所有條文

名  稱:

證券暨期貨市場各服務事業資通系統安全防護基準參考指引 

修正日期: 民國 113 年 01 月 09 日
主題分類: 資訊作業
   第 一 章 總則
第 1 條
(目的)
為強化證券商、期貨商及投信投顧業者之資通安全,依據金融監督管理委
員會「金融資安行動方案」強化金融業資安防護能力,針對資通系統安全
議題,擬定資通系統安全防護基準參考指引。
相關資訊
第 2 條
(適用範圍與對象)
本指引適用對象包括證券商、期貨商、證券投資信託事業及證券投資顧問
事業。適用對象分為以下兩類說明:
一、第一類:
(一)依「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三
      十六條之二條文指派資訊安全長之組織。
(二)「建立證券商資通安全檢查機制-分級防護應辦事項附表」所列第
      一級、第二級、第三級證券商。
(三)「建立期貨商資通安全檢查機制-分級防護應辦事項附表」所列第
      一級、第二級、第三級期貨商。
二、第二類:
    非屬第一類範圍之組織。
三、以下參考指引如無特別說明,皆為第一類及第二類組織應遵循之事項
    。
四、外資集團在台子公司或分公司,其資安管理政策由外國母公司或總公
    司控制與建置者,如其母公司或總公司已建置或設立相關控制措施,
    且有較佳之規範,則從其規範;若無,則應遵循本國法令法規規範。
相關資訊
第 3 條
(名詞定義)
一、資通系統:
    係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他
    處理、使用或分享之系統。
二、核心系統:
    係指直接提供客戶交易或支持交易業務持續運作之必要系統(如交易
    系統、報價系統、中台風控、盤後結算系統、帳務系統等維持交易業
    務之必要系統),其餘皆為非核心系統。
三、非客戶帳號:
    係指非客戶所使用之資通系統帳號(如:提供內部人員、管理者及廠
    商等所使用之資通系統帳號)。
四、資訊資產:
    係指與資訊處理相關之資產,包括硬體、軟體、資料及文件等(如:
    伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊)。
   第 二 章 存取控制
第 4 條
(帳號管理)
一、組織應建立資通系統帳號管理機制,包含帳號之申請、建立、修改、
    啟用、停用及刪除之程序。
二、組織如有核准臨時或緊急使用之資通系統帳號,於作業結束後,應即
    時刪除或禁用該等資通系統帳號。
三、組織應禁用資通系統閒置帳號。
四、組織應定期(至少每半年一次)審查資通系統帳號及權限之適切性。
五、第一類組織應定義核心系統之閒置時間或可使用期限與核心系統之使
    用情況及條件(如:帳號類型與功能限制、操作時段限制、來源位址
    限制、連線數量及可存取資源等)。
六、第一類組織核心系統逾越所定之許可閒置時間或可使用期限時,系統
    宜自動將使用者帳號登出。
七、第一類組織應依組織規定之情況及條件,使用核心系統。
八、提供網際網路下單服務之組織,應每日針對核心系統帳號、非客戶帳
    號登入嘗試紀錄等進行監控及分析,如發現帳號違常使用時回報管理
    者並進行後續處理。
九、組織不得使用客戶之顯性資料(如統一編號、身分證號、手機號碼、
    電子郵件帳號、信用卡號、存款帳號等)作為唯一之識別,否則應另
    行增設使用者代號以資識別。
第 5 條
(最小權限)
一、資通系統帳號授權應採最小權限原則,僅允許使用者(或代表使用者
    行為之程序)依組織部門權責及業務功能,完成作業所需之授權存取
    。
二、組織應定義人員角色及責任並區隔相互衝突的角色。
第 6 條
(遠端存取)
一、組織應訂定遠端連線管理辦法,建立使用限制、組態需求、連線需求
