所有條文

名  稱:

證券期貨市場相關公會新興科技資通安全管控指引 

Directions on Information and Communication Security Management and Control of New Technologies for Associations of Securities and Futures Market

公發布日: 民國 111 年 05 月 11 日
主題分類: 資訊作業
   第 一 章 總則
第 1 條
(目的)
為協助證券期貨業者安全有效的管理及應用新興科技,特針對新興科技風
險議題,擬定資通安全控管指引。
相關資訊
   第 二 章 雲端運算服務運作安全
第 2 條
(雲端運算服務定義)
透過網路技術達成共享運算資源之前提下,提供使用者具備彈性、可擴展
及可自助之服務。如:IaaS(基礎架構即服務)、PaaS(平台即服務)、
SaaS(軟體即服務)。
一、基礎架構即服務(Infrastructure as a Service,簡稱 IaaS):雲
    端服務提供者通過網路向雲端服務使用者提供資訊科技基礎設施。
二、平台即服務(Platform as a Service,簡稱 PaaS):雲端服務提供
    者向雲端服務使用者提供平台工具。
三、軟體即服務(Software as a Service,簡稱 SaaS):雲端服務提供
    者利用網際網路向雲端服務使用者提供應用程式服務。
第 3 條
(雲端運算服務指引適用範圍)
一、為確保組織使用雲端運算服務之安全,組織應事先評估使用雲端服務
    之風險,若雲端服務涉及核心系統、資料或服務者,應符合本指引控
    管建議。
二、本指引定義之雲端服務,不包含建置組織內部且僅對內提供服務之私
    有雲。
第 4 條
(雲端服務提供者選擇)
一、雲端服務使用者應事先評估雲端服務提供者之服務水準(含資通安全
    防護)等風險,採取適當風險管控措施。若有不符合需求之處,應考
    量其他補償性措施。
二、雲端服務使用者應評估雲端服務提供者是否已建立雲端服務備援機制
    ,並建議於合約中明文規定雲端服務復原時間之相關要求。
三、雲端服務使用者就雲端服務提供者處理之資料應保有完整所有權,除
    執行受託作業外,應確保雲端服務提供者不得有存取客戶資料之權限
    ,並不得為委託範圍以外之利用。
四、雲端服務使用者就雲端服務委外作業,應落實定期對雲端服務提供者
    之查核。如雲端服務提供者已取得雲端安全國際認證(CSA-Star)銅
    牌以上者,則可視實際情況要求提供驗證報告或進行實地查核。
第 5 條
(雲端互通性和可移植性)
一、雲端服務提供者應滿足雲端使用者對於應用程式及資訊處理之互通性
    與可移植性需求,並提出相關說明文件供使用者參考。
二、雲端服務提供者宜使用業界常見之虛擬化平台、虛擬機檔案格式、資
    料檔案格式,以確保互通性。
三、雲端服務提供者應依雲端服務使用者需求,使用標準化的網路協定。
    如涉及敏感性資料之傳遞,宜使用超文字傳輸安全協定(HTTPS )、
    安全檔案傳輸協定(SFTP)等加密之網路協定。
四、雲端服務提供者提供之雲端服務若涉及應用程式介面存取服務,宜使
    用開放或已公開之應用程式介面(API ),以確保應用程式元件可以
    較容易地轉移。
第 6 條
(雲端供應鏈管理)
一、雲端服務使用者傳輸及儲存客戶資料至雲端服務提供者,應採行客戶
    資料加密或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機
    制。
二、雲端服務提供者應根據與雲端服務使用者之服務水準協議,維持其服
    務水準,且應定期提供協議中各項服務水準指標之報告與操作紀錄(
    如系統變更紀錄、作業系統映像檔存取紀錄等)。
三、雲端服務提供者應負責檢視雲端服務供應鏈中其他合作夥伴可能影響
    服務品質的風險與錯誤。
四、雲端服務提供者應於雲端服務運作發生資通安全事件時,及時通知受
    影響的雲端服務使用者與供應鏈中的合作夥伴,並定期更新事件處理
    的相關訊息。
第 7 條
(雲端基礎設施與虛擬化安全,適用於 IaaS、PaaS 服務)
一、雲端服務提供者應確保虛擬機映像檔之完整性,有關映像檔的重要異
    動,如:調整虛擬機記憶體大小、調整虛擬機硬碟容量等,都應該被
