| 歷史名稱: |
建立證券商資通安全檢查機制(民國 111 年 09 月 06 日) |
| 歷次修正日期: |
|
|
2
|
2.資訊安全政策(CC-12000,年度查核)
(1) 公司應依據相關法令規定及公司業務需求,訂定資訊安全政策、資
訊作業之安全水準。
(2) 制訂資訊安全政策,應包括下列事項:
a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
b.資訊安全政策之解釋及說明,資訊安全之原則、標準以及員工應
遵守之相關規定。
c.推行資訊安全工作之組織、權責及分工。
d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明
。
(3) 公司所訂定之資訊安全政策,應經管理階層核准,並應正式發布要
求所有員工共同遵守,並轉知與公司連線作業之公私機關(構)、
提供資訊服務之廠商共同遵行。
(4) 公司訂定之資訊安全政策,應至少每年評估一次,以反映法令規章
、技術及業務等最新發展現況,確保資訊安全實務作業之有效性,
前開之評估工作應留存相關紀錄。
(5) 資訊安全政策之評估,應以獨立及客觀之方式進行,並由內部或委
託外部專業機構辦理。
(6) 公司每年應將前一年度資訊安全整體執行情形,由資訊安全長或負
責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「證
券暨期貨市場各服務事業建立內部控制制度處理準則」第二十四條
規定之內部控制制度聲明書,於會計年度終了後三個月內提報董事
會通過,並將該聲明書內容揭露於主管機關指定之申報網站。
(7) 公司應參考「建立證券商資通安全檢查機制- 分級防護應辦事項附
表」辦理資訊安全分級防護應辦事項。
(8) 公司應依其所屬資安分級辦理核心系統導入資訊安全管理系統,並
通過公正第三方之驗證,且持續維持驗證有效性。(111 年 1 月
底導入生效,112 年 1 月底驗證生效)
|
|
7
|
7.通訊與作業管理(CC-17000)
(1) 網路安全管理(CC-17010,適用網際網路下單證券商,另 a、b、e
項並適用於所有證券商,每月查核)
a.網路系統安全評估:
(a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器
、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。
(b)定期或適時修補網路運作環境及作業系統之安全漏洞(含伺服
器、攜帶型、個人端及營業處所內供投資人共用之電腦等),
並留存相關文件。
(c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵
事件、電腦防毒等)之事項應隨時對內部公告。
(d)各電腦主機、重要軟硬體設備應有專人負責。
(e)公司網路應依用途區分為 DMZ、營運環境、測試環境及其他環
境,並有適當區隔機制(如防火牆、虛擬區域網路、實體隔離
等)。
(f)個人資料及機敏資料應存放於安全的網路區域,不得存放於網
際網路等區域。
(g)系統應僅開啟必要之服務及程式,未使用之服務功能應關閉。
(h)公司應建立遠端連線管理辦法,對使用外部網路遠端連線至公
司內部作業進行控管,留存相關維護紀錄並由權責主管定期覆
核。
(i)公司應防止未經授權設備使用內部網路。
b.防火牆之安全管理:
(a)應建立防火牆。
(b)防火牆應有專人管理。
(c)防火牆進出紀錄及其備份應至少保存三年。
(d)重要網站及伺服器系統(如網路下單系統等)應以防火牆與外
部網際網路隔離。
(e)防火牆系統之設定應經權責主管之核准。
(f)公司應每年定期檢視並維護防火牆存取控管設定,並留存相關
檢視紀錄。
(g)公司交易相關網路直接連線之設備應避免使用危害國家資通安
全產品。
c.網路傳輸及連線安全管理:
(a)網路下單畫面應採加密方式(例如:SSL )處理。
(b)公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號嘗
試登入紀錄等進行監控及分析,發現有帳號登入異常情事(如
密碼輸入錯誤達三次、一定時間內大量帳號登入失敗、帳戶申
請或更新憑證下載異常),應即時了解異常原因,並留存相關
紀錄。
(c)公司提供網路下單服務,應於網路下單登入時採多因子認證方
式(例如:下單憑證、綁定裝置、OTP 、生物辨識等機制),
以確保為客戶本人登入。
d.CA 認證與憑證管理:
(a)網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
客戶申請或更新憑證下載,必須採用多因子(如:下單憑證、
綁定裝置、OTP 、生物辨識及 SIM 認證等)驗證方式,且與
登入帳戶時使用之因子不同,確實辨認客戶身分並留存紀錄。
(b)網路下單證券商應全面使用認證機制。
e.電腦病毒及惡意軟體之防範:
