主 旨:修正「建立證券商資通安全檢查機制」暨「分級防護應辦事項附表」、「
證券商內部控制制度標準規範」、內部稽核實施細則及查核明細表如附件
,修正項目除已註明生效日者外,餘自公布日起實施,請查照。
說 明:一、案經報奉金融監督管理委員會 111 年 12 月 22 日金管證券字第 1
110361945 號函同意照辦。
二、修正事項摘述如下:
(一)「建立證券商資通安全檢查機制」及「內部控制制度標準規範」:
1.依據主管機關 111 年 11 月 13 日金管證券字第 1110384596
號令,證券商應依所屬資安分級配置適當資安人力(CC-13000
安全組織),並於 112 年 1 月起實施。
2.為強化資安監控,公司應就提供外部連線使用之網路系統,監控
網頁與程式異動(CC-17010 網路安全管理、f.(b)) ,及公
司透過網際網路使用帳號登入系統應採用多因子認證機制(
CC-17020 電腦系統及作業安全管理、b.(e)) 等二項,自
112 年 6 月底生效。
(二)「建立證券商資通安全檢查機制- 分級防護應辦事項附表」,依各
應辦事項完成日辦理:
1.應辦事項一,配合「證券期貨業永續發展轉型執行策略」之策略
2 ,第三級證券商之核心資訊系統應導 入CNS 27001 或 ISO
27001 等資訊安全管理系統標準或其他具有同等或以上效果之系
統或標準,並完成公正第三方驗證及持續維持驗證有效性。
2.應辦事項二,配合「證券期貨業永續發展轉型執行策略」之策略
2 ,除依規配置適當資安人力外,公司資安人員應取得並維持有
效之證照數,相關資通安全證照類別得參考資安法之專業證照清
單。
3.應辦事項九,為加強資安監控,第三級證券商應建置資通安全威
脅偵測管理機制(SIEM)。
4.應辦事項十、十一,為強化資安防護能力,證券商應建置「入侵
偵測及防禦機制」與「應用程式防火牆」資安防禦設備;未提供
網頁下單服務者,得免建置「應用程式防火牆」。
5.應辦事項十五,為防範撞庫等網路攻擊,提供網際網路下單服務
之第三級與第四級證券商應建置網路活動異常監控作業系統。
三、請配合旨揭內容修正貴公司內部控制制度,並提報董事會通過。
正 本:各證券商總公司
副 本:金融監督管理委員會證券期貨局(含附件)、金融監督管理委員會檢查局
(含附件)、財團法人中華民國證券櫃檯買賣中心(含附件)、中華民國
證券商業同業公會(含附件)、臺灣集中保管結算所股份有限公司(含附
件)、臺灣期貨交易所股份有限公司(含附件)、法源資訊股份有限公司
(含附件)、植根國際資訊股份有限公司(含附件)、國際通商法律事務
所(含附件)、博仲法律事務所(含附件)、本公司券商輔導部(含附件
)
|