    及文件化,對於任一允許之遠端存取類型,均應先取得授權,並留存
    相關紀錄。
二、組織應於伺服器端完成資通系統帳號權限登入驗證作業。
三、組織應監控使用外部網路遠端連線存取組織內部網段之連線。
四、資通系統應採用連線加密機制。
五、資通系統遠端存取之來源應為組織已核准之存取控制點。
   第 三 章 事件日誌與可歸責性
第 7 條
(記錄事件)
一、組織應訂定資通系統電腦稽核紀錄(日誌)之記錄時間週期及保存政
    策,並至少保存三年。
二、資通系統應確有記錄特定事件之功能,並決定應記錄之特定資通系統
    事件。
三、資通系統應記錄管理者帳號所執行之各項功能,且應於核心系統最高
    權限帳號、特殊功能(如程式或軟體異動、參數或組態變更權限等)
    權限帳號被使用時,每日覆核使用結果。
四、組織應定期審查核心系統產生之電腦稽核紀錄(日誌),非核心系統
    宜定期審查。
第 8 條
(電腦稽核紀錄(日誌)記錄內容與容量)
一、資通系統產生之電腦稽核紀錄(日誌)應包含事件類型、發生時間、
    發生位置及任何與事件相關之使用者身分識別等資訊,宜採用單一日
    誌機制,確保輸出格式之一致性,並應依組織所訂之資通安全政策及
    相關法令要求及組織業務需求納入其他相關資訊。
二、資通系統應依據電腦稽核紀錄(日誌)儲存需求,配置所需之儲存容
    量。
第 9 條
(電腦稽核紀錄(日誌)處理失效之回應)
一、組織於資通系統電腦稽核紀錄(日誌)處理失效時,應採取適當之行
    動。
二、第一類組織之核心系統規定需要即時通報之電腦稽核紀錄(日誌)處
    理失效事件發生時,核心系統宜於組織規定之時效內,對特定人員提
    出警告。
第 10 條
(時戳及校時)
一、資通系統應使用系統內部時鐘產生電腦稽核紀錄(日誌)所需時戳,
    並可以對應到世界協調時間(UTC) 或格林威治標準時間(GMT) 。
二、資通系統內部時鐘應定期與基準時間源進行同步。
第 11 條
(電腦稽核紀錄(日誌)資訊之保護)
一、對電腦稽核紀錄(日誌)之存取管理,僅限於有權限之使用者。
二、核心系統應運用雜湊或其他適當方式之完整性確保機制,非核心系統
    宜有完整性確保機制。
三、第一類組織之核心系統應定期備份電腦稽核紀錄(日誌)至原系統外
    之其他實體系統。
   第 四 章 營運持續計畫
第 12 條
(系統備份)
一、組織應訂定資通系統可容忍資料損失之時間要求。
二、組織應執行資通系統程式原始碼與資料備份。
三、組織應定期測試資通系統備份資訊,以驗證備份媒體之可靠性及資訊
    之完整性。
四、第一類組織之核心系統應將備份還原,作為營運持續計畫測試之一部
    分。
五、第一類組織之核心系統應在與運作系統不同地點之獨立設施或防火櫃
    中,儲存重要資通系統軟體與其他安全相關資訊之備份。
第 13 條
(系統備援)
一、組織應訂定資通系統從中斷後至重新恢復服務之可容忍時間要求。
二、資通系統原服務中斷時,組織應於可容忍時間內,由備援設備或其他
    方式取代並提供服務。
三、組織應建立對於重大資訊系統事件或天然災害之應變程序,並確認相
    對應之資源,以確保重大災害對於重要營運業務之影響在其合理範圍
    內。
   第 五 章 識別與鑑別
第 14 條
(內部使用者之識別與鑑別)
一、資通系統應具備唯一識別及鑑別組織內部使用者(或代表組織使用者
    行為之程序)之功能,禁止使用共用帳號。
二、透過網際網路使用管理帳號登入核心系統時,應採用多因子認證機制
    ,第一類組織之核心系統對內部使用者存取宜採取多因子認證機制。
第 15 條
(身分驗證管理)
一、使用者使用預設密碼登入資通系統時,應於登入後要求立即變更預設
    密碼後方可繼續作業。
二、資通系統身分驗證相關資訊不以明文傳輸。
三、資通系統具備帳戶鎖定機制,帳號登入進行身分驗證失敗達五次後,
