修正條文

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 113 年 11 月 12 日
主題分類: 市場監理 > 證券商管理
2
2.資訊安全政策(CC-12000,年度查核)
(1) 公司應依據相關法令規定及公司業務需求,訂定資訊安全政策、資
      訊作業之安全水準。
(2) 制訂資訊安全政策,應包括下列事項:
      a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
      b.資訊安全政策之解釋及說明,資訊安全之原則、標準以及員工應
        遵守之相關規定。
      c.推行資訊安全工作之組織、權責及分工。
      d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明
        。
(3) 公司所訂定之資訊安全政策,應經管理階層核准,並應正式發布要
      求所有員工共同遵守,並轉知與公司連線作業之公私機關(構)、
      提供資訊服務之廠商共同遵行。
(4) 公司訂定之資訊安全政策,應至少每年評估一次,以反映法令規章
      、技術及業務等最新發展現況,確保資訊安全實務作業之有效性,
      前開之評估工作應留存相關紀錄。
(5) 資訊安全政策之評估,應以獨立及客觀之方式進行,並由內部或委
      託外部專業機構辦理。
(6) 公司每年應將前一年度資訊安全整體執行情形,由資訊安全長或負
      責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「證
      券暨期貨市場各服務事業建立內部控制制度處理準則」第二十四條
      規定之內部控制制度聲明書,於會計年度終了後三個月內提報董事
      會通過,並將該聲明書內容揭露於主管機關指定之申報網站。
(7) 公司應參考「建立證券商資通安全檢查機制- 分級防護應辦事項附
      表」辦理資訊安全分級防護應辦事項。
(8) 公司應依其所屬資安分級辦理核心系統導入資訊安全管理系統,並
      通過公正第三方之驗證,且持續維持驗證有效性。
相關資訊
9
9.系統開發及維護(CC-19000,半年查核)
(1) 應用系統在規劃分析時應將資訊安全需求納入分析及規格。
(2) 輸入資料是否有作檢查,以確認其正確性。
(3) 應使用具有合法版權之軟體。
(4) 委外廠商管理:
      a.公司與委外資訊服務供應商提供服務應訂定合約,合約所含內容
        應包含以下內容:合約期限、服務範圍、服務交付日期、服務水
        準要求、服務變更規範、服務驗收之標準、資通安全事件通報及
        應變處理作業程序、對資訊服務供應商之稽核權條款、合約轉讓
        或同意分包之規範、保密義務條款、罰則與損害賠償條款、爭議
        處理程序、違約處理條款、合約終止規範、合約終止後之處理、
        保固、權利及責任。
      b.證券商應評估資訊服務供應商之集中度,包括評估資訊服務供應
        商作業能力,採取適當風險管控措施,確保作業委外處理之品質
        ,並注意作業委託資訊服務供應商之適度分散以控管作業風險。
      c.資訊服務供應商應提供安全性檢測證明(如行動應用程式資安檢
        測、源碼檢測、弱點掃描等),並應確保交付之系統或程式無惡
        意程式及後門程式,其放置於網際網路之程式應通過程式碼掃描
        或黑箱測試。
      d.公司應訂定相關規範管控,與資訊服務供應商資訊委外關係於終
        止、解除或結束後之相關作業。
      e.委外資訊服務供應商應揭露第三方程式元件之來源與授權證明。
      f.公司應管控資訊服務供應商存取權限,對於電腦通行使用權利進
        行適當控管。
      g.公司應對資訊服務供應商服務內容變更進行風險評估。
      h.公司對於委外資訊服務供應商於委外關係所涉及公司資訊資產,
        應於委外關係終止、解除或結束時完整歸還、確保銷毀或轉交予
        其他資訊服務供應商,並要求資訊服務供應商持續遵守保密承諾
        。
      i.委外資訊服務供應商如自行發現程式漏洞、版本老舊,或於使用
        相同服務之其他證券商應用系統發生故障或異常時,應儘速瞭解
        原因,並主動轉知及提供因應措施。
      j.委外資訊系統之服務規格書應包括硬體規格、軟體版本、作業環