    記錄,並提供客戶檢視相關變更紀錄之機制。
二、雲端服務提供者如有設備維護更換時(如硬碟更換),所含組織之資
    料須進行全數刪除或銷毀,應依據其儲存媒介之性質,以消磁、銷毀
    、粉碎或其他適當之方式進行銷毀程序,並留存刪除或銷毀之紀錄。
三、雲端服務提供者應依據雲端服務使用者需求,提供虛擬機隔離性(
    isolation )說明,隔離性失效時應立即通知雲端服務使用者。
四、雲端服務提供者應就雲端作業系統,包含虛擬層(hypervisor)與虛
    擬機的作業系統(guest operating systems ),輔以適當的安全控
    管措施,如:僅開放必要連接埠(Port)、通訊協定(Protocols )
    與服務(Service )、病毒防護、安全漏洞評估機制、檔案完整性監
    控等。
五、雲端服務運作人員權限管理應採權限最小化原則,輔以適當安全控管
    措施,如:透過雙因子認證、稽核軌跡、IP  地址過濾、防火牆,以
    及傳輸層安全性(TLS )封裝的通訊管理。
六、雲端服務提供者提供 IaaS 服務(基礎架構即服務)時,應依雲端服
    務使用者需求將含敏感資料之虛擬硬碟進行加密,限制快照或未授權
    存取。
第 8 條
(雲端服務之個人資料跨境傳輸)
涉及個人資料跨境傳輸之雲端服務,組織應建立加密傳輸機制且應就雲端
服務提供者對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符
合我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反主管
機關對國際傳輸之限制,並留存完整稽核紀錄。
第 9 條
(雲端服務中斷及終止管理)
一、雲端服務使用者應訂定妥適之緊急應變計畫,降低因雲端作業而可能
    有服務中斷之風險。
二、雲端服務使用者終止或結束作業委託,應確保能順利移轉至另一雲端
    服務提供者或移回自行處理。
三、雲端服務提供者於提供終止後,應全數刪除或銷毀留存資料(如虛擬
    機映像檔、儲存空間、快取空間、備份媒體、客戶資料或敏感資料)
    ,並出具資料完全刪除之證明。
   第 三 章 社群媒體安全控管
第 10 條
(社群媒體定義)
一種結合科技、社交互動與內容創造之網路應用,允許創造或交換使用者
產出內容;且透過此高度互動的平台,個人及群體可以分享、共創、討論
並修改使用者產出內容。
第 11 條
(社群媒體指引適用範圍)
本指引定義之社群媒體,不包含組織內部溝通使用之社群媒體或平台。
第 12 條
(社群媒體使用政策)
一、組織應擬定社群媒體使用政策,並至少每年檢視一次,以規範員工使
    用社群媒體行為,包含:
(一)界定可接受使用之社群媒體、功能及使用規則。
(二)界定可於社群媒體上分享之業務相關資料。
(三)界定私人與公務用社群媒體之區別與應注意事項。
(四)界定各角色被授予之發言權責,並避免非授權之公務言論發表。
二、組織應針對開放員工使用之社群媒體類型評估其風險程度,包含:資
    料外洩、社交工程、惡意程式攻擊等,並就高風險部分採行適當的安
    全控管措施,如:教育訓練或宣導、內容過濾及監控、防範惡意程式
    等防護機制。
第 13 條
(組織經營官方社群媒體)
一、組織應事先了解所經營之社群媒體隱私政策,並定期檢視其隱私政策
    之異動及評估其風險。
二、組織於官方網站提供連結供使用者連至組織外之社群媒體時,應出現
    提示視窗告知使用者該連結非組織本身之網站。
三、組織所經營之社群媒體應標示組織名稱、聯絡方式及許可證字號,以
    區別為官方經營之社群媒體。
四、組織經營社群媒體時,應建立帳號權限管理機制,並對發布內容制定
    過濾及監視政策,其監視內容應至少包含防止客戶隱私及組織機密外
    洩、非授權或偽冒身分發言及不可有攻擊或詆毀同業之情事。
第 14 條
(制定異常通報及申訴處理機制)
一、組織應制定社群媒體異常事件通報程序,其經營官方社群媒體之管理
    單位,宜不定時監看該社群媒體之討論內容,並針對不適當言論或異
    常事件,進行必要之通報或處置。
二、組織經營之社群媒體應標示客戶申訴聯繫方式及處理窗口。
   第 四 章 行動裝置安全控管
第 15 條
(行動裝置定義)
一、行動裝置:一種具有資料運算處理、儲存與網路連線功能之可攜式設