    至少十五分鐘內不允許該帳號繼續嘗試登入或使用組織自建之失敗驗
    證機制。屬電子式交易者,密碼輸入錯誤次數達三次者,應記錄登入
    失敗事件、鎖定該登入帳號並中斷連線;受理解除鎖定之申請時,應
    確實辨認身分,並留存相關紀錄後,始得解除鎖定。
四、使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長
    之效期限制。
五、密碼變更時,至少不可以與前三次使用過之密碼相同。
六、上開兩項所定措施,對非內部使用者,可依組織自行規範辦理。
七、核心系統身分驗證機制應防範自動化程式之登入或密碼更換嘗試,非
    核心系統宜防範自動化程式之登入或密碼更換嘗試。
八、核心系統密碼重設機制對使用者重新身分確認後,發送一次性及具有
    時效性符記(如:網站連結或一次性密碼 One-time password,OTP,
    至使用者登記之電子信箱或手機)或其他驗證身分方式,非核心系統
    密碼重設後宜有驗證身分方式。
第 16 條
(鑑別資訊回饋與加密模組識別)
一、組織應遮蔽資通系統鑑別過程中之資訊。
二、組織如以密碼進行資通系統鑑別時,該密碼應加密或經雜湊處理後儲
    存。
第 17 條
(非內部使用者之識別與鑑別)
資通系統應識別及鑑別非組織使用者(或代表組織使用者行為之程序)。
   第 六 章 系統與服務獲得
第 18 條
(系統發展生命週期需求分析與設計階段)
一、組織於系統需求分析階段,應針對資通系統安全需求(含機密性、可
    用性、完整性)進行確認。
二、組織應根據核心系統功能與要求,識別可能影響系統之威脅,進行風
    險分析及評估,非核心系統宜進行威脅識別、風險分析及評估。
三、組織應將核心系統風險評估結果回饋需求階段之檢核項目,並提出安
    全需求修正,非核心系統宜依風險評估結果修正安全需求。
第 19 條
(系統發展生命週期開發與測試階段)
一、資通系統應針對安全需求實作必要控制措施。
二、資通系統應注意避免軟體常見漏洞及實作必要控制措施。
三、資通系統發生錯誤時,使用者頁面僅顯示簡短錯誤訊息及代碼,不包
    含詳細之錯誤訊息。
四、提供網際網路下單服務之組織,核心系統宜執行「源碼掃描」安全檢
    測。
五、第一類組織之核心系統宜具備發生嚴重錯誤時之通知機制。
六、提供網際網路下單服務之組織,應定期(至少每半年乙次)辦理資通
    系統「弱點掃描」安全檢測。
七、提供網際網路下單服務之組織,應定期對提供網際網路服務之核心系
    統辦理「滲透測試」安全檢測。
第 20 條
(系統發展生命週期部署、維運與委外階段)
一、組織於部署環境中應針對資通系統相關安全威脅與漏洞,進行更新與
    修補,並關閉不必要服務及埠口。
二、組織應檢視現有之資通系統,應設定使用優質密碼,且應避免使用預
    設密碼。
三、組織於資通系統發展生命週期之維運階段,應執行版本控制與變更管
    理。
四、組織如委外辦理資通系統開發,應將系統發展生命週期各階段依等級
    將安全需求(含機密性、可用性、完整性)納入委外契約。
第 21 條
(獲得程序與系統文件)
一、資通系統正式作業環境應與開發、測試作業環境區隔。
二、組織應儲存與管理資通系統發展生命週期之相關文件。
   第 七 章 系統與通訊保護
第 22 條
(傳輸之機密性、完整性與資料儲存安全)
一、透過網際網路傳輸個人或機敏資料,核心系統應採用加密傳輸機制,
    以防止未授權之資訊揭露或偵測資訊之變更。
二、第一類組織於內部網路傳輸個人或機敏資料,核心系統宜採加密傳輸
    機制。
三、上開兩項,傳輸過程中如有替代之實體保護措施者,則無需採加密傳
    輸機制。
四、如有國際傳輸機敏資料,組織應建立加密傳輸機制且應就受委託機構
