1.風險評鑑與管理（CC-11000，適用網際網路下單證券商，不適用語音下
  單及傳統下單之證券商，年度查核）
（1） 應鑑別公司適用資訊安全風險範圍內之所有資訊資產以及其擁有者
      。
（2） 應確定公司各作業可接受之資訊安全風險等級。
（3） 公司應有書面的資訊安全風險評估報告，每年至少評估一次，並留
      存相關紀錄。

2.資訊安全政策（CC-12000，年度查核）
（1） 公司應依據相關法令規定及公司業務需求，訂定資訊安全政策、資
      訊作業之安全水準。
（2） 制訂資訊安全政策，應包括下列事項：
      a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
      b.資訊安全政策之解釋及說明，資訊安全之原則、標準以及員工應
        遵守之相關規定。
      c.推行資訊安全工作之組織、權責及分工。
      d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明
        。
（3） 公司所訂定之資訊安全政策，應經管理階層核准，並應正式發布要
      求所有員工共同遵守，並轉知與公司連線作業之公私機關（構）、
      提供資訊服務之廠商共同遵行。
（4） 公司訂定之資訊安全政策，應至少每年評估一次，以反映法令規章
      、技術及業務等最新發展現況，確保資訊安全實務作業之有效性，
      前開之評估工作應留存相關紀錄。
（5） 資訊安全政策之評估，應以獨立及客觀之方式進行，並由內部或委
      託外部專業機構辦理。
（6） 公司每年應將前一年度資訊安全整體執行情形，由負責資訊安全之
      最高主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行
      情形聲明書，並提報董事會通過，於會計年度終了後三個月內將該
      聲明書內容揭露於公開資訊觀測站。

3.安全組織（CC-13000，年度查核）
（1） 公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、
      監控及執行資訊安全管理作業，且相關人員之工作職掌與兼辦業務
      情形應符合規定。
（2） 公司應指定副總經理或高層主管人員，負責資訊安全管理事項之協
      調及推動，並得視需要，成立跨部門之「資訊安全推行小組」，統
      籌資訊安全政策、計畫、資源調度等事項之協調、研議。
（3） 公司應視資訊安全管理需要，指定專人或專責單位負責規劃與執行
      資訊安全工作，且每年應定期參加十五小時以上資訊安全專業課程
      訓練或職能訓練並通過評量。其他使用資訊系統之從業人員，每年
      應至少接受三小時以上資訊安全宣導課程。
（4） 公司資訊安全人力、能力及經驗，如有不足之處，得委請外界的學
      者專家或民間專業組織及團體，提供資訊安全顧問諮詢服務。
（5） 資訊處理部門與業務單位之權責，應明確劃分。

4.資產分類與控制（CC-14000，半年查核）
（1） 資訊資產應列有清冊，清冊並應加以維護。
（2） 應訂有資訊分級並作標示處理之相關規範。（適用網際網路下單證
      券商，不適用語音下單及傳統下單之證券商）

5.人員安全（CC-15000，半年查核）
（1） 員工應依相關法令課予機密維護責任，並應填具保密切結書，以明
      責任。
（2） 員工離職時應取消其識別碼，並收繳其通行證、卡及相關證件。
（3） 應定期（每年至少一次）對全公司員工辦理資訊安全宣導講習（例
      如：資訊安全政策、資訊安全法令規定、資訊安全作業程序以及如
      何正確使用資訊科技設施等），並留存紀錄。
（4） 員工應依職務層級進行適當的資訊安全教育訓練，每年並達內部所
      定之訓練時數。
（5）證券商應設置電腦稽核人員。（適用網際網路下單證券商，不適用
      語音下單及傳統下單之證券商）

