所有條文

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 107 年 11 月 30 日
主題分類: 市場監理 > 證券商管理
1.風險評鑑與管理(CC-11000,適用網際網路下單證券商,不適用語音下
  單及傳統下單之證券商,年度查核)
(1) 應鑑別公司適用資訊安全風險範圍內之所有資訊資產以及其擁有者
      。
(2) 應確定公司各作業可接受之資訊安全風險等級。
(3) 公司應有書面的資訊安全風險評估報告,每年至少評估一次,並留
      存相關紀錄。
2.資訊安全政策(CC-12000,年度查核)
(1) 公司應依據相關法令規定及公司業務需求,訂定資訊安全政策、資
      訊作業之安全水準。
(2) 制訂資訊安全政策,應包括下列事項:
      a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
      b.資訊安全政策之解釋及說明,資訊安全之原則、標準以及員工應
        遵守之相關規定。
      c.推行資訊安全工作之組織、權責及分工。
      d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明
        。
(3) 公司所訂定之資訊安全政策,應經管理階層核准,並應正式發布要
      求所有員工共同遵守,並轉知與公司連線作業之公私機關(構)、
      提供資訊服務之廠商共同遵行。
(4) 公司訂定之資訊安全政策,應至少每年評估一次,以反映法令規章
      、技術及業務等最新發展現況,確保資訊安全實務作業之有效性,
      前開之評估工作應留存相關紀錄。
(5) 資訊安全政策之評估,應以獨立及客觀之方式進行,並由內部或委
      託外部專業機構辦理。
(6) 公司每年應將前一年度資訊安全整體執行情形,由負責資訊安全之
      最高主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行
      情形聲明書,並提報董事會通過,於會計年度終了後三個月內將該
      聲明書內容揭露於公開資訊觀測站。
相關資訊
3.安全組織(CC-13000,年度查核)
(1) 公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、
      監控及執行資訊安全管理作業,且相關人員之工作職掌與兼辦業務
      情形應符合規定。
(2) 公司應指定副總經理或高層主管人員,負責資訊安全管理事項之協
      調及推動,並得視需要,成立跨部門之「資訊安全推行小組」,統
      籌資訊安全政策、計畫、資源調度等事項之協調、研議。
(3) 公司應視資訊安全管理需要,指定專人或專責單位負責規劃與執行
      資訊安全工作,且每年應定期參加十五小時以上資訊安全專業課程
      訓練或職能訓練並通過評量。其他使用資訊系統之從業人員,每年
      應至少接受三小時以上資訊安全宣導課程。
(4) 公司資訊安全人力、能力及經驗,如有不足之處,得委請外界的學
      者專家或民間專業組織及團體,提供資訊安全顧問諮詢服務。
(5) 資訊處理部門與業務單位之權責,應明確劃分。
相關資訊
4.資產分類與控制(CC-14000,半年查核)
(1) 資訊資產應列有清冊,清冊並應加以維護。
(2) 應訂有資訊分級並作標示處理之相關規範。(適用網際網路下單證
      券商,不適用語音下單及傳統下單之證券商)
5.人員安全(CC-15000,半年查核)
(1) 員工應依相關法令課予機密維護責任,並應填具保密切結書,以明
      責任。
(2) 員工離職時應取消其識別碼,並收繳其通行證、卡及相關證件。
(3) 應定期(每年至少一次)對全公司員工辦理資訊安全宣導講習(例
      如:資訊安全政策、資訊安全法令規定、資訊安全作業程序以及如
      何正確使用資訊科技設施等),並留存紀錄。
(4) 員工應依職務層級進行適當的資訊安全教育訓練,每年並達內部所
      定之訓練時數。
(5)證券商應設置電腦稽核人員。(適用網際網路下單證券商,不適用
      語音下單及傳統下單之證券商)
6.實體與環境安全(CC-16000,半年查核)
(1) 電腦機房應有門禁管制(例如:刷卡)。
(2) 機房應有防火設施,並應定期檢驗。
(3) 另應將地震、水災等天然災害因素列入考量。
(4) 電腦設備之電源供應系統應含不斷電設備及發電機。
(5) 應訂定設備報廢作業程序,報廢前應將機密性、敏感性資料及授權
      軟體予以移除、實施安全性覆寫或實體破壞,應確保報廢之電腦硬
      碟及儲存媒體儲存之資料不可還原,並留存報廢紀錄。
7.通訊與作業管理(CC-17000)
(1) 網路安全管理(CC-17010,適用網際網路下單證券商,另 a、b、e
      項並適用於所有使用競價終端設備連結公眾網路之證券商,每月查
      核)
      a.網路系統安全評估:
     (a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器
          、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。
     (b)定期或適時修補網路運作環境之安全漏洞(含伺服器、攜帶型
          、個人端及營業處所內供投資人共用之電腦等),並留存相關
          文件。
     (c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵
          事件、電腦防毒等)之事項應隨時對內部公告。
     (d)各電腦主機、重要軟硬體設備應有專人負責。
      b.防火牆之安全管理:
     (a)應建立防火牆。
     (b)防火牆應有專人管理。
     (c)防火牆進出紀錄及其備份應至少保存三年。
     (d)重要網站及伺服器系統(如網路下單系統等)應以防火牆與外
          部網際網路隔離。
     (e)防火牆系統之設定應經權責主管之核准。
      c.網路傳輸安全管理:
        網路下單畫面應採加密方式(例如:SSL) 處理。
      d.CA  認證與憑證管理:
     (a)網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
     (b)網路下單證券商應全面使用認證機制。
