條文內容

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 113 年 11 月 12 日
主題分類: 市場監理 > 證券商管理
3
3.安全組織(CC-13000,年度查核)
(1) 公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、
      監控及執行資訊安全管理作業,且相關人員之工作職掌與兼辦業務
      情形應符合規定。
(2) 公司應指定副總經理或高層主管人員,綜理資訊安全政策推動及資
      源調度事務,並得視需要,成立跨部門之「資訊安全推行小組」;
      如公司符合主管機關所訂一定條件者,應指定副總經理以上或職責
      相當之人兼任資訊安全長辦理上開業務。
(3) 公司應視資訊安全管理需要及所屬資安分級,指定專人或專責單位
      負責規劃與執行資訊安全工作,且資訊安全人員及主管每年應定期
      參加十五小時以上資訊安全專業課程訓練或職能訓練並通過評量。
      其他使用資訊系統之從業人員,每年應至少接受三小時以上資訊安
      全宣導課程。
(4) 公司資訊安全人力、能力及經驗,如有不足之處,得委請外界的學
      者專家或民間專業組織及團體,提供資訊安全顧問諮詢服務。
(5) 資訊處理部門與業務單位之權責,應明確劃分。
(6) 公司應依其所屬資安分級要求資訊安全人員取得並維持相當資通安
      全專業證照。