6.實體與環境安全（CC-16000，半年查核）
（1） 電腦機房應有門禁管制（例如：刷卡）。
（2） 機房應有防火設施，並應定期檢驗。
（3） 另應將地震、水災等天然災害因素列入考量。
（4） 電腦設備之電源供應系統應含不斷電設備及發電機。
（5） 應訂定設備報廢作業程序，報廢前應將機密性、敏感性資料及授權
      軟體予以移除、實施安全性覆寫或實體破壞，應確保報廢之電腦硬
      碟及儲存媒體儲存之資料不可還原，並留存報廢紀錄。

7.通訊與作業管理（CC-17000）
（1） 網路安全管理（CC-17010，適用網際網路下單證券商，另 a、b、e
      項並適用於所有使用競價終端設備連結公眾網路之證券商，每月查
      核）
      a.網路系統安全評估：
     （a）應定期評估自身網路系統安全（例如：作業系統、網站伺服器
          、瀏覽器、防火牆及防毒版本等），並留存相關紀錄。
     （b）定期或適時修補網路運作環境之安全漏洞（含伺服器、攜帶型
          、個人端及營業處所內供投資人共用之電腦等），並留存相關
          文件。
     （c）有關電腦網路安全（如資訊安全政策宣導、防範網路駭客入侵
          事件、電腦防毒等）之事項應隨時對內部公告。
     （d）各電腦主機、重要軟硬體設備應有專人負責。
      b.防火牆之安全管理：
     （a）應建立防火牆。
     （b）防火牆應有專人管理。
     （c）防火牆進出紀錄及其備份應至少保存三年。
     （d）重要網站及伺服器系統（如網路下單系統等）應以防火牆與外
          部網際網路隔離。
     （e）防火牆系統之設定應經權責主管之核准。
      c.網路傳輸安全管理：
        網路下單畫面應採加密方式（例如：SSL） 處理。
      d.CA  認證與憑證管理：
     （a）網路下單證券商應訂定憑證交付程序，避免非本人取得憑證。
     （b）網路下單證券商應全面使用認證機制。
      e.電腦病毒及惡意軟體之防範：
     （a）應安裝防毒軟體，並及時更新程式及病毒碼。
     （b）應定期對電腦系統及資料儲存媒體進行病毒掃瞄（含電子郵件
          ）。
     （c）防毒應涵蓋個人端（含攜帶型及營業處所內供投資人共用之電
          腦等）及網路伺服器端電腦。
     （d）勿開啟來歷不明之電子郵件，對於電子郵件中帶有執行檔之附
          件，尤應特別小心開啟。
     （e）為防範電腦病毒擴散，影響電腦安全，公司應訂定電子郵件使
          用安全相關規定。
      f.網路下單系統功能檢查：
     （a）應定期檢查網路下單系統提供之功能，並留存紀錄。
     （b）應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員
          處理。
      g.公司提供 API  服務規範：
        公司提供客戶使用應用程式介面（API） 服務之申請流程、核可
        標準及相關控管配套措施相關作業，應依「證券商受理客戶使用
        應用程式介面（API） 服務作業規範」辦理。
      h.網際網路下單服務品質相關標準：
        公司提供網際網路下單業務時，兼顧客戶服務品質，應訂定網際
        網路下單服務品質相關標準，並應包含下列重點如：交易之安全
        性、交易之穩定及友善、提供客戶服務。
（2） 電腦系統及作業安全管理（CC-17020，半年查核）
      a.電腦設備之管理：
        為確定電腦設備維護內容，應與廠商訂有書面維護契約，做完維
        護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢
        查。
      b.電腦作業系統環境設定及使用權限設定：
     （a）電腦作業系統環境設定及使用權限設定應經有關主管核示，並
          由系統管理人員執行。
     （b）電腦系統檔案異動前後皆有完善之備份處理措施。
      c.電腦媒體之安全管理：
     （a）重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
     （b）重要之備份檔案及軟體若儲存於與電腦中心同一建築物內，應
          鎖存於防火之房間或防火且防震之防火櫃中。
     （c）存放備份資料之儲存媒體，應於其標籤上註明存放資料之名稱
          及保存期限。
     （d）應建立機密性及敏感性資料媒體之相關處理程序，防止資料洩
          露或不當使用。
     （e）應建立回存測試機制，以驗證備份之完整性及儲存環境的適當
          性。
      d.電腦操作管理：
     （a）操作人員應確實依規定操作程序執行。
     （b）操作日誌應詳實記載並逐日經主管核驗，操作人員不可與主管
          為同一人。
     （c）系統主控台所留存之紀錄，應經專人檢查訊息內容且定期送主
          管核驗。
      e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
      f.證券經紀商之電腦系統應訂定定期（每年至少一次）由內部或委
        託外部專業機構評估電腦系統容量及安全措施之機制與程序，定
        期對系統容量進行壓力測試，並留存紀錄。