    (外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理
    者)對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合
    我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反主
    管機關對國際傳輸之限制,並留存完整稽核紀錄。
五、加密機制應使用公開、國際機構驗證且未遭破解之演算法。
六、加密機制之金鑰或憑證應定期更換。
七、加密機制宜支援演算法最大長度金鑰。
八、加密機制於伺服器端之金鑰保管宜訂定管理規範及實施應有之安全防
    護措施。
九、第一類組織之核心系統重要組態設定檔案及其他具保護需求之資訊應
    加密或以其他適當方式儲存。
十、加解密程式或具變更權限之公用程式(如資料庫工具程式)應列管並
    限制使用,防止未經授權存取並保留稽核軌跡。
   第 八 章 系統與資訊完整性
第 23 條
(漏洞修復)
一、組織對於資通系統之漏洞檢測應以全部資訊資產為原則,漏洞修復應
    測試有效性及潛在影響,並定期更新。
二、組織應定期確認資通系統相關漏洞修復之狀態,應針對所發現漏洞之
    風險高低及是否對外提供服務,設定修補期限,未修補前應加強防護
    及異常偵測,以確保弱點管理之即時性及有效性。
第 24 條
(資通系統監控)
一、如發現資通系統有被入侵跡象時,應通報組織特定人員。
二、組織應監控核心系統,以偵測攻擊與未授權之連線,並識別資通系統
    之未授權使用,非核心系統宜進行監控。
三、核心系統宜採用自動化工具監控進出之通信流量,並於發現不尋常或
    未授權之活動時,針對該事件進行分析。
第 25 條
(軟體及資訊完整性)
一、核心系統應使用完整性驗證工具,以偵測未授權變更特定軟體及資訊
    ,非核心系統宜使用完整性驗證工具。
二、核心系統使用者輸入資料合法性檢查應置放於應用系統伺服器端。
三、資通系統發現於違反完整性時,應實施組織指定之安全保護措施。
四、第一類組織之核心系統宜定期執行軟體與資訊完整性檢查。
第 26 條
(個人資料保護)
一、為維護所保有個人資料之安全,應採取下列資料安全管理措施:
(一)訂定各類設備或儲存媒體之使用規範,及報廢或轉作他用時,應採
      取防範資料洩漏之適當措施。
(二)針對所保有之個人資料內容,有加密之需要者,於蒐集、處理或利
      用時,採取適當之加密措施。
(三)作業過程有備份個人資料之需要時,對備份資料予以適當保護。
二、保有個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路
    晶片、電腦、自動化機器設備或其他媒介物者,應採取下列設備安全
    管理措施:
(一)實施適宜之存取管制。
(二)訂定妥善保管媒介物之方式。
(三)依媒介物之特性及其環境,建置適當之保護設備或技術。
三、為維護所保有個人資料之安全,應依執行業務之必要,設定相關人員
    接觸個人資料之權限及控管其接觸情形,並與所屬人員約定保密義務
    。
四、應針對核心系統及各類電腦系統確認所保有之個人資料進行風險評估
    及控管。
五、應針對核心系統及各類電腦系統建置留存個人資料使用稽核軌跡(如
    登入帳號、系統功能、時間、系統名稱、查詢指令或結果)或辨識機
    制,以利個人資料外洩時得以追蹤個人資料使用狀況。
六、應建立資料外洩防護機制,管制個人資料檔案透過輸出入裝置、通訊
    軟體、系統操作複製至網頁或網路檔案等方式傳輸,並應留存相關紀
    錄、軌跡及證據。
七、如刪除、停止處理或利用所保有之個人資料後,應留存下列紀錄:
(一)刪除、停止處理或利用之方法、時間。
(二)將刪除、停止處理或利用之個人資料移轉其他對象者,其移轉之原
      因、對象、方法、時間,及該對象蒐集、處理或利用之合法依據。