1.4 實務案例案例：核心銀行系統升級專案問題：IT部門與業務部門對需求理解不一致影響：專案延遲 3 個月，預算超支 20% 解決：建立每週跨部門會議機制，統一需求文件格式結果：後續階段準時完成，干係人滿意度提升至 85% 2. 溝通目標 2.1 主要溝通目標專案溝通管理應達成以下核心目標： 2.1.1 資訊透明化即時性：關鍵資訊在 24 小時內傳達準確性：資訊正確率達 95% 以上完整性：涵蓋所有相關干係人 2.1.2 決策效率化決策時效：一般決策 3 個工作日內完成決策品質：基於充分且正確的資訊決策追蹤：建立決策執行狀況追蹤機制 2.1.3 風險控制化風險預警：建立風險資訊快速通報機制問題解決：問題發生後 48 小時內提出解決方案經驗傳承：建立知識管理與分享機制 2.2 階段性溝通目標 2.2.1 專案啟動階段目標設定：確保所有干係人了解專案目標與範圍團隊建立：建立有效的團隊溝通機制期望管理：統一干係人對專案的期望 2.2.2 規劃階段需求確認：確保需求完整且被正確理解計畫共識：獲得所有干係人對專案計畫的認同資源協調：確保資源分配的透明化 2.2.3 執行階段進度追蹤：定期更新專案執行狀況問題處理：快速識別並處理專案問題變更管理：有效溝通專案變更事項 2.2.4 監控階段績效報告：定期提供專案績效資訊品質保證：確保溝通品質符合標準風險監控：持續監控並溝通風險狀況 2.2.5 收尾階段成果交付：確保交付成果被正確理解經驗總結：收集並分享專案經驗教訓關係維護：維持良好的干係人關係 2.3 溝通目標衡量指標指標類別具體指標目標值衡量方式時效性緊急事件回應時間 < 2 小時事件日誌記錄準確性資訊錯誤率 < 5% 月度資訊稽核覆蓋性干係人參與率 > 90% 會議出席統計滿意度溝通滿意度評分 > 4.0/5.0 季度滿意度調查 2.4 實務提醒 ⚠️ 注意事項： ...

專案管理指引目錄專案管理概述專案生命週期與階段管理專案啟動階段專案規劃階段專案執行階段專案監控階段專案收尾階段風險管理溝通與會議管理文件與報告管理品質管理採購與供應商管理人力資源管理利害關係人管理專案整合管理敏捷專案管理專案管理成熟度附錄：範例與模板 1. 專案管理概述 1.1 專案管理定義專案管理是運用知識、技能、工具與技術於專案活動，以滿足專案需求的管理過程。對於金融 IT 專案而言，更需要嚴格遵循 SSDLC（安全軟體開發生命週期）規範。 1.2 專案管理核心原則明確的目標設定：每個專案都必須有清楚、可衡量的目標時程與資源控管：有效管理時間、人力、預算等資源品質保證：確保交付成果符合既定標準風險管控：主動識別、評估與應對專案風險持續溝通：建立有效的溝通機制與管道 1.3 專案管理五大流程群組啟動（Initiating）：定義專案範圍與目標規劃（Planning）：制定詳細執行計畫執行（Executing）：實際進行專案工作監控（Monitoring & Controlling）：追蹤進度並進行調整收尾（Closing）：完成專案並進行經驗傳承 1.4 金融 IT 專案特色高度安全性要求（須符合金管會、國際標準）嚴格的法規遵循（如個資法、洗錢防制法）複雜的系統整合需求 24/7 營運環境的穩定性要求大量的測試與驗證程序實務案例某銀行數位帳戶開發專案，專案經理運用 Agile 方法論，將 12 個月的專案分為 6 個 Sprint，每個 Sprint 2 個月。透過每日站立會議、Sprint 回顧會議等機制，成功在預定時程內上線，並獲得客戶滿意度 95% 的佳績。 2. 專案生命週期與階段管理 2.1 專案生命週期概述專案生命週期是從專案啟動到結束的完整過程，每個階段都有特定的目標、活動與交付成果。 ...