        境變動、作業系統底層架構及系統程式相容性等,並包含維持委
        外廠商服務水準之要求與橫向溝通機制。
(5) 已完成之程式因故需維護時,應依據經過正式核准之程序辦理。
(6) 各項文件與手冊應經適當維護與控制。
(7) 應用系統之維護應指派專人負責。
(8) 應用系統異動管理:
      a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開
        存放。
      b.程式經修改其相關文件應及時更新。
(9) 公司應定期(至少每半年乙次)辦理資訊系統弱點掃描作業,針對
      所辨識出之潛在系統弱點,應評估其相關風險或安裝修補程式,並
      留存紀錄(適用網際網路下單證券商,不適用語音下單及傳統下單
      之證券商)。
(10)程式原始碼安全規範(適用網際網路下單證券商,不適用語音下單
      及傳統下單之證券商):
      a.程式應避免含有惡意程式等資訊安全漏洞。
      b.程式應使用適當且有效之完整性驗證機制,以確保其完整性。
      c.程式於引用之函式庫有更新時,應備妥對應之更新版本。
      d.程式應針對使用者輸入之字串,進行安全檢查並提供相關注入攻
        擊防護機制。
      e.委外開發之行動應用程式如涉及機敏性資料傳送(如:客戶帳號
        密碼或交易資料等)應自行或委外檢視驗證傳遞對象是否適當並
        留存相關紀錄。
      f.公司應依上開安全事項檢驗程式原始碼並符合安全事項之要求;
        無法取得程式原始碼時,應要求程式提供者符合上開前五項安全
        事項(a、b、c、d、e) 之佐證。
(11)行動應用程式安全管理(適用網際網路下單證券商,不適用語音下
      單及傳統下單之證券商):
      a.行動應用程式發布:
     (a)行動應用程式應於可信任來源之行動應用程式商店或網站發布
          ,且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣
          告之權限用途。
     (b)應於官網上提供行動應用程式之名稱、版本與下載位置。
     (c)應建立偽冒行動應用程式偵測機制,以維護客戶權益。
     (d)應於發布前檢視行動應用程式所需權限應與提供服務相當,首
          次發布或權限變動應經資安、法遵單位同意,並留有紀錄,以
          利綜合評估是否符合個人資料保護法之告知義務」。
      b.敏感性資料保護:
     (a)行動應用程式傳送及儲存敏感性資料時應透過憑證、雜湊(
          Hash)或加密等機制以確保資料傳送及儲存安全,並於使用時
          應進行適當去識別化,相關存取日誌應予以保護以防止未經授
          權存取。
     (b)啟動行動應用程式時,如偵測行動裝置疑似遭破解(如 root
          、jailbreak、USB debugging  等),應提示使用者注意風險
          。
      c.行動應用程式檢測:
     (a)涉及投資人使用之行動應用程式於初次上架前及每年應委由經
          財團法人全國認證基金會(TAF )認證合格之第三方檢測實驗
          室進行並完成通過資安檢測,檢測範圍以目的事業主管機關委
          託執行單位「行動應用資安聯盟」公布之行動應用程式基本資
          安檢測基準項目進行檢測。如通過實驗室檢測後一年內有更新
          上架之需要,應於每次上架前就重大更新項目進行委外或自行
          檢測;所謂重大更新項目為與「下單交易」、「帳務查詢」、
          「身份辨識」及「客戶權益有重大相關項目」有關之功能異動
          。檢測範圍以 OWASP MOBILE TOP 10  之標準為依據,並留存
          相關檢測紀錄。
     (b)公司對第三方檢測實驗室所提交之檢測報告,應建立覆核機制
          ,以確保檢測項目及內容一致,並留存覆核紀錄。
(12)核心系統應針對風險評估使用者頁面僅顯示簡短錯誤訊息及代碼,
      不包含詳細之錯誤訊息。
(13)提供網際網路下單服務之核心系統上架前及系統更新時應執行「源
      碼掃描」安全檢測。
(14)與資訊公司異業合作平台,應無提供或介接未經金融監督管理委員
      會許可之證券期貨業者所提供之證券期貨業務(如證券期貨業務有
      關之開戶及下單功能)
相關資訊