8.存取控制（CC-18000，每月查核）
（1） 公司應訂定資訊系統存取控制相關規定，並以書面、電子或其他方
      式告知員工遵守。
（2） 權限管理：
      a.對於程式的存取使用，應有詳細的書面管制說明。
      b.人員異動時應及時更新其使用權限。
      c.對於程式及檔案之存取使用，應按權限區分。
      d.委外人員電腦通行使用權利應經適當控管; 委外期間結束後，應
        立即收回該項權利。
      e.對於進駐於公司內之委外作業人員應納入公司安全管理，如欲使
        用內部網路資源時，應有安全管制措施（如透過轉接方式或另建
        網路者，宜與內部網路作實體隔離）。
      f.應定期（至少每半年一次）審查並檢討久未使用之使用者權限（
        使用者為客戶者除外）。
（3） 密碼管理：
      a.使用者第一次使用系統時，應更新初始密碼後方可繼續作業。
      b.密碼應以亂碼方式儲存。
      c.對於使用者忘記密碼之處理，應有嚴格的身分確認程序，方可再
        次使用系統。
      d.初始密碼應隨機產生，並與使用者身分無關。
      e.密碼輸入錯誤次數達三次者，應予中斷連線。
      f.除輸入介面僅可輸入數字外（例如：語音按鍵下單），公司應使
        用優質密碼設定（長度 6  個字元（含）以上，且具有文數字或
        符號），並加強宣導客戶定期更新使用者密碼以不超過三個月為
        宜。除客戶外，公司其他使用者之密碼應至少每三個月變更一次
        。
      g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作
        業系統及資料庫等軟硬體設備應設定使用密碼，且避免使用預設
        （如 administrator、root、sa）或簡易（如 1234） 之帳號密
        碼及未設管理者存取權限。
      h.客戶申請採電子式交易型態者，公司以電子方式交付電子密碼條
        時，應傳送 OTP （One Time Password）密碼至客戶開戶留存之
        手機號碼，及將加密後之電子密碼條以電子方式傳送至客戶留存
        之電子信箱，此流程相關系統紀錄應留存。
（4） 電腦稽核紀錄管理：
      a.對重要系統（如主機連線系統、網路下單系統等）之稽核日誌記
        錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料
        或其網址等事項。
      b.對上開重要系統之電腦稽核紀錄，應有專人定期檢視。
      c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序，至
        少留存三年。
（5） 資料輸入管理：
      a.安全性或重要性較高之資料，應由權責主管人員核可後始得執行
        輸入或修改。
      b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
      c.對隱密性高之重要資料（例如：密碼檔）應以亂碼後之資料形式
        存放。
      d.公司如屬公開發行公司者，應於內部控制制度納入「公開發行公
        司網路申報公開資訊應注意事項」，並據以辦理相關申報事宜。
      e.使用電子憑證ＩＣ卡或其他類型憑證晶片卡或其他憑證載具等代
        表公司簽署之作業（例如：「公開資訊觀測站」、「證券商申報
        單一窗口」、「公文電子交換系統」等），該等憑證載具應由專
        人負責保管並設簿登記，且應訂定相關帳號、密碼保管及使用程
        序，並據以執行。
      f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者
        （例如：「電子對帳單系統」），應留存電腦稽核紀錄（log ）
        ，其保存年限比照各作業資料應保存年限。
      g.應依「個人資料保護法」，妥善處理客戶及公司內部人個人資料
        。
      h.公司應定期或不定期稽核依「個人資料保護法」定義之個人資料
        管理情形。
      i.前揭個人資料，其更新、更正或註銷均應報經備查，並將更新、
        更正、註銷內容、作業人員及時間詳實記錄。
      j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用，
        應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
（6） 資料輸出管理：
      a.報表是否按時產生並分送各使用單位。
      b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。
      c.投資人於公司網站查詢個人資料應具有加密傳輸機制（例如：
        SSL ）。
      d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸，公
        司對姓名、帳號及信用帳號等機敏資訊，應依「機敏資訊類型及
        隱匿之具體作法原則」辦理。

