編章節內容

名  稱:

證券暨期貨市場各服務事業資通系統安全防護基準參考指引 

修正日期: 民國 113 年 01 月 09 日
主題分類: 資訊作業
   第 八 章 系統與資訊完整性
第 23 條
(漏洞修復)
一、組織對於資通系統之漏洞檢測應以全部資訊資產為原則,漏洞修復應
    測試有效性及潛在影響,並定期更新。
二、組織應定期確認資通系統相關漏洞修復之狀態,應針對所發現漏洞之
    風險高低及是否對外提供服務,設定修補期限,未修補前應加強防護
    及異常偵測,以確保弱點管理之即時性及有效性。
第 24 條
(資通系統監控)
一、如發現資通系統有被入侵跡象時,應通報組織特定人員。
二、組織應監控核心系統,以偵測攻擊與未授權之連線,並識別資通系統
    之未授權使用,非核心系統宜進行監控。
三、核心系統宜採用自動化工具監控進出之通信流量,並於發現不尋常或
    未授權之活動時,針對該事件進行分析。
第 25 條
(軟體及資訊完整性)
一、核心系統應使用完整性驗證工具,以偵測未授權變更特定軟體及資訊
    ,非核心系統宜使用完整性驗證工具。
二、核心系統使用者輸入資料合法性檢查應置放於應用系統伺服器端。
三、資通系統發現於違反完整性時,應實施組織指定之安全保護措施。
四、第一類組織之核心系統宜定期執行軟體與資訊完整性檢查。
第 26 條
(個人資料保護)
一、為維護所保有個人資料之安全,應採取下列資料安全管理措施:
(一)訂定各類設備或儲存媒體之使用規範,及報廢或轉作他用時,應採
      取防範資料洩漏之適當措施。
(二)針對所保有之個人資料內容,有加密之需要者,於蒐集、處理或利
      用時,採取適當之加密措施。
(三)作業過程有備份個人資料之需要時,對備份資料予以適當保護。
二、保有個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路
    晶片、電腦、自動化機器設備或其他媒介物者,應採取下列設備安全
    管理措施:
(一)實施適宜之存取管制。
(二)訂定妥善保管媒介物之方式。
(三)依媒介物之特性及其環境,建置適當之保護設備或技術。
三、為維護所保有個人資料之安全,應依執行業務之必要,設定相關人員
    接觸個人資料之權限及控管其接觸情形,並與所屬人員約定保密義務
    。
四、應針對核心系統及各類電腦系統確認所保有之個人資料進行風險評估
    及控管。
五、應針對核心系統及各類電腦系統建置留存個人資料使用稽核軌跡(如
    登入帳號、系統功能、時間、系統名稱、查詢指令或結果)或辨識機
    制,以利個人資料外洩時得以追蹤個人資料使用狀況。
六、應建立資料外洩防護機制,管制個人資料檔案透過輸出入裝置、通訊
    軟體、系統操作複製至網頁或網路檔案等方式傳輸,並應留存相關紀
    錄、軌跡及證據。
七、如刪除、停止處理或利用所保有之個人資料後,應留存下列紀錄:
(一)刪除、停止處理或利用之方法、時間。
(二)將刪除、停止處理或利用之個人資料移轉其他對象者,其移轉之原
      因、對象、方法、時間,及該對象蒐集、處理或利用之合法依據。