    備,係指包含但不限於智慧型手機、筆記型電腦、平板電腦與 PDA
    等裝置。
二、員工自攜行動裝置(BYOD):非屬組織行動裝置用於處理組織事務、
    直接連接組織網路設備或服務,並具備資料運算處理、儲存與網路連
    線功能之可攜式設備。
第 16 條
(行動裝置指引適用範圍)
本指引定義之行動裝置,僅限於可用於處理組織內部定義之敏感性事務且
可直接連接組織網路設備、服務之行動裝置。
第 17 條
(公務用之行動裝置設備控管)
一、組織對於行動裝置的申請、使用、更新、繳回與遺失應訂有相關規範
    。
二、組織人員異動時,應進行重新配置或清除配置程序,以確保行動裝置
    環境安全性。
三、組織對行動裝置與行動裝置可存取的資源應進行風險評估作業,並依
    據風險評估結果採行適當的安全控管措施,如:螢幕鎖定、限制存取
    敏感資料、安裝防毒軟體、安裝行動裝置管理軟體等。
四、組織針對存有敏感性資料之行動裝置宜採行以下安全控管措施:
(一)行動裝置宜建立身分識別機制。
(二)行動裝置之作業系統環境設定宜由被授權者進行變更。
(三)行動裝置之作業系統與防毒軟體宜定期檢查,避免持有者私自異動
      設定,如:越獄(Jailbreaking)或提權(Rooting )。
(四)行動裝置宜考量遺失時資料清除方式,如:以遠端方式刪除資料或
      透過身分認證錯誤超過規定次數後自動刪除機制。
(五)行動裝置宜限制或關閉不需要之無線連線功能,如:NFC 、紅外線
      、Wifi  或藍芽等。
(六)行動裝置傳輸敏感性資料時,宜採加密或資料遮蔽方式進行保護。
(七)行動裝置宜限制敏感性資料儲存於行動裝置上或將敏感性資料進行
      加密保護。
五、組織公務用之行動裝置應避免安裝非官方發布之行動應用程式,或僅
    安裝由組織列出通過檢測可安裝之行動應用程式。
第 18 條
(員工自攜行動裝置管理)(BYOD)
一、組織應定期審核並限制員工自攜行動裝置使用用途、使用期間及資料
    種類。
二、組織應與持有人簽署員工自攜行動裝置使用協議,含:使用限制及雙
    方責任等。
三、組織宜限制內部資通設備透過員工自攜行動裝置私接存取網際網路(
    Internet)之行為。
第 19 條
(行動應用程式安全控管)(Mobile App)
一、組織透過行動應用程式發送簡訊或其他訊息通知方式告知使用者敏感
    性資料時,應進行適當去識別化。
二、組織應建立偽冒行動應用程式偵測機制,以維護客戶權益。
三、組織於啟動行動應用程式時,如偵測行動裝置疑似遭破解(如 root
    、jailbreak、USB debugging  等),應提示使用者注意風險。
第 20 條
(行動應用程式發布控管)
一、組織發布行動應用程式前應檢視行動應用程式所需權限應與提供服務
    相當,首次發布或權限變動應經資安、法遵單位同意,並留有紀錄,
    以利綜合評估是否符合個人資料保護法之告知義務。
二、組織應於可信任來源之行動應用程式商店或網站發布行動應用程式,
    且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣告之權限
    用途。
三、涉及投資人使用之行動應用程式於初次上架前及每年,組織應委由經
    財團法人全國認證基金會(TAF )認證合格之第三方檢測實驗室進行
    並完成通過資安檢測,檢測範圍以經濟部工業局委託執行單位「行動
    應用資安聯盟」公布之行動應用程式基本資安檢測基準項目進行檢測
    。
四、如通過實驗室檢測後一年內有更新上架之需要,組織應於每次上架前
    就重大更新項目進行委外或自行檢測;所謂重大更新項目為與「下單
    交易」、「帳務查詢」、「身份辨識」及「客戶權益有重大相關項目
    」有關之功能異動。檢測範圍以 OWASP MOBILE TOP 10  之標準為依
    據,並留存相關檢測紀錄。
五、組織對第三方檢測實驗室所提交之檢測報告,應依經濟部工業局委託
    執行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢測基
    準項目建立覆核機制,以確保檢測項目及內容一致,並留存覆核紀錄
    。
   第 五 章 物聯網設備安全控管
第 21 條
(物聯網設備定義)
