1 資訊處理部門之功能及職責劃分 (內部控制標準規範 CC-11000)
  資訊作業人員皆應填具保密切結書；離職時應取消其識別碼，並收繳其
  通行證、卡及相關證件。

2 應用系統維護管理 (內部控制標準規範 CC-12030)
(1) 委外作業應簽訂契約。
(2) 委外人員電腦通行使用權利應經適當控管;委外期間結束後，應立即
    收回該項權利。

3 電腦系統管理 (內部控制標準規範 CC-13000)
(1) 密碼應以亂碼方式儲存。
(2) 使用者第一次使用系統時，應更新初始密碼後方可繼續作業。
(3) 對於程式及檔案之存取使用，應按權限區分。
(4) 人員異動時應及時更新其使用權限。

4 電腦作業管理 (內部控制標準規範 CC-14000)
(1) 電腦機房應有門禁管制 (例如：刷卡) 。
(2) 機房應有防火設施，並應定期檢驗。另應將地震、水災等天然災害因
    素列入考量。
(3) 電腦設備應有獨立之電源供應系統，其電源供應系統應含不斷電設備
    及發電機。
(4) 重要軟體及其文件、清冊應抄錄備份，存於另一安全處所。
(5) 存放備份資料之儲存媒體，應於其標籤上註明存放資料之名稱及保存
    期限。
(6) 對客戶經由網際網路等電子式交易型態所為之交易委託及查詢，其電
    腦稽核紀錄 (log)  應至少保留五年，但買賣委託有爭議者保留至爭
    議消除為止。

5 備援及回復作業 (內部控制標準規範 CC-15000)
(1) 故障復原程序應明確訂定，並製成文件。
(2) 故障復原程序應週期性測試，測試後應召開檢討會議，針對測試缺失
    謀求改進。

6 網路安全管理 (新增類別 CC-17000)  ，適用網路下單證券商，不適用
  語音下單及傳統下單之證券商；查核週期：月查核)
(1) 網路系統安全評估：
    A 應定期評估自身網路系統安全 (例如：作業系統、網站伺服器、瀏
      覽器、防火牆及防毒版本等) ，並留存相關紀錄。
    B 定期或適時修補網路運作環境之安全漏洞，並留存相關文件。
    C 有關電腦網路安全 (如資訊安全政策宣導、防範網路駭客入侵事件
      、電腦防毒等) 之事項應隨時公告。
    D 各電腦主機、重要軟硬體設備應有專人負責。
(2) 防火牆之安全管理：
    A 應建立防火牆。
    B 防火牆應有專人管理。
    C 防火牆進出紀錄及其備份應至少保存兩個月。
    D 重要網站及伺服器系統 (如網路下單系統等) 應以防火牆與外部網
      際網路隔離。
    E 防火牆系統之設定應經權責主管之核准。
(3) 網路系統備援：
    網路系統中交易主機應有備援，以備主要作業主機無法正常運作之需
    。
(4) 網路使用者帳號管理：
    A 初始密碼應隨機產生，並與使用者身分無關。
    B 密碼輸入錯誤次數達五次者，應予中斷連線。
(5) 網路傳輸安全管理：
    網路下單畫面應採加密方式 (例如：SSL)  處理。
(6) CA認證與憑證管理：
    A 網路下單證券商應訂定憑證交付程序，避免非本人取得憑證。
    B 網路下單證券商應全面使用認證機制。
(7) 電腦病毒及惡意軟體之防範：
    A 應安裝防毒軟體，並及時更新程式及病毒碼。
    B 應定期對電腦系統及資料儲存媒體進行病毒掃瞄 (含電子郵件) 。
    C 防毒應涵蓋個人端及網路伺服器端電腦。