編章節內容

名  稱:

證券暨期貨市場各服務事業網路安全防護參考指引 

修正日期: 民國 113 年 04 月 19 日
主題分類: 資訊作業
   第 三 章 網路設備安全管理
第 9 條
(網路設備管理)
一、網路設備管理人員之管理帳號應僅限管理人員使用且不得共用帳號,
    管理帳號之密碼設定原則應遵循組織之身份驗證管理規範。
二、組織應限制網路設備管理使用之人員、設備、IP、網段,或採用一次
    性密碼(One-time password,OTP)、短暫性存取(Temporary
    Privileged Access) 等措施,並留存使用人員操作紀錄。
三、網路設備修補程式發布時,網路設備管理人員應取得修補程式,並經
    評估後進行網路設備修補程式更新作業。
第 10 條
(網路設備規則管理)
一、網路設備規則(例如:網路存取規則、防火牆規則等)新增、異動、
    刪除應審核使用者需求,經評估資通安全風險程度後進行規則變更,
    並保留相關紀錄備查。
二、網路設備規則設立應以使用者角色最小授權及正面表列為原則。
三、組織應至少每年檢視一次網路設備規則,並評估規則適切性,移除不
    必要之規則。
第 11 條
(網路設備日誌)
一、組織應留存網路設備日誌,遵循內部備份規範,並定期檢視以確保可
    用性。日誌應至少保留六個月,供留存備查。
二、網路設備日誌應予以保護以防止未經授權存取。
第 12 條
(網路設備委外管理)
組織所有網路設備若委由資訊服務供應商維運或管理應依「證券暨期貨市
場各服務事業資通系統與服務供應鏈風險管理參考指引」。