9.系統開發及維護（CC-19000，半年查核）
（1） 應用系統在規劃分析時應將資訊安全需求納入分析及規格。
（2） 輸入資料是否有作檢查，以確認其正確性。
（3） 應使用具有合法版權之軟體。
（4） 委外作業應簽訂契約，委外作業契約內容應包含資訊安全協定與對
      委外廠商資安稽核權等條款。
（5） 已完成之程式因故需維護時，應依據經過正式核准之程序辦理。
（6） 各項文件與手冊應經適當維護與控制。
（7） 應用系統之維護應指派專人負責。
（8） 應用系統異動管理：
      a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開
        存放。
      b.程式經修改其相關文件應及時更新。
（9） 公司應定期（至少每半年乙次）辦理資訊系統弱點掃描作業，針對
      所辨識出之潛在系統弱點，宜評估其相關風險或安裝修補程式，並
      留存紀錄（適用網際網路下單證券商，不適用語音下單及傳統下單
      之證券商）。
（10）程式原始碼安全規範（適用網際網路下單證券商，不適用語音下單
      及傳統下單之證券商）：
      a.程式應避免含有惡意程式等資訊安全漏洞。
      b.程式應使用適當且有效之完整性驗證機制，以確保其完整性。
      c.程式於引用之函式庫有更新時，應備妥對應之更新版本。
      d.程式應針對使用者輸入之字串，進行安全檢查並提供相關注入攻
        擊防護機制。
      e.無法取得程式原始碼時，應要求程式提供者符合上開前四項（a
        、b、c、d）安全事項。
（11）行動應用程式安全管理（適用網際網路下單證券商，不適用語音下
      單及傳統下單之證券商）：
      a.行動應用程式發布：
     （a）行動應用程式應於可信任來源之行動應用程式商店或網站發布
          ，且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣
          告之權限用途。
     （b）應於官網上提供行動應用程式之名稱、版本與下載位置。
     （c）應建立偽冒行動應用程式偵測機制，以維護客戶權益。
     （d）應於發布前檢視行動應用程式所需權限應與提供服務相當，首
          次發布或權限變動應經資安、法遵單位同意，並留有紀錄，以
          利綜合評估是否符合個人資料保護法之告知義務」。
      b.敏感性資料保護：
     （a）行動應用程式傳送及儲存敏感性資料時應透過憑證、雜湊（
          Hash）或加密等機制以確保資料傳送及儲存安全，並於使用時
          應進行適當去識別化，相關存取日誌應予以保護以防止未經授
          權存取。
     （b）啟動行動應用程式時，如偵測行動裝置疑似遭破解（如root、
          jailbreak、USBdebugging 等），應提示使用者注意風險。
      c.行動應用程式檢測：
     （a）涉及投資人使用之行動應用程式於初次上架前及每年應委由經
          財團法人全國認證基金會（TAF） 認證合格之第三方檢測實驗
          室進行並完成通過資安檢測，檢測範圍以經濟部工業局委託執
          行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢
          測基準項目進行檢測。如通過實驗室檢測後一年內有更新上架
          之需要，應於每次上架前就重大更新項目進行委外或自行檢測
          ；所謂重大更新項目為與「下單交易」、「帳務查詢」、「身
          份辨識」及「客戶權益有重大相關項目」有關之功能異動。檢
          測範圍以 OWASP MOBILE TOP 10  之標準為依據，並留存相關
          檢測紀錄。
     （b）公司對第三方檢測實驗室所提交之檢測報告，應建立覆核機制
          ，以確保檢測項目及內容一致，並留存覆核紀錄。