(a)應安裝防毒軟體,並及時更新程式及病毒碼。
(b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件
)。
(c)防毒應涵蓋個人端(含攜帶型及營業處所內供投資人共用之電
腦等)及網路伺服器端電腦。
(d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附
件,尤應特別小心開啟。
(e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使
用安全相關規定及建立郵件過濾機制。
(f)公司應建立上網管制措施,以避免下載惡意程式。
(g)公司應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣魚
。
(h)公司宜每年定期辦理社交工程演練,並對誤開啟信件或連結之
人員進行教育訓練,並留存相關紀錄。
f.網路下單系統功能檢查:
(a)應定期檢查網路下單系統提供之功能,並留存紀錄。
(b)應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員
處理。
g.公司提供 API 服務規範:公司提供客戶使用應用程式介面(
API )服務之申請流程、核可標準及相關控管配套措施相關作業
,應依「證券商受理客戶使用應用程式介面(API )服務作業規
範」辦理。
h.網際網路下單服務品質相關標準:
公司提供網際網路下單業務時,兼顧客戶服務品質,應訂定網際
網路下單服務品質相關標準,並應包含下列重點如:交易之安全
性、交易之穩定及系統可用性、提供客戶服務。
i.網路攻擊防護機制導入及安全性檢測
(a)公司應依其所屬資安分級定期對提供網際網路服務之核心系統
辦理滲透測試,並依測試結果進行改善。(111 年 1 月底生
效)
(b)公司應依其所屬資安分級定期辦理資通安全健診(應含網路架
構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺
服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢
視)。(112 年 1 月底生效)
(c)公司應依其所屬資安分級建立資通安全威脅偵測管理機制(應
含括事件收集、異常分析、偵測攻擊並判斷攻擊行為)(112
年 1 月底生效)
(d)公司應依其所屬資安分級建立入侵偵測及防禦機制。(112 年
1 月底生效)
(e)公司應依其所屬資安分級設置應用程式防火牆。(112 年 1
月底生效)
(f)公司應依其所屬資安分級辦理進階持續性威脅攻擊防禦措施。
(112 年 1 月底生效)
j.帳號登入或異常態樣通知(112 年 2 月 28 日生效):
公司對於客戶帳號登入時宜進行通知,如有符合以下異常態樣應
即通知客戶,並留存紀錄,避免非客戶本人登入情事:
(a)密碼輸入錯誤或帳戶被鎖定。
(b)申請或更新憑證。
(c)變更基本資料。
(d)異常來源或行為嘗試登入等
(e)密碼申請異動或補發時。
k.異常 IP 登入之監控與預警(111 年 9 月 30 日生效):
公司應依其所屬資安分級對異常及不明來源 IP 連線進行監控分
析及留存紀錄,如有發現下列情形,應設有警示機制,並定期檢
視以確認機制有效運作:
(a)同一來源 IP 登入不同帳號達一定次數以上。
(b)同一帳號在一定時間內由不同國家登入。
(c)發現異常來源(如金融資安資訊分享與分析中心 F-ISAC 公布
之黑名單或國外 IP )嘗試登入。
(2) 電腦系統及作業安全管理(CC-17020,半年查核)
a.電腦設備之管理:
為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維
護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢
查。
b.電腦作業系統環境設定及使用權限設定:
(a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並
由系統管理人員執行。
(b)電腦系統檔案異動前後皆有完善之備份處理措施。
(c)公司應建立系統最高權限帳號管理辦法(含作業系統及應用系
統),如需使用最高權限帳號時須取得權責主管同意,並留存
相關紀錄。
(d)公司應建立並落實個人電腦、伺服器及網路通訊設備之安全性
組態基準(如密碼長度、更新期限等)。
(e)公司透過網際網路使用管理帳號登入重要系統時,應採用多因
子認證機制。
c.電腦媒體之安全管理:
(a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
(b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應
鎖存於防火之房間或防火且防震之防火櫃中。
(c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱
