條文內容

名  稱:

證券暨期貨市場各服務事業資通系統安全防護基準參考指引 

修正日期: 民國 113 年 01 月 09 日
主題分類: 資訊作業
第 22 條
(傳輸之機密性、完整性與資料儲存安全)
一、透過網際網路傳輸個人或機敏資料,核心系統應採用加密傳輸機制,
    以防止未授權之資訊揭露或偵測資訊之變更。
二、第一類組織於內部網路傳輸個人或機敏資料,核心系統宜採加密傳輸
    機制。
三、上開兩項,傳輸過程中如有替代之實體保護措施者,則無需採加密傳
    輸機制。
四、如有國際傳輸機敏資料,組織應建立加密傳輸機制且應就受委託機構
    (外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理
    者)對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合
    我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反主
    管機關對國際傳輸之限制,並留存完整稽核紀錄。
五、加密機制應使用公開、國際機構驗證且未遭破解之演算法。
六、加密機制之金鑰或憑證應定期更換。
七、加密機制宜支援演算法最大長度金鑰。
八、加密機制於伺服器端之金鑰保管宜訂定管理規範及實施應有之安全防
    護措施。
九、第一類組織之核心系統重要組態設定檔案及其他具保護需求之資訊應
    加密或以其他適當方式儲存。
十、加解密程式或具變更權限之公用程式(如資料庫工具程式)應列管並
    限制使用,防止未經授權存取並保留稽核軌跡。