指具網路連線功能之嵌入式系統設備及其周邊連網之裝置(如:感測器)
。
第 22 條
(物聯網設備指引適用範圍)
本指引定義之物聯網為具備網路連線功能且有連接外部或內部網路之自動
化辦公(OA)設備,如:數位錄影機、電話交換機、傳真機、錄音設備、
影印機、監視器等。
第 23 條
(設備盤點評估)
組織應建立物聯網設備管理清冊並至少每年更新一次,以識別設備用途、
網路設定、存放位置與管理人員,評估適當之實體環境控管措施及存取權
限管制。
第 24 條
(設備軟體控管)
組織建置之物聯網設備應具備安全性更新機制且定期更新,以維持設備的
可用性與完整性。
第 25 條
(設備權限控管)
組織建置之物聯網設備應具備身份驗證機制或配對綁定機制,並應進行初
始密碼變更,且以最小權限原則針對不同的使用者身分進行授權,確保僅
能由經授權之使用者進行資料存取、設備管理及安全性更新等操作。
第 26 條
(設備連線控管)
組織應關閉物聯網設備不必要之網路連線及服務,並避免使用對外公開的
網際網路位置,如設備採用公開的網際網路位置,應於設備前端設置防火
牆予以防護,並採用白名單方式進行存取過濾。如設備以無線連接網路者
,應採用具加密協定之無線存取點連接網路,並以網路卡卡號白名單等機
制進行設備綁定。
第 27 條
(設備採購控管)
組織於採購物聯網設備前應依據二十四條至二十六條進行評估及測試,宜
優先採購取得資安標章之物聯網設備。
相關資訊
第 28 條
(供應商管理)
組織如與物聯網設備供應商簽定採購合約時,其內容應包含資通安全相關
協議,明確約定相關責任(如:服務承諾、安全性更新年限、主動通報設
備已知資安漏洞並提出相關應變處置方案),確保設備不存在已知安全性
漏洞。
第 29 條
(物聯網認知控管)
組織應定期辦理物聯網設備使用及管理人員資安教育訓練。
第 30 條
(例外控管)
組織知悉物聯網設備存在已知弱點且無法更新,或因設備功能限制無法落
實第二十四條至二十六條之規範,應中斷設備網路連線,僅於必要時連接
內部網路並擬定汰換計畫,汰換前應設置於獨立網段與內部網路進行區隔
。
相關資訊
第 31 條
(不具備管理功能之感測器控管)
組織針對不具備管理功能之物聯網設備感測器,其功能雖較為單純且風險
較低,仍應遵循本規範第二十三、二十六、二十七、二十八、二十九、三
十條之要求辦理。
相關資訊
   第 六 章 電子式交易身分驗證安全控管
第 32 條
(電子式交易身分驗證定義)
指以組織同意之電子式委託買賣前對使用者身分驗證資訊進行確認。
第 33 條
(電子式交易型態)
電子式交易型態指委託人以「臺灣證券交易所股份有限公司營業細則」第
七十五條、「臺灣期貨交易所股份有限公司業務規則」第四十八條、「中
華民國證券投資信託暨顧問商業同業公會國內證券投資信託基金電子交易
作業準則」第二條、「中華民國證券投資信託暨顧問商業同業公會境外基
金電子交易作業準則」第二條所訂之電子式委託買賣方式。
相關資訊
第 34 條
(電子式交易身分驗證指引適用範圍)
本指引定義之電子式交易身分驗證,僅適用於透過網際網路交易之系統,
不包含電話語音、電子式專屬線路下單(Direct Market Access,簡稱
DMA)、主機共置(Co–Location)等服務型態。
第 35 條
(電子式交易之訊息防護措施)
訊息防護措施應符合訊息隱密性、訊息完整性、訊息來源辨識性及訊息不
可重複性之安全設計,應符合下列要求:
一、訊息隱密性:應採用 AES 128bits、RSA  2048bits、ECC 256bits
    以上或其他安全強度相同含以上之演算法進行加密運算,應採用 TLS
    1.2 (含)以上之通訊協定並使用 Elliptic Curve Diffie-Hellman
    Exchange  方式進行金鑰交換。
二、訊息完整性:應採用 SHA 256bits、AES 128bits、RSA 2048bits、
    ECC 256bits 以上或其他安全強度相同含以上之演算法進行押碼或加
    密運算。
三、訊息來源辨識性:應採用 SHA 256 bits、AES 128bits、RSA
    2048bits、ECC 256bits 以上或其他安全強度相同含以上之演算法進
    行押碼、加密運算或數位簽章。
四、訊息不可重複性:應採用序號、一次性亂數、時間戳記等機制產生。
五、訊息不可否認性:應採用 SHA256 以上或其他安全強度相同(含)以