及保存期限。
(d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩
露或不當使用。
(e)應建立回存測試機制,以驗證備份之完整性及儲存環境的適當
性。
d.電腦操作管理:
(a)操作人員應確實依規定操作程序執行。
(b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管
為同一人。
(c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主
管核驗。
e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
f.證券經紀商之電腦系統應訂定定期(每年至少一次)由內部或委
託外部專業機構評估電腦系統容量及安全措施之機制與程序,定
期對系統容量進行壓力測試,並留存紀錄。
|
|
8
|
8.存取控制(CC-18000,每月查核)
(1) 公司應訂定資訊系統存取控制相關規定,並以書面、電子或其他方
式告知員工遵守。
(2) 權限管理:
a.對於程式的存取使用,應有詳細的書面管制說明。
b.人員異動時應及時更新其使用權限。
c.對於程式及檔案之存取使用,應按權限區分。
d.委外人員電腦通行使用權利應經適當控管;委外期間結束後,應
立即收回該項權利。
e.對於進駐於公司內之委外作業人員應納入公司安全管理,如欲使
用內部網路資源時,應有安全管制措施(如透過轉接方式或另建
網路者,宜與內部網路作實體隔離)。
f.應定期(至少每半年一次)審查並檢討久未使用之使用者權限(
使用者為客戶者除外)。
(3) 密碼管理:
a.使用者第一次使用系統時,應更新初始密碼後方可繼續作業。
b.密碼應使用公開安全且未遭破解之演算法(例如:雜湊演算法等
不可逆運算式)產生亂碼並加密儲存。
c.對於使用者及客戶忘記密碼之處理,公司應有嚴格的身分確認程
序(如聯繫客服驗證基本資料、OTP 、臨櫃辦理等方式),方可
再次使用系統。
d.初始密碼應隨機產生,並與使用者及客戶身分無關。(本項不適
用採自行訂定交付電子式交易密碼條之方式)
e.密碼輸入錯誤次數達三次者,應予中斷連線且鎖定該帳號,並留
存紀錄。公司於接獲客戶聯繫申請解除鎖定時,應確實辨認身分
(如聯繫客服驗證基本資料、OTP 、臨櫃辦理等方式),並留存
相關紀錄後,始得辦理之。
f.除語音按鍵下單外,公司應使用優質密碼設定(長度 6 個字元
(含)以上,且具有文數字或符號)並進行管控,及加強宣導客
戶定期更新密碼以不超過三個月為宜,如客戶密碼超過一年未變
更或變更密碼與前一代相同,公司應做妥善處理。除客戶外,公
司其他使用者之密碼應至少每三個月變更一次。(111 年 11 月
30 日生效)
g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作
業系統及資料庫等軟硬體設備應設定使用密碼,且避免使用預設
(如 administrator、root、sa)或簡易(如 1234 )之帳號密
碼及未設管理者存取權限。
h.客戶申請採電子式交易型態者,公司得以一般或自訂電子方式交
付電子密碼條,應依下列說明辦理:
(a)採一般電子方式交付電子密碼條,應傳送 OTP(One Time
Password)密碼至客戶開戶留存之手機號碼,及將加密後之電
子密碼條以電子方式傳送至客戶留存之電子信箱,此流程相關
系統紀錄應留存。
(b)採自訂交付電子密碼條方式,應訂定交付電子式交易密碼之作
業程序及安全控管機制,並辨認電子式交易密碼交付對象為本
人及留存相關紀錄。
(4) 電腦稽核紀錄管理:
a.對重要系統(如主機連線系統、網路下單系統等)之稽核日誌記
錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料
或其網址等事項。
b.對上開重要系統之電腦稽核紀錄,應有專人定期檢視。
c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序,至
少留存三年。
(5) 資料輸入管理:
a.安全性或重要性較高之資料,應由權責主管人員核可後始得執行
輸入或修改。
b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
c.對隱密性高之重要資料(例如:密碼檔)應以亂碼後之資料形式
存放。
d.公司如屬公開發行公司者,應於內部控制制度納入「公開發行公
司網路申報公開資訊應注意事項」,並據以辦理相關申報事宜。
e.使用電子憑證IC卡或其他類型憑證晶片卡或其他憑證載具等代
表公司簽署之作業(例如:「公開資訊觀測站」、「證券商申報
單一窗口」、「公文電子交換系統」等),該等憑證載具應由專
人負責保管並設簿登記,且應訂定相關帳號、密碼保管及使用程
序,並據以執行。
