歷史法令規章

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 113 年 11 月 12 日
主題分類: 市場監理 > 證券商管理

歷史名稱: 建立證券商資通安全檢查機制(民國 91 年 02 月 21 日)
歷次修正日期:
1
1 資訊處理部門之功能及職責劃分 (內部控制標準規範 CC-11000)
  資訊作業人員皆應填具保密切結書;離職時應取消其識別碼,並收繳其
  通行證、卡及相關證件。
2
2 應用系統維護管理 (內部控制標準規範 CC-12030)
(1) 委外作業應簽訂契約。
(2) 委外人員電腦通行使用權利應經適當控管;委外期間結束後,應立即
    收回該項權利。
3
3 電腦系統管理 (內部控制標準規範 CC-13000)
(1) 密碼應以亂碼方式儲存。
(2) 使用者第一次使用系統時,應更新初始密碼後方可繼續作業。
(3) 對於程式及檔案之存取使用,應按權限區分。
(4) 人員異動時應及時更新其使用權限。
4
4 電腦作業管理 (內部控制標準規範 CC-14000)
(1) 電腦機房應有門禁管制 (例如:刷卡) 。
(2) 機房應有防火設施,並應定期檢驗。另應將地震、水災等天然災害因
    素列入考量。
(3) 電腦設備應有獨立之電源供應系統,其電源供應系統應含不斷電設備
    及發電機。
(4) 重要軟體及其文件、清冊應抄錄備份,存於另一安全處所。
(5) 存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱及保存
    期限。
(6) 對客戶經由網際網路等電子式交易型態所為之交易委託及查詢,其電
    腦稽核紀錄 (log)  應至少保留五年,但買賣委託有爭議者保留至爭
    議消除為止。
5
5 備援及回復作業 (內部控制標準規範 CC-15000)
(1) 故障復原程序應明確訂定,並製成文件。
(2) 故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺失
    謀求改進。
6
6 網路安全管理 (新增類別 CC-17000)  ,適用網路下單證券商,不適用
  語音下單及傳統下單之證券商;查核週期:月查核)
(1) 網路系統安全評估:
    A 應定期評估自身網路系統安全 (例如:作業系統、網站伺服器、瀏
      覽器、防火牆及防毒版本等) ,並留存相關紀錄。
    B 定期或適時修補網路運作環境之安全漏洞,並留存相關文件。
    C 有關電腦網路安全 (如資訊安全政策宣導、防範網路駭客入侵事件
      、電腦防毒等) 之事項應隨時公告。
    D 各電腦主機、重要軟硬體設備應有專人負責。
(2) 防火牆之安全管理:
    A 應建立防火牆。
    B 防火牆應有專人管理。
    C 防火牆進出紀錄及其備份應至少保存兩個月。
    D 重要網站及伺服器系統 (如網路下單系統等) 應以防火牆與外部網
      際網路隔離。
    E 防火牆系統之設定應經權責主管之核准。
(3) 網路系統備援:
    網路系統中交易主機應有備援,以備主要作業主機無法正常運作之需
    。
(4) 網路使用者帳號管理:
    A 初始密碼應隨機產生,並與使用者身分無關。
    B 密碼輸入錯誤次數達五次者,應予中斷連線。
(5) 網路傳輸安全管理:
    網路下單畫面應採加密方式 (例如:SSL)  處理。
(6) CA認證與憑證管理:
    A 網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
    B 網路下單證券商應全面使用認證機制。
(7) 電腦病毒及惡意軟體之防範:
    A 應安裝防毒軟體,並及時更新程式及病毒碼。
    B 應定期對電腦系統及資料儲存媒體進行病毒掃瞄 (含電子郵件) 。
    C 防毒應涵蓋個人端及網路伺服器端電腦。