    上之演算法進行押碼,及採用 RSA 2048bits、ECC 256bits  以上或
    其他安全強度相同含以上之演算法進行數位簽章。
第 36 條
(電子式交易身分驗證機制管理)
一、除「金融機構辦理快速身分識別機制安全控管作業規範」另有規範之
    作業方式外,組織提供電子式交易登入時,其安全設計應具有下列三
    項之任兩項以上技術:
(一)組織所約定之資訊,且無第三人知悉(如固定密碼、圖形鎖或手勢
      等)。
(二)客戶所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電腦、
      行動裝置、憑證載具等),組織應確認該設備為客戶與組織所約定
      持有之設備。
(三)客戶提供給組織其所擁有之生物特徵(如指紋、臉部、虹膜、聲音
      、掌紋、靜脈、簽名等),組織應直接或間接驗證該生物特徵。間
      接驗證係指由客戶端設備(如行動裝置)驗證或委由第三方驗證,
      組織僅讀取驗證結果,必要時應加驗證來源辨識;採用間接驗證者
      ,應事先評估客戶身分驗證機制之有效性。
二、組織使用固定密碼為驗證機制,於資料如為固定密碼者,於儲存時應
    先進行不可逆運算(如雜湊演算法),另為防止透過預先產製雜湊值
    推測密碼,應進行加密保護或加入不可得知之資料運算。
三、組織直接驗證生物特徵且儲存生物特徵資料於組織內部系統時,應將
    原始生物特徵資料去識別化使其難以還原、將原始生物特徵資料及假
    名標識符進行加密儲存、將生物特徵資料分別儲存於不同之儲存媒體
    (如資料庫);儲存於組織提供之端末設備時,應儲存於符合 FIPS
    140-2 Level 3 標準含以上之設備。
四、組織直接驗證該生物特徵時應依據其風險承擔能力調整生物特徵之錯
    誤接受度,以能有效識別客戶身分;採用間接驗證者,應事先評估客
    戶身分驗證機制之有效性。
五、組織使用憑證作為驗證機制,應為經濟部核定之憑證機構所核發之憑
    證,並強化憑證換發之驗證機制,以確保為客戶本人登入。
第 37 條
(電子式交易身分驗證控管)
一、組織對於電子式交易身分的申請、交付、使用、更新與驗證應訂有相
    關規範。
二、組織對電子式交易身分的驗證資訊於網際網路傳輸時應全程加密。
三、組織對電子式交易身分的驗證資訊應進行雜湊或加密儲存。
四、組織應於伺服器端驗證其電子式交易身分,避免因設置於客戶端而被
    繞過驗證機制之風險。
五、組織應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達
    3 次者應予帳號鎖定。
六、組織應提供客戶定期更新密碼之機制並使用優質密碼(如:客戶逾三
    個月未更改密碼時應提供客戶更改密碼機制,提醒客戶更新密碼)。
七、組織應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號登入嘗試
    紀錄等進行監控及分析。
第 38 條
(電子式交易稽核軌跡)
一、組織應留存個人資料使用稽核軌跡(如登入帳號、系統功能、時間、
    系統名稱、查詢指令或結果)或辨識機制,以利個人資料外洩時得以
    追蹤個人資料使用狀況。
二、組織應就帳號登入及交易紀錄時通知帳號所有者,並留存相關紀錄。
   第 七 章 深度偽造防範安全控管
第 39 條
(深度偽造定義)(Deepfake)
指使用電腦合成或其他科技方法製作或散布涉及真實人物實際未發生的行
為舉止影像紀錄、動態圖像、錄音、電子圖像、照片及任何言語或行為等
技術表現形式。
第 40 條
(電話交易身分驗證控管)
一、組織如提供電話交易服務,應訂定身分驗證程序(如語音密碼)避免
    非本人之假冒。
二、委託人以語音委託時,應配合電信機構開放顯示發話端號碼之功能,
    記錄其來電號碼。
第 41 條
(影像視訊身分驗證控管)
一、組織使用影像視訊方式進行身分驗證時應使用一次性密碼(OTP )、
    專人電訪或查驗本人並核對證件照片等方式強化驗證。
二、組織使用影像視訊時應確認真實視訊環境(如隨機問答),以防止透
    過科技預先錄製影片。
三、組織應留存影像或照片,以利後續查證。
第 42 條
(深度偽造防範控管)
組織每年定期辦理之資訊安全教育訓練,宜涵蓋深度偽造認知及防範議題
。