| 歷史名稱: |
建立證券商資通安全檢查機制(民國 94 年 03 月 04 日) |
| 歷次修正日期: |
|
|
1
|
1.資訊處理部門之功能及職責劃分 (內部控制標準規範 CC-11000)
(1) 資訊處理部門與業務單位之權責,應明確劃分。
(2) 資訊作業人員皆應填具保密切結書;離職時應取消其識別碼,並收繳
其通行證、卡及相關證件。
(3) 應定期 (每年至少一次) 對全公司員工辦理資訊安全宣導講習 (例如
:防毒、資料備份、使用合法軟體及電子郵件使用規定等) ,並留存
紀錄。
|
|
1-1
|
1-1.資訊安全政策制訂與評估 (內部控制標準規範 CC-11010)
(1) 各公司應依據相關法令規定及公司業務需求,訂定資訊安全政策、
資訊作業之安全水準。
(2) 制訂資訊安全政策,應包括下列事項:
a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
b.資訊安全政策之解釋及說明,資訊安全之原則、標準以及員工應
遵守之相關規定。
c.推行資訊安全工作之組織、權責及分工。
d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明
。
(3) 各公司所訂定之資訊安全政策,應經管理階層核准,並應正式發布
要求所有員工共同遵守,並轉知與公司連線作業之公私機關 (構)
、提供資訊服務之廠商共同遵行。
(4) 各公司訂定之資訊安全政策,應至少每年評估一次,以反映法令規
章、技術及業務等最新發展現況,確保資訊安全實務作業之有效性
。
(5) 資訊安全政策之評估,應以獨立及客觀之方式進行,並委由內部或
外部專業機構辦理。
|
|
1-2
|
1-2.資訊安全組織及其權責 (內部控制標準規範 CC-11020)
(1) 各公司應指定副總經理或高層主管人員,負責資訊安全管理事項之
協調及推動,並得視需要,成立跨部門之「資訊安全推行小組」,
統籌資訊安全政策、計畫、資源調度等事項之協調、研議。
(2) 各公司應視資訊安全管理需要,指定專人或專責單位負責規劃與執
行資訊安全工作。
(3) 各公司資訊安全人力、能力及經驗,如有不足之處,得委請外界的
學者專家或民間專業組織及團體,提供資訊安全顧問諮詢服務。
|
|
2
|
2.應用系統維護管理 (內部控制標準規範 CC-12000)
(1) 應使用具有合法版權之軟體。
(2) 委外作業應簽訂契約。
(3) 委外人員電腦通行使用權利應經適當控管; 委外期間結束後,應立即
收回該項權利。
(4) 已完成之程式因故需維護時,應依據經過正式核准之程序辦理。
(5) 各項文件與手冊應經適當維護與控制。
(6) 應用系統之維護應指派專人負責。
(7) 對於進駐於公司內之委外作業人員應納入公司安全管理,如欲使用內
部網路資源時,應有安全管制措施 (如透過轉接方式或另建網路者,
宜與內部網路作實體隔離) 。
|
|
3
|
3.電腦系統管理 (內部控制標準規範 CC-13000)
(1) 電腦設備之管理:
a.為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維護
時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢查。
b.因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用
,應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
(2) 電腦作業系統環境設定及使用權限設定:
a.電腦作業系統環境設定及使用權限設定應經有關主管核示,並由系
統管理人員執行。
b.電腦系統檔案異動前後皆有完善之備份處理措施。
(3) 系統使用者管理:
a.對於程式的存取使用,應有詳細的書面管制說明。
b.使用者第一次使用系統時,應更新初始密碼後方可繼續作業。
c.密碼應以亂碼方式儲存。
d.人員異動時應及時更新其使用權限。
e.對於程式及檔案之存取使用,應按權限區分。
f.對於使用者忘記密碼之處理,應有嚴格的身分確認程序,方可再次
使用系統。
g.宜使用優質密碼設定 (長度超過六個字元,且具有文數字及符號)
,並加強宣導定期更新使用者密碼以不超過三個月為宜。
h.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作業
系統及資料庫等軟硬體設備應設定使用密碼,且避免使用預設 (如
administrator、root、sa) 或簡易 (如 1234) 之帳號密碼及未
設管理者存取權限。
(4) 應用系統異動管理:
a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開存
放。
b.程式經修改其相關文件應及時更新。
(5) 證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
(6) 證券經紀商之電腦系統應訂定定期 (每年至少一次) 由內部或委託外
部專業機構評估電腦系統容量及安全措施之機制與程序,定期對系統
容量進行壓力測試,並留存紀錄。
|
|
4
|
4.電腦作業管理 (內部控制標準規範 CC-14000)
(1) 實體安全管理:
a.電腦機房應有門禁管制 (例如:刷卡) ;機房應有防火設施,並應