      e.電腦病毒及惡意軟體之防範:
     (a)應安裝防毒軟體,並及時更新程式及病毒碼。
     (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件
          )。
     (c)防毒應涵蓋個人端(含攜帶型及營業處所內供投資人共用之電
          腦等)及網路伺服器端電腦。
     (d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附
          件,尤應特別小心開啟。
     (e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使
          用安全相關規定。
      f.網路下單系統功能檢查:
     (a)應定期檢查網路下單系統提供之功能,並留存紀錄。
     (b)應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員
          處理。
      g.公司提供 API  服務規範:
        公司提供客戶使用應用程式介面(API) 服務之申請流程、核可
        標準及相關控管配套措施相關作業,應依「證券商受理客戶使用
        應用程式介面(API) 服務作業規範」辦理。
      h.網際網路下單服務品質相關標準:
        公司提供網際網路下單業務時,兼顧客戶服務品質,應訂定網際
        網路下單服務品質相關標準,並應包含下列重點如:交易之安全
        性、交易之穩定及友善、提供客戶服務。
(2) 電腦系統及作業安全管理(CC-17020,半年查核)
      a.電腦設備之管理:
        為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維
        護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢
        查。
      b.電腦作業系統環境設定及使用權限設定:
     (a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並
          由系統管理人員執行。
     (b)電腦系統檔案異動前後皆有完善之備份處理措施。
      c.電腦媒體之安全管理:
     (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
     (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應
          鎖存於防火之房間或防火且防震之防火櫃中。
     (c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱
          及保存期限。
     (d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩
          露或不當使用。
     (e)應建立回存測試機制,以驗證備份之完整性及儲存環境的適當
          性。
      d.電腦操作管理:
     (a)操作人員應確實依規定操作程序執行。
     (b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管
          為同一人。
     (c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主
          管核驗。
      e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
      f.證券經紀商之電腦系統應訂定定期(每年至少一次)由內部或委
        託外部專業機構評估電腦系統容量及安全措施之機制與程序,定
        期對系統容量進行壓力測試,並留存紀錄。
8.存取控制(CC-18000,每月查核)
(1) 公司應訂定資訊系統存取控制相關規定,並以書面、電子或其他方
      式告知員工遵守。
(2) 權限管理:
      a.對於程式的存取使用,應有詳細的書面管制說明。
      b.人員異動時應及時更新其使用權限。
      c.對於程式及檔案之存取使用,應按權限區分。
      d.委外人員電腦通行使用權利應經適當控管; 委外期間結束後,應
        立即收回該項權利。
      e.對於進駐於公司內之委外作業人員應納入公司安全管理,如欲使
        用內部網路資源時,應有安全管制措施(如透過轉接方式或另建
        網路者,宜與內部網路作實體隔離)。
      f.應定期(至少每半年一次)審查並檢討久未使用之使用者權限(
        使用者為客戶者除外)。
(3) 密碼管理:
      a.使用者第一次使用系統時,應更新初始密碼後方可繼續作業。
      b.密碼應以亂碼方式儲存。
      c.對於使用者忘記密碼之處理,應有嚴格的身分確認程序,方可再
        次使用系統。
      d.初始密碼應隨機產生,並與使用者身分無關。
      e.密碼輸入錯誤次數達三次者,應予中斷連線。
      f.除輸入介面僅可輸入數字外(例如:語音按鍵下單),公司應使
        用優質密碼設定(長度 6  個字元(含)以上,且具有文數字或
        符號),並加強宣導客戶定期更新使用者密碼以不超過三個月為
        宜。除客戶外,公司其他使用者之密碼應至少每三個月變更一次
        。
      g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作
        業系統及資料庫等軟硬體設備應設定使用密碼,且避免使用預設
        (如 administrator、root、sa)或簡易(如 1234) 之帳號密
        碼及未設管理者存取權限。
      h.客戶申請採電子式交易型態者,公司以電子方式交付電子密碼條
        時,應傳送 OTP (One Time Password)密碼至客戶開戶留存之
        手機號碼,及將加密後之電子密碼條以電子方式傳送至客戶留存
        之電子信箱,此流程相關系統紀錄應留存。
(4) 電腦稽核紀錄管理:
