函釋

發文單位: 臺灣證券交易所股份有限公司
發文字號: 臺證輔字第 1110025093 號
發文日期: 民國 111 年 12 月 28 日
相關法條:
  • 建立證券商資通安全檢查機制 第 2、3、7 條 (111.12.28)
  • 要  旨:
    臺灣證券交易所股份有限公司修正「建立證券商資通安全檢查機制」暨「
    分級防護應辦事項附表」、「證券商內部控制制度標準規範」、內部稽核
    實施細則及查核明細表,請各證券商配合修正公司內部控制制度,並提報
    董事會通過
    

    主    旨:修正「建立證券商資通安全檢查機制」暨「分級防護應辦事項附表」、「
              證券商內部控制制度標準規範」、內部稽核實施細則及查核明細表如附件
              ,修正項目除已註明生效日者外,餘自公布日起實施,請查照。
    說    明:一、案經報奉金融監督管理委員會 111  年 12 月 22 日金管證券字第 1
                  110361945 號函同意照辦。
              二、修正事項摘述如下:
              (一)「建立證券商資通安全檢查機制」及「內部控制制度標準規範」:
                    1.依據主管機關 111  年 11 月 13 日金管證券字第 1110384596
                      號令,證券商應依所屬資安分級配置適當資安人力(CC-13000
                      安全組織),並於 112  年 1  月起實施。
                    2.為強化資安監控,公司應就提供外部連線使用之網路系統,監控
                      網頁與程式異動(CC-17010  網路安全管理、f.(b)) ,及公
                      司透過網際網路使用帳號登入系統應採用多因子認證機制(
                      CC-17020  電腦系統及作業安全管理、b.(e)) 等二項,自
                      112 年 6  月底生效。
              (二)「建立證券商資通安全檢查機制- 分級防護應辦事項附表」,依各
                    應辦事項完成日辦理:
                    1.應辦事項一,配合「證券期貨業永續發展轉型執行策略」之策略
                      2 ,第三級證券商之核心資訊系統應導 入CNS 27001  或 ISO
                      27001 等資訊安全管理系統標準或其他具有同等或以上效果之系
                      統或標準,並完成公正第三方驗證及持續維持驗證有效性。
                    2.應辦事項二,配合「證券期貨業永續發展轉型執行策略」之策略
                      2 ,除依規配置適當資安人力外,公司資安人員應取得並維持有
                      效之證照數,相關資通安全證照類別得參考資安法之專業證照清
                      單。
                    3.應辦事項九,為加強資安監控,第三級證券商應建置資通安全威
                      脅偵測管理機制(SIEM)。
                    4.應辦事項十、十一,為強化資安防護能力,證券商應建置「入侵
                      偵測及防禦機制」與「應用程式防火牆」資安防禦設備;未提供
                      網頁下單服務者,得免建置「應用程式防火牆」。
                    5.應辦事項十五,為防範撞庫等網路攻擊,提供網際網路下單服務
                      之第三級與第四級證券商應建置網路活動異常監控作業系統。
              三、請配合旨揭內容修正貴公司內部控制制度,並提報董事會通過。
    正    本:各證券商總公司
    副    本:金融監督管理委員會證券期貨局(含附件)、金融監督管理委員會檢查局
              (含附件)、財團法人中華民國證券櫃檯買賣中心(含附件)、中華民國
              證券商業同業公會(含附件)、臺灣集中保管結算所股份有限公司(含附
              件)、臺灣期貨交易所股份有限公司(含附件)、法源資訊股份有限公司
              (含附件)、植根國際資訊股份有限公司(含附件)、國際通商法律事務
              所(含附件)、博仲法律事務所(含附件)、本公司券商輔導部(含附件
              )
    相關圖表:
  • 建立證券商資通安全檢查機制-分級防護應辦事項附表.ODT
  • 證券商內部控制制度標準規範─內部控制制度修訂對照表(111 年)(CC-12000、CC-13000、CC-17010、CC-17020).PDF
  • 證券商內部控制制度標準規範─內部控制制度修訂對照表(111 年)(CC-12000、CC-13000、CC-17010、CC-17020).DOC
  • 證券商內部控制制度標準規範─內部稽核實施細則修訂對照表(111 年)(AC-13000、AC-17010、AC-17020).PDF
  • 證券商內部控制制度標準規範─內部稽核實施細則修訂對照表(111 年)(AC-13000、AC-17010、AC-17020).DOC
  • ____________證券股份有限公司安全組織查核明細表(FC-13000-A).PDF
  • ____________證券股份有限公司安全組織查核明細表(FC-13000-A).DOC
  • ____________證券股份有限公司電腦作業與資訊提供查核明細表(FC-17000-17010-M).PDF
  • ____________證券股份有限公司電腦作業與資訊提供查核明細表(FC-17000-17010-M).DOC
  • ____________證券股份有限公司電腦作業與資訊提供查核明細表(FC-17000 - 17020-S).PDF
  • ____________證券股份有限公司電腦作業與資訊提供查核明細表(FC-17000 - 17020-S).DOC
  • 建立證券商資通安全檢查機制部分條文修正對照表(111 年).PDF
  • 建立證券商資通安全檢查機制部分條文修正對照表(111 年).DOC
  • 資料來源:
    臺灣證券交易所股份有限公司