（目的）
依據金融監督管理委員會「金融資安行動方案」，為強化證券商、期貨商
及投信投顧業者之資訊作業韌性，確保組織於核心系統遭受中斷事故，可
有效執行應變措施、將損害降低至可承受範圍，擬定資訊作業韌性參考指
引。

（適用範圍與對象）
本指引適用之組織包含證券商、期貨商、證券投資信託事業及證券投資顧
問事業。適用對象分為以下兩類說明：
一、第一類：
（一）依「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三
      十六條之二條文指派資訊安全長之組織。
（二）「建立證券商資通安全檢查機制－分級防護應辦事項附表」所列第
      一級、第二級、第三級證券商。
（三）「建立期貨商資通安全檢查機制－分級防護應辦事項附表」所列第
      一級、第二級、第三級期貨商。
二、第二類：
    非屬第一類範圍之組織。
三、外資集團在台子公司或分公司，其資安、營運持續或作業韌性管理政
    策由外國母公司或總公司控制與建置者，如其母公司或總公司已建置
    或設立相關控制措施，且有較佳之規範，則從其規範；若無，則應遵
    循本國法令法規規範。
四、以下參考指引如無特別說明，皆為第一類及第二類組織應遵循之事項
    。

（名詞定義）
一、營運持續：
    資訊作業面臨損害、異常或中斷服務時的處理能力與應變彈性。
二、核心業務：
    係指直接提供客戶交易或支持交易業務持續運作之必要業務。
三、核心系統：
    係指直接提供客戶交易或支持交易業務持續運作之必要系統，其餘皆
    為非核心系統。
四、營運衝擊分析（Business Impact Analysis, BIA） ：評估隨著核心
    業務中斷時間的增長，辨識出對組織所造成衝擊之分析方法。
五、最大可容忍中斷時間（Maximum Tolerable Period of Disruption,
    MTPD）：核心業務發生中斷事故之最大可容許中斷時間，應考量法令
    法規、營收損失與利害關係人要求等面向。
六、復原時間目標（Recovery Time Objective, RTO）：
（一）核心業務之 RTO：中斷事故發生後，核心業務從中斷事故發生到回
      復至最小可接受服務水準之目標時間，應依據營運衝擊分析之結果
      評估訂定。
（二）核心系統之 RTO：中斷事故發生後，核心系統從中斷事故發生到回
      復至最小可接受服務水準之目標時間。
（三）核心系統之 RTO  應小於等於核心業務之 RTO。
七、資料復原點目標（Recovery Point Objective, RPO）：
（一）核心業務之 RPO：依據核心業務性質評估中斷事故發生時，核心業
      務可承受之資料損失量所訂之值，應依據營運衝擊分析之結果評估
      訂定。
（二）核心系統之 RPO：依據核心業務性質評估中斷事故發生時，核心系
      統可承受之資料損失量所訂之值。
（三）核心系統之 RPO  應小於等於核心業務之 RPO。
八、最小可接受服務水準：依據核心業務之復原目標，針對對應之核心業
    務所訂定期望於復原時間目標（RTO） 內回復之最低限度運作水準。
九、災害應變機制：當災害發生造成核心系統異常或中斷時，各系統相關
    作業流程對應之應變、減災或復原措施。