專案風險管理指引目錄 1. 專案風險管理的定義與重要性 1.1 定義 1.2 風險管理的核心概念 1.3 為什麼風險管理很重要 1.4 金融 IT 專案的風險特性 1.5 實務案例 2. 風險分類 2.1 技術風險 2.2 管理風險 2.3 外部風險 2.4 合規風險 2.5 實務案例 3. 風險識別方法 3.1 概述 3.2 訪談法 3.3 檢核表法 3.4 歷史資料分析法 3.5 其他識別方法 3.6 風險識別的組織與文件化 3.7 實務案例 4. 風險評估 4.1 風險評估概述 4.2 風險機率評估 4.3 風險影響評估 4.4 風險優先級矩陣 4.5 定量風險分析 4.6 風險評估工具與技術 4.7 風險評估文件化 4.8 實務案例 5. 風險應對策略 5.1 風險應對策略概述 5.2 規避策略 5.3 轉移策略 5.4 減輕策略 5.5 接受策略 5.6 風險應對計畫制定 5.7 風險應對策略選擇原則 5.8 實務案例 6. 風險監控與更新流程 6.1 風險監控概述 6.2 風險監控機制 6.3 風險監控工具 6.4 風險更新流程 6.5 風險溝通管理 6.6 風險學習與改善 6.7 實務案例 7. 附錄：風險登錄表模板與範例 7.1 風險登錄表模板 7.2 不同風險類型範例 7.3 風險評估工作表 7.4 風險應對計畫範本 8. 風險管理工具與技術 9. 風險管理最佳實務 10. 常見問題與解答參考資料 1. 專案風險管理的定義與重要性 1.1 定義專案風險管理是指在專案生命週期中，系統性地識別、分析、評估、應對和監控可能影響專案目標達成的不確定性事件或條件的管理過程。 ...

敏捷專案管理指引目錄前言敏捷專案管理核心原則常用敏捷方法敏捷專案管理流程敏捷工具與實務應用敏捷專案管理在銀行系統的特別注意事項常見問題與解決策略（FAQ）結論與建議參考資料前言敏捷專案管理的定義與重要性敏捷專案管理（Agile Project Management）是一種以人為本、迭代式、增量式的專案管理方法論。它強調：適應變化：擁抱需求變更，而非抗拒變化快速交付：透過短週期迭代，頻繁交付可用的軟體或產品客戶協作：與客戶密切合作，持續獲得回饋團隊自主：授權團隊自我組織和決策為什麼敏捷專案管理很重要？市場快速變化：現今金融科技環境瞬息萬變，傳統瀑布式開發無法及時回應客戶期望提升：客戶期待更快的上市時間和更高的產品品質技術複雜度增加：現代系統整合度高，需要靈活的開發方式法規環境變動：金融業法規頻繁更新，需要敏捷的回應機制與傳統瀑布式開發的差異比較項目瀑布式開發敏捷開發開發流程線性、順序性迭代式、增量式需求變更後期變更成本高昂擁抱變更，持續調整客戶參與專案初期和結尾整個開發過程交付頻率專案結束時一次交付每2-4週交付一次風險管控後期才發現問題早期發現，快速調整文件重點詳盡的文件可用的軟體團隊結構階層化管理自我組織團隊實務案例某銀行數位轉型專案原採瀑布式開發，18個月後才發現市場需求已改變。改採敏捷開發後，每3週展示一次成果，第6個月就推出MVP（最小可行產品），成功搶占市場先機。敏捷專案管理核心原則 Agile Manifesto 四大價值敏捷宣言（Agile Manifesto）於2001年發布，奠定了敏捷開發的核心價值觀： 1. 個體與互動重於流程與工具重點：人是專案成功的關鍵，良好的溝通比完美的工具更重要實務應用：每日站會面對面溝通建立開放的工作環境鼓勵團隊成員直接對話 2. 可用的軟體重於詳盡的文件重點：以交付可用的產品為目標，而非完美的文件實務應用：專注於核心功能的實現文件簡潔明瞭，以必要為準透過實際產品驗證需求 3. 客戶協作重於合約談判重點：與客戶建立夥伴關係，共同創造價值實務應用：客戶參與每次Sprint回顧定期收集客戶回饋調整產品方向以符合客戶真實需求 4. 回應變化重於遵循計劃重點：靈活回應市場和需求變化實務應用：定期評估和調整專案優先級建立彈性的開發架構預留緩衝時間應對變更敏捷十二項原則最高優先級：透過早期和持續交付有價值的軟體來滿足客戶歡迎需求變更：即使在開發後期也歡迎需求變更頻繁交付：頻繁地交付可用的軟體，從幾週到幾個月協同工作：業務人員和開發者必須在整個專案中每天協同工作激發個體：圍繞被激發的個體構建專案，給他們所需的環境和支持面對面溝通：在開發團隊中最有效的溝通方式是面對面的交談可用軟體：可用的軟體是衡量進度的主要標準可持續發展：敏捷流程提倡可持續的開發速度技術卓越：持續關注技術卓越和良好設計會增強敏捷性簡潔：簡潔——最大化未完成工作量的技藝——至關重要自組織團隊：最好的架構、需求和設計來自自組織團隊定期調整：團隊定期反思如何能變得更有效，然後調整行為在金融/銀行專案中的適用性說明適用場景數位化轉型專案：線上銀行、行動APP開發法規遵循系統：需要快速回應法規變更客戶體驗改善：根據客戶回饋持續優化創新產品開發：新金融商品或服務的探索注意事項法規要求：某些文件和審查流程不可省略安全考量：資安測試和稽核需要充分時間風險管控：金融業對風險敏感，需要適當的控制點合規性：確保敏捷實踐符合內控制度實務案例某區域銀行開發客戶關係管理系統，採用Scrum方法： ...