定期檢驗。另應將地震、水災等天然災害因素列入考量。
b.電腦設備應有獨立之電源供應系統,其電源供應系統應含不斷電設
備及發電機。
(2) 資料輸入管理:
a.安全性或重要性較高之資料,應由權責主管人員核可後始得執行輸
入或修改
b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
c.對隱密性高之重要資料 (例如:密碼檔) 應以亂碼後之資料形式存
放。
d.使用電子憑證IC卡或其他類型憑證晶片卡或其他憑證載具等代表
公司簽署之作業 (例如:「公開資訊觀測站」、「證券商申報單一
窗口」、「公文電子交換系統」等) ,該等憑證載具應由專人負責
保管並設簿登記,且應訂定相關帳號、密碼保管及使用程序,並據
以執行。
e.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者 (
例如:「電子對帳單系統」) ,應留存電腦稽核紀錄 (log) ,其
保存年限比照各作業資料應保存年限
f.公司應定期或不定期稽核依電腦處理個人資料保護法定義之個人資
料檔案管理情形。
g.前揭個人資料檔案之資料,其更新、更正或註銷均應報經核准,並
將更新、更正、註銷內容、作業人員及時間詳實記錄。
(3) 資料輸出管理:
機密性、敏感性之報表列印或瀏覽應有適當之管制程序。
(4) 儲存媒體管理:
a.重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
b.重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應鎖存
於防火之房間或防火且防震之防火櫃中。
c.存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱及保
存期限。
(5) 電腦操作管理:
a.操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管為同
一人。
b.系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主管核
驗。
|
|
5
|
5.備援及回復作業 (內部控制標準規範 CC-15000)
(1) 故障復原程序 (例如:電腦設備、通訊設備、電力系統、資料庫、電
腦作業系統等備援及回復計畫) 應明確訂定,並製成文件。
(2) 故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺失
謀求改進,並留存紀錄。
(3) 證券經紀商之交易主機應有備援措施。
|
|
6
|
6.資訊提供作業 (內部控制標準規範 CC-16000)
(1) 各種重要法令規章及通知應立即張貼於公佈欄。
(2) 營業廳內應裝置「公開資訊觀測站」,供客戶自行操作使用。
(3) 資訊閱覽室不得裝設專用競價用終端機。
(4) 不得於資訊閱覽室從事與客戶簽定開戶契約、接受買賣有價證券之委
託交割及其他類似證券商業務行為。
(5) 應依「電腦處理個人資料保護法」,妥善處理客戶資料。
(6) 於所設網站上提供股市即時交易資訊,應經由與證交所簽約之資訊公
司提供。
(7) 應定期檢查網站內對外提供之資訊,對具機密性、敏感性之資訊內容
,應立即移除;並應遵守證券商推介客戶買賣有價證券作業辦法規定
,且不得以公司名義將屬於證券投資顧問事業範圍之資訊代為公開。
|
|
7
|
7.網路安全管理 (內部控制標準規範 CC-17000) ,適用網路下單證券商
,不適用語音下單及傳統下單之證券商;查核週期:月查核)
(1) 網路系統安全評估:
a.應定期評估自身網路系統安全 (例如:作業系統、網站伺服器、瀏
覽器、防火牆及防毒版本等 ),並留存相關紀錄。
b.定期或適時修補網路運作環境之安全漏洞 (含伺服器、攜帶型、個
人端及營業處所內供投資人共用之電腦等) ,並留存相關文件。
c.有關電腦網路安全 (如資訊安全政策宣導、防範網路駭客入侵事件
、電腦防毒等) 之事項應隨時公告。
d.各電腦主機、重要軟硬體設備應有專人負責。
(2) 防火牆之安全管理:
a.應建立防火牆。
b.防火牆應有專人管理。
c.防火牆進出紀錄及其備份應至少保存兩個月。
d.重要網站及伺服器系統 (如網路下單系統等) 應以防火牆與外部網
際網路隔離。
e.防火牆系統之設定應經權責主管之核准。
(3) 網路使用者帳號管理:
a.初始密碼應隨機產生,並與使用者身分無關。
b.密碼輸入錯誤次數達三次者,應予中斷連線。
(4) 網路傳輸安全管理:
網路下單畫面應採加密方式 (例如:SSL) 處理。
(5) CA 認證與憑證管理:
a.網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
b.網路下單證券商應全面使用認證機制。
(6) 電腦病毒及惡意軟體之防範:
a.應安裝防毒軟體,並及時更新程式及病毒碼。
b.應定期對電腦系統及資料儲存媒體進行病毒掃瞄 (含電子郵件) 。
c.防毒應涵蓋個人端 (含攜帶型及營業處所內供投資人共用之電腦等
) 及網路伺服器端電腦。
d.勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附件,
尤應特別小心開啟。
(7) 網路下單系統功能檢查:
應定期檢查網路下單系統提供之功能,並留存紀錄。
|