f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者
(例如:「電子對帳單系統」),應留存電腦稽核紀錄(log )
,其保存年限比照各作業資料應保存年限。
g.應依「個人資料保護法」,妥善處理客戶及公司內部人個人資料
。
h.公司應定期或不定期稽核依「個人資料保護法」定義之個人資料
管理情形。
i.前揭個人資料,其更新、更正或註銷均應報經備查,並將更新、
更正、註銷內容、作業人員及時間詳實記錄。
j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用,
應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
(6) 資料輸出管理:
a.報表是否按時產生並分送各使用單位。
b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。
c.投資人於公司網站查詢個人資料應具有加密傳輸機制(例如:
SSL )。
d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸,公
司對姓名、帳號及信用帳號等機敏資訊,應依「機敏資訊類型及
隱匿之具體作法原則」辦理。
|
|
9
|
9.系統開發及維護(CC-19000,半年查核)
(1) 應用系統在規劃分析時應將資訊安全需求納入分析及規格。
(2) 輸入資料是否有作檢查,以確認其正確性。
(3) 應使用具有合法版權之軟體。
(4) 委外作業應簽訂契約,委外作業契約內容應包含資訊安全協定與對
委外廠商資安稽核權等條款。
(5) 已完成之程式因故需維護時,應依據經過正式核准之程序辦理。
(6) 各項文件與手冊應經適當維護與控制。
(7) 應用系統之維護應指派專人負責。
(8) 應用系統異動管理:
a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開
存放。
b.程式經修改其相關文件應及時更新。
(9) 公司應定期(至少每半年乙次)辦理資訊系統弱點掃描作業,針對
所辨識出之潛在系統弱點,應評估其相關風險或安裝修補程式,並
留存紀錄(適用網際網路下單證券商,不適用語音下單及傳統下單
之證券商)。
(10)程式原始碼安全規範(適用網際網路下單證券商,不適用語音下單
及傳統下單之證券商):
a.程式應避免含有惡意程式等資訊安全漏洞。
b.程式應使用適當且有效之完整性驗證機制,以確保其完整性。
c.程式於引用之函式庫有更新時,應備妥對應之更新版本。
d.程式應針對使用者輸入之字串,進行安全檢查並提供相關注入攻
擊防護機制。
e.委外開發之行動應用程式如涉及機敏性資料傳送(如:客戶帳號
密碼或交易資料等)應自行或委外檢視驗證傳遞對象是否適當並
留存相關紀錄。
f.公司應依上開安全事項檢驗程式原始碼並符合安全事項之要求;
無法取得程式原始碼時,應要求程式提供者符合上開前五項安全
事項(a、b、c、d、e) 之佐證。
(11)行動應用程式安全管理(適用網際網路下單證券商,不適用語音下
單及傳統下單之證券商):
a.行動應用程式發布:
(a)行動應用程式應於可信任來源之行動應用程式商店或網站發布
,且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣
告之權限用途。
(b)應於官網上提供行動應用程式之名稱、版本與下載位置。
(c)應建立偽冒行動應用程式偵測機制,以維護客戶權益。
(d)應於發布前檢視行動應用程式所需權限應與提供服務相當,首
次發布或權限變動應經資安、法遵單位同意,並留有紀錄,以
利綜合評估是否符合個人資料保護法之告知義務」。
b.敏感性資料保護:
(a)行動應用程式傳送及儲存敏感性資料時應透過憑證、雜湊(
Hash)或加密等機制以確保資料傳送及儲存安全,並於使用時
應進行適當去識別化,相關存取日誌應予以保護以防止未經授
權存取。
(b)啟動行動應用程式時,如偵測行動裝置疑似遭破解(如 root
、jailbreak、USB debugging 等),應提示使用者注意風險
。
c.行動應用程式檢測:
(a)涉及投資人使用之行動應用程式於初次上架前及每年應委由經
財團法人全國認證基金會(TAF )認證合格之第三方檢測實驗
室進行並完成通過資安檢測,檢測範圍以經濟部工業局委託執
行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢
測基準項目進行檢測。如通過實驗室檢測後一年內有更新上架
之需要,應於每次上架前就重大更新項目進行委外或自行檢測
;所謂重大更新項目為與「下單交易」、「帳務查詢」、「身
份辨識」及「客戶權益有重大相關項目」有關之功能異動。檢
測範圍以 OWASP MOBILE TOP 10 之標準為依據,並留存相關
檢測紀錄。
(b)公司對第三方檢測實驗室所提交之檢測報告,應建立覆核機制
,以確保檢測項目及內容一致,並留存覆核紀錄。
|