金融專案合規要求手冊版本資訊版本: 1.1 發布日期: 2025年8月29日適用對象: 新進專案經理、資深專案經理、系統開發團隊審核狀態: 更新版目錄金融專案中常見的合規要求概述主要法規與標準（國內/國際）專案生命周期各階段的合規檢查清單專案文件與紀錄保存要求風險管理與稽核應對案例示例與常見錯誤新興技術與合規挑戰跨部門協作與溝通機制合規成本管理與效益分析數位轉型專案特殊考量附錄：合規檢查清單附錄：合規工具與模板 1. 金融專案中常見的合規要求概述 1.1 合規的重要性金融專案合規不僅是法律要求，更是維護機構聲譽、降低營運風險的核心要素。在當今嚴格的監管環境下，任何合規疏失都可能導致：法律責任：罰款、制裁、執照撤銷聲譽損失：客戶信任度下降、市場競爭力削弱財務損失：營運中斷、客戶流失、投資人信心下滑營運影響：系統重建、流程重新設計 1.2 金融專案特有的合規挑戰 1.2.1 資料敏感性個人資料保護：客戶身分資料、財務資訊交易資料：金流記錄、投資組合資訊內部資料：風險模型、定價策略 1.2.2 跨境監管多國法規：GDPR（歐盟）、CCPA（加州）、個資法（台灣）國際標準：Basel III、FATF建議、ISO 27001 監管機構：金管會、央行、銀行局 1.2.3 技術複雜性系統整合：核心銀行系統、風控系統、報表系統資料治理：資料品質、資料血緣、資料安全技術債務：舊系統維護、新舊系統共存 1.3 合規框架概念 1.3.1 三道防線模型 (Three Lines of Defense) 第一道防線：業務單位與營運管理日常風險管理內控制度執行前線合規檢查第二道防線：風險管理與合規單位政策制定風險監控合規查核第三道防線：內部稽核獨立驗證有效性評估改善建議 1.3.2 專案合規責任分工角色主要責任合規職責專案經理專案整體管控確保合規要求納入專案範圍業務分析師需求分析識別業務流程中的合規點系統架構師技術架構設計確保技術方案符合合規要求開發團隊系統開發落實合規控制點的程式實作測試團隊系統測試執行合規功能測試與驗證合規專員合規諮詢提供法規解釋與合規指導 1.4 大型專案 vs 中小型專案差異 1.4.1 大型專案特點專案規模：預算超過1億台幣、團隊超過50人、開發期程超過2年合規複雜度：涉及多項法規、跨國營運、多系統整合管理要求：設立專門的合規委員會聘請外部合規顧問建立完整的合規治理架構定期向董事會報告 1.4.2 中小型專案特點專案規模：預算5千萬台幣以下、團隊20人以下、開發期程1年以內合規複雜度：主要聚焦核心法規、單一系統或功能管理要求：指派合規聯絡人使用標準化合規檢查清單定期合規狀態報告重點關注關鍵合規節點 1.5 常見合規領域 1.5.1 資料保護與隱私適用法規：GDPR、個資法、銀行法關鍵要求：資料收集同意機制資料處理目的限制資料保存期限管理資料跨境傳輸控制 1.5.2 反洗錢與打擊資恐 (AML/CFT) 適用法規：洗錢防制法、資恐防制法、FATF建議關鍵要求：客戶盡職調查 (CDD) 加強客戶盡職調查 (EDD) 疑似洗錢交易申報 (STR) 制裁名單篩檢 1.5.3 網路安全適用法規：資通安全管理法、個資法、銀行法關鍵要求：資訊安全管理制度事件應變機制定期安全評估員工安全教育訓練 2. 主要法規與標準（國內/國際） 2.1 台灣金融法規 🇹🇼 2.1.1 核心法規銀行法主管機關：金融監督管理委員會適用對象：銀行業、信用合作社關鍵條文：第33條：銀行業務限制第45條：資本適足性要求第48條：業務查核與申報專案影響：系統功能設計須符合業務範圍限制個人資料保護法施行日期：2012年10月1日適用範圍：所有處理個人資料的公務機關及非公務機關關鍵要求：告知義務（第8條）資料正確性維護（第11條）安全維護措施（第27條）罰則：新台幣2萬元以上20萬元以下罰鍰洗錢防制法最新修正：2018年11月7日主要內容：金融機構防制洗錢辦法客戶盡職調查程序疑似洗錢交易申報系統要求：即時篩檢功能交易監控系統報告產製機制 2.1.2 