（目的）
為協助證券商、期貨商及投信投顧業者安全有效的管理資訊服務供應鏈風
險，依據金融監督管理委員會「金融資安行動方案」強化金融業資通系統
供應商及跨機構資訊服務之風險評估及稽核等管理機制之議題，特針對資
通系統之資訊服務供應商遴選、資訊服務供應商管理以及資訊服務供應商
終止與解除等議題，擬定供應鏈風險管理參考指引。

（適用範圍與對象）
本指引適用對象包含證券商、期貨商、證券投資信託事業及證券投資顧問
事業。適用對象分為以下兩類說明：
一、第一類：
（一）「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十
      六條之二條文指派資訊安全長之組織。
（二）「建立證券商資通安全檢查機制－分級防護應辦事項附表」所列第
      一級、第二級、第三級證券商。
（三）「建立期貨商資通安全檢查機制－分級防護應辦事項附表」所列第
      一級、第二級、第三級期貨商。
二、第二類：
    非屬第一類範圍之組織。
三、外資集團在台子公司或分公司，其資安管理政策由外國母公司或總公
    司控制與建置者，如其母公司或總公司已建置或設立相關控制措施，
    且有較佳之規範，則從其規範；若無，則應遵循本國法令法規規範。
四、以下參考指引如無特別說明，皆為第一類及第二類組織應遵循之事項
    。

（名詞定義）
一、資訊委外：
    係指組織將部分或全部之資通服務由組織外之軟硬體供應與維運商、
    跨機構合作夥伴提供。
二、資訊資產：
    係指與資訊處理相關之資產，包括硬體、軟體、資料、文件及人員等
    （如：伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊）
    。
三、資通系統：
    係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他
    處理、使用或分享之系統。
四、資通服務：
    係指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使
    用或分享相關之服務。
五、雲端運算服務：
    透過網路技術達成共享運算資源之前提下，提供使用者具備彈性、可
    擴展及可自助之服務。
六、營業秘密：
    係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售
    或經營之資訊，而符合下列要件者：
（一）非一般涉及該類資訊之人所知者。
（二）因其秘密性而具有實際或潛在之經濟價值者。
（三）所有人已採取合理之保密措施者。
七、存取：
    係指存取資訊資產的各種方式，包含取得、使用、保管、查詢、修改
    、調整、銷毀等。
八、專案負責人：
    係指專案經理或該項業務權責部門主管或其指派之人員。
九、資通安全機制（Security by design）：
    係指服務與產品規劃設計時即融入資通安全的概念，於開發流程中的
    設計階段，列出安全需求、辨識安全風險及套用控制措施，以作為後
    續安全功能驗證的基礎，落實安全的軟體生命週期。
十、隱私保護機制（Privacy by design）：
    係指服務與產品規劃設計時即融入隱私保護機制的概念，於開發流程
    中的設計階段，列出隱私保護需求、辨識相關風險及套用控制措施，
    以作為後續安全功能驗證的基礎。
十一、資通安全事件：
      係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策
      或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安
      全政策之威脅。