編章節內容

名  稱:

證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引 

Reference Guidelines on the Supply Chain Risk Management of Service Enterprises in Securities and Futures Markets

修正日期: 民國 113 年 11 月 07 日
主題分類: 資訊作業
   第 一 章 總則
第 1 條
(目的)
為協助證券商、期貨商及投信投顧業者安全有效的管理資訊服務供應鏈風
險,依據金融監督管理委員會(以下稱金管會)「金融資安行動方案」強
化金融業資通系統供應商及跨機構資訊服務之風險評估及稽核等管理機制
之議題,特針對資通系統之資訊服務供應商遴選、資訊服務供應商管理以
及資訊服務供應商終止與解除等議題,擬定供應鏈風險管理參考指引。
相關資訊
第 2 條
(適用範圍與對象)
本指引適用對象包含證券商、期貨商、證券投資信託事業及證券投資顧問
事業。適用對象分為以下兩類說明:
一、第一類:
    「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十六
    條之二條文指派資訊安全長之組織。
二、第二類:
    非屬第一類範圍之組織。
三、外資集團在台子公司或分公司,其資安管理政策由外國母公司或總公
    司控制與建置者,如其母公司或總公司已建置或設立相關控制措施,
    且有較佳之規範,則從其規範;若無,則應遵循本國法令法規規範。
四、金管會周邊相關單位提供之資訊服務與受相關主管機關監督之金融資
    訊交換基礎設施(如 SWIFT)非屬適用範圍。
五、以下參考指引如無特別說明,皆為第一類及第二類組織應遵循之事項
    。
第 3 條
(名詞定義)
一、資訊委外:
    係指組織將部分或全部之資通服務由組織外之軟硬體供應與維運商、
    跨機構合作夥伴提供。
二、資訊資產:
    係指與資訊處理相關之資產,包括硬體、軟體、資料、文件及人員等
    (如:伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊)
    。
三、資通系統:
    係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他
    處理、使用或分享之系統。
四、核心業務:
    係指直接提供客戶交易或支持交易業務持續運作之必要業務。
五、核心系統:
    係指直接提供客戶交易或支持交易業務持續運作之必要系統,其餘皆
    為非核心系統。
六、資通服務:
    係指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使
    用或分享相關之服務。
七、雲端服務:
    透過網路技術達成共享運算資源之前提下,提供使用者具備彈性、可
    擴展及可自助之服務,如下列雲端服務模式:
(一)基礎架構即服務(Infrastructure as a Service,簡稱 IaaS)
      :雲端服務提供者通過網路向雲端服務使用者提供資訊科技基礎設
      施。
(二)平台即服務(Platform as a Service,簡稱 PaaS):雲端服務提
      供者向雲端服務使用者提供平台工具。
(三)軟體即服務(Software as a Service,簡稱 SaaS):雲端服務提
      供者利用網際網路向雲端服務使用者提供應用程式服務。
八、營業秘密:係指方法、技術、製程、配方、程式、設計或其他可用於
    生產、銷售或經營之資訊,而符合下列要件者:
(一)非一般涉及該類資訊之人所知者。
(二)因其秘密性而具有實際或潛在之經濟價值者。
(三)所有人已採取合理之保密措施者。
九、存取:
    係指存取資訊資產的各種方式,包含取得、使用、保管、查詢、修改
    、調整、銷毀等。
十、專案負責人:
    係指專案經理或該項業務權責部門主管或其指派之人員。
十一、資通安全機制(Security by design):
      係指服務與產品規劃設計時即融入資通安全的概念,於開發流程中
      的設計階段,列出安全需求、辨識安全風險及套用控制措施,以作
      為後續安全功能驗證的基礎,落實安全的軟體生命週期。
十二、隱私保護機制(Privacy by design) :
      係指服務與產品規劃設計時即融入隱私保護機制的概念,於開發流
      程中的設計階段,列出隱私保護需求、辨識相關風險及套用控制措
      施,以作為後續安全功能驗證的基礎。
十三、資通安全事件:
      係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策
      或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安
      全政策之威脅。