      a.對重要系統(如主機連線系統、網路下單系統等)之稽核日誌記
        錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料
        或其網址等事項。
      b.對上開重要系統之電腦稽核紀錄,應有專人定期檢視。
      c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序,至
        少留存三年。
(5) 資料輸入管理:
      a.安全性或重要性較高之資料,應由權責主管人員核可後始得執行
        輸入或修改。
      b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
      c.對隱密性高之重要資料(例如:密碼檔)應以亂碼後之資料形式
        存放。
      d.公司如屬公開發行公司者,應於內部控制制度納入「公開發行公
        司網路申報公開資訊應注意事項」,並據以辦理相關申報事宜。
      e.使用電子憑證IC卡或其他類型憑證晶片卡或其他憑證載具等代
        表公司簽署之作業(例如:「公開資訊觀測站」、「證券商申報
        單一窗口」、「公文電子交換系統」等),該等憑證載具應由專
        人負責保管並設簿登記,且應訂定相關帳號、密碼保管及使用程
        序,並據以執行。
      f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者
        (例如:「電子對帳單系統」),應留存電腦稽核紀錄(log )
        ,其保存年限比照各作業資料應保存年限。
      g.應依「個人資料保護法」,妥善處理客戶及公司內部人個人資料
        。
      h.公司應定期或不定期稽核依「個人資料保護法」定義之個人資料
        管理情形。
      i.前揭個人資料,其更新、更正或註銷均應報經備查,並將更新、
        更正、註銷內容、作業人員及時間詳實記錄。
      j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用,
        應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
(6) 資料輸出管理:
      a.報表是否按時產生並分送各使用單位。
      b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。
      c.投資人於公司網站查詢個人資料應具有加密傳輸機制(例如:
        SSL )。
      d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸,公
        司對姓名、帳號及信用帳號等機敏資訊,應依「機敏資訊類型及
        隱匿之具體作法原則」辦理。
相關資訊
9.系統開發及維護(CC-19000,半年查核)
(1) 應用系統在規劃分析時應將資訊安全需求納入分析及規格。
(2) 輸入資料是否有作檢查,以確認其正確性。
(3) 應使用具有合法版權之軟體。
(4) 委外作業應簽訂契約,委外作業契約內容應包含資訊安全協定與對
      委外廠商資安稽核權等條款。
(5) 已完成之程式因故需維護時,應依據經過正式核准之程序辦理。
(6) 各項文件與手冊應經適當維護與控制。
(7) 應用系統之維護應指派專人負責。
(8) 應用系統異動管理:
      a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開
        存放。
      b.程式經修改其相關文件應及時更新。
(9) 公司應定期(至少每半年乙次)辦理資訊系統弱點掃描作業,針對
      所辨識出之潛在系統弱點,宜評估其相關風險或安裝修補程式,並
      留存紀錄(適用網際網路下單證券商,不適用語音下單及傳統下單
      之證券商)。
10. 營運持續管理(CC-20000 ,半年查核)
(1) 故障復原程序(例如:電腦設備、通訊設備、電力系統、資料庫、
      電腦作業系統等備援及回復計畫)應明確訂定,並製成文件。
(2) 故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺
      失謀求改進,並留存紀錄。
(3) 證券經紀商之交易主機應有備援措施。
(4) 公司宜擬訂營運持續計畫(含起動條件、參與人員、緊急程序、備
      援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規
      劃及合約適當性等)及其必要之維護,並擬訂關鍵性業務及其衝擊
      影響分析。
(5) 公司應訂定資訊安全訊息通報機制(例如:正式之通報程序及資安
      事件通報聯絡人),宜針對與資訊系統有關之資訊安全事故,採取
      適當矯正程序,並留存紀錄。
(6) 公司發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故
      者,應立即函報證交所(或櫃檯買賣中心、券商公會)轉陳主管機
      關。
(7) 公司應明確訂定分散式阻斷服務攻擊(DDoS)防禦與應變作業程序
      。
11.符合性(CC-21000 ,半年度查核)
(1)應定期(每年至少一次)辦理資訊安全查核作業(內部辦理或委託
     外部專業機構),並應留存查核紀錄
(2)公司是否針對前開之資訊安全查核報告辦理追蹤改善情形(包括查
     核摘要、查核範圍、缺失說明及改進建議等)。
12. 新興科技應用(CC-21100,年度查核)
 (1)雲端服務:
      a.公司為雲端服務使用者時,應訂定雲端運算服務運作安全規範內
        含雲端提供者之遴選機制、查核措施、備援機制、服務水準(含
        資訊安全防護)與復原時間要求等,如有不符需求之處,需有其
        它補償性措施。
      b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,
        應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。
        如涉及敏感性資料之傳遞,應使用超文字傳輸安全協定(HTTPS