監管指引金管會相關函令銀行業內部控制及稽核制度實施辦法金融機構防制洗錢辦法銀行業公司治理實務守則中央銀行規定外匯收支或交易申報辦法銀行業辦理外匯業務管理辦法 2.2 國際法規與標準 2.2.1 歐盟法規 GDPR (General Data Protection Regulation) 生效日期：2018年5月25日適用範圍：歐盟境內的資料處理向歐盟提供商品或服務監控歐盟境內個人行為關鍵原則：合法性、公平性、透明性目的限制資料最小化正確性保存期限限制完整性與機密性個人權利：存取權 (Right of Access) 更正權 (Right to Rectification) 刪除權 (Right to Erasure) 資料可攜權 (Right to Data Portability) 罰款：營業額4%或2,000萬歐元，取較高者 PSD2 (Payment Services Directive 2) 目的：促進歐盟支付服務創新與競爭關鍵要求：強客戶驗證 (SCA) 開放銀行 API 第三方支付服務提供者 (TPP) 規範 2.2.2 美國法規 SOX Act (Sarbanes-Oxley Act) 適用對象：美國上市公司關鍵要求：財務報告內控制度管理層證明責任外部稽核獨立性 CCPA (California Consumer Privacy Act) 生效日期：2020年1月1日適用範圍：處理加州居民個人資訊的企業消費者權利：知情權刪除權選擇退出權不歧視權 2.2.3 國際標準 Basel III 發布機構：巴塞爾銀行監理委員會 (BCBS) 主要內容：資本適足性要求流動性覆蓋率 (LCR) 淨穩定資金比率 (NSFR) 槓桿比率實施時程：2019-2027年分階段實施 ISO 27001 標準名稱：資訊安全管理系統要求事項認證效益：提升客戶信任符合法規要求降低安全風險關鍵流程： PDCA循環風險評估控制措施選擇持續改善 FATF 40項建議發布機構：金融行動工作組織涵蓋範圍： AML/CFT政策與協調洗錢與資恐犯罪化預防措施透明度與實質受益人權責機關權力國際合作 2.3 新興法規趨勢 2.3.1 數位資產相關歐盟 MiCA (Markets in Crypto-Assets Regulation) 美國數位資產框架台灣虛擬通貨管理規範 2.3.2 人工智慧與演算法歐盟 AI Act 演算法透明度要求 AI偏見防制 2.3.3 ESG與永續金融歐盟永續金融披露規則 (SFDR) 氣候相關財務揭露 (TCFD) 台灣永續分類標準 3. 專案生命周期各階段的合規檢查清單 3.1 專案啟動階段 (Project Initiation) 3.1.1 合規評估要點法規適用性分析識別適用法規：依據專案性質、地理範圍、客戶類型確認適用法規清單法規影響評估：評估各項法規對專案範圍、時程、成本的影響合規成本估算：預估合規相關的人力、系統、流程成本利害關係人識別監管機構：金管會、央行、銀行局等主管機關內部合規單位：法令遵循處、風險管理處、稽核處外部顧問：法律事務所、會計師事務所、合規顧問業務單位：相關業務部門、營運單位 3.1.2 必要文件準備專案章程 (Project Charter) # 專案合規聲明範例 ## 合規目標本專案承諾遵循以下法規要求： - 個人資料保護法 - 洗錢防制法 - 銀行法相關規定 - ISO 27001 資訊安全標準 ## 合規責任 - 專案經理：整體合規監督 - 合規專員：專業合規指導 - 開發團隊：落實合規控制點 ## 合規里程碑 - 需求分析階段：完成合規需求識別 - 設計階段：完成合規控制點設計 - 開發階段：完成合規功能開發 - 測試階段：完成合規測試驗證初步風險評估合規風險清單：識別潛在的合規風險點風險等級評估：高/中/低風險分級初步應對策略：風險規避、降低、轉移、接受 3.2 需求分析階段 (Requirements Analysis) 3.2.1 合規需求收集功能性合規需求資料保護功能 ...