        )、安全檔案傳輸協定(SFTP)等加密之網路協定。
 (2)社群媒體:
      a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法
        ,應包含以下內容:
     (a)界定可於公務用社群媒體上分享之業務相關資料。
     (b)私人與公務用社群媒體之區別與應注意事項。
      b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩
        、社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
      c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含
        以下內容:
     (a)應事先了解所經營之社群媒體隱私政策,並定期(每年一次)
          檢視其隱私政策之異動及評估其風險。
     (b)於官方網站提供連結供使用者連至公司外之社群媒體時,應出
          現提示視窗告知使用者該連結非公司本身之網站。
     (c)對經營之社群媒體應標示證券商名稱、聯絡方式,以區別為官
          方經營之社群媒體。
     (d)應建立帳號權限管理機制,對發布內容進行控管與監視,並針
          對不適當言論及異常事件,進行通報或處置。
 (3)行動裝置:
      a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含
        以下項目:
     (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
          應訂有相關規範。
     (b)人員異動時,行動裝置應進行重新配置或清除配置程序,以確
          保行動裝置環境安全性。
     (c)行動裝置應避免安裝非官方發佈之行動應用程式,或僅安裝由
          公司列出通過檢測可安裝之行動應用程式。
      b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包
        含以下項目:
     (a)公司應要求員工自攜行動裝置使用用途。
     (b)公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限
          制及雙方責任等。
     (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
          網路(Internet)之行為。
      c.公司應訂定行動應用程式之發佈規範與管理辦法,須包含以下內
        容:
     (a)應用程式發佈前,應確認程式碼或程序庫通過內容安全或驗證
          程序,如:程式原始碼檢測或掃描,確認未含惡意程式碼與有
          敏感性資料。
     (b)行動應用程式宜完整定義特殊符號篩選機制。
     (c)無法取得行動應用程式原始碼時,應要求行動應用程式提供者
          符合前項安全事項。
      d.公司應訂定行動應用程式安全控管規範與管理辦法,須包含以下
        內容:
     (a)應針對交易或帳務等敏感性資料設計行動應用程式存取驗證機
          制,並僅供經授權之行動應用程式使用該敏感性資料。
     (b)透過行動應用程式發送簡訊或其他訊息通知方式告知使用者敏
          感性資料時,應進行適當去識別化。
     (c)透過行動應用程式傳送帳號、密碼及其他敏感性資料時,應以
          憑證驗證或加密機制確保傳送安全。
     (d)透過行動應用程式儲存密碼、憑證、交易或帳務等敏感性資料
          時,應對儲存之資料進行雜湊(Hash)或加密控管保護。
     (e)透過行動應用程式處理交易或金流作業時,宜留存存取日誌,
          且存取日誌應予以保護以防止未經授權存取。
 (4)物聯網:
      應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
      a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開
        設備之初始密碼。
      b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如
        存在已知弱點無法更新時,應建立補償性管控機制。
      c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開
        的網際網路位置。
      d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全
        相關協議,明確約定相關責任(如:服務承諾、安全性更新年限
        、主動通報設備已知資安漏洞並提出相關應變處置方案),確保
        設備不存在已知安全性漏洞。
相關資訊
13. 其他(CC-22000,半年查核)
(1) 資訊提供作業(CC-22010)
      a.各種重要法令規章及通知應立即張貼於公佈欄。
      b.上市公司之營運資料、公開說明書應陳列於證券投資資料櫃供客
        戶閱覽。
      c.營業廳內應裝置「公開資訊觀測站」,供客戶自行操作使用。
      d.資訊閱覽室應未限定對象並且無收費行為。
      e.資訊閱覽室不得裝設專用競價用終端機。
      f.不得於資訊閱覽室從事與客戶簽定開戶契約、接受買賣有價證券
        之委託交割及其他類似證券商業務行為。
      g.於所設網站上提供股市即時交易資訊,應經由與證交所簽約之資
        訊公司提供。
      h.應定期檢查網站內對外提供之資訊,對具機密性、敏感性之資訊
        內容,應立即移除;並應遵守證券商推介客戶買賣有價證券作業
        辦法規定,且不得以公司名義將屬於證券投資顧問事業範圍之資
        訊代為公開。
      i.證券商若於網站平台上進行推介,應設有密碼以控管得閱覽個股
        研究報告之客戶;且客戶應與證券商簽訂推介契約(國內機構投
        資人及外國機構投資人得免簽)。
相關資訊