10. 營運持續管理（CC-20000 ，半年查核）
（1） 故障復原程序（例如：電腦設備、通訊設備、電力系統、資料庫、
      電腦作業系統等備援及回復計畫）應明確訂定，並製成文件。
（2） 故障復原程序應週期性測試，測試後應召開檢討會議，針對測試缺
      失謀求改進，並留存紀錄。
（3） 證券經紀商之交易主機應有備援措施。
（4） 公司宜擬訂營運持續計畫（含起動條件、參與人員、緊急程序、備
      援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規
      劃及合約適當性等）及其必要之維護，並擬訂關鍵性業務及其衝擊
      影響分析。
（5） 公司應訂定資訊安全訊息通報機制（例如：正式之通報程序及資安
      事件通報聯絡人），宜針對與資訊系統有關之資訊安全事故，採取
      適當矯正程序，並留存紀錄。
（6） 公司發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故
      者，應立即函報證交所（或櫃檯買賣中心、券商公會）轉陳主管機
      關。
（7） 公司應明確訂定分散式阻斷服務攻擊（DDoS）防禦與應變作業程序
      。

11.符合性（CC-21000 ，半年度查核）
（1）應定期（每年至少一次）辦理資訊安全查核作業（內部辦理或委託
     外部專業機構），並應留存查核紀錄
（2）公司是否針對前開之資訊安全查核報告辦理追蹤改善情形（包括查
     核摘要、查核範圍、缺失說明及改進建議等）。

12. 新興科技應用（CC-21100，年度查核）
 （1）雲端服務：
      a.公司為雲端服務使用者時，應訂定雲端運算服務運作安全規範內
        含雲端提供者之遴選機制、查核措施、備援機制、服務水準（含
        資訊安全防護）與復原時間要求等，如有不符需求之處，需有其
        它補償性措施。
      b.公司為雲端服務提供者時，應訂定雲端運算服務安全控管措施，
        應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。
        如涉及敏感性資料之傳遞，應使用超文字傳輸安全協定（HTTPS
        ）、安全檔案傳輸協定（SFTP）等加密之網路協定。
 （2）社群媒體：
      a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法
        ，應包含以下內容：
     （a）界定可於公務用社群媒體上分享之業務相關資料。
     （b）私人與公務用社群媒體之區別與應注意事項。
      b.應針對開放員工使用社群媒體評估其風險程度，包含：資料外洩
        、社交工程、惡意程式攻擊等，並採行適當的安全控管措施。
      c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法，並包含
        以下內容：
     （a）應事先了解所經營之社群媒體隱私政策，並定期（每年一次）
          檢視其隱私政策之異動及評估其風險。
     （b）於官方網站提供連結供使用者連至公司外之社群媒體時，應出
          現提示視窗告知使用者該連結非公司本身之網站。
     （c）對經營之社群媒體應標示證券商名稱、聯絡方式，以區別為官
          方經營之社群媒體。
     （d）應建立帳號權限管理機制，對發布內容進行控管與監視，並針
          對不適當言論及異常事件，進行通報或處置。
 （3）行動裝置：
      a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法，須包含
        以下項目：
     （a）行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
          應訂有相關規範。
     （b）人員異動時，行動裝置應進行重新配置或清除配置程序，以確
          保行動裝置環境安全性。
     （c）行動裝置應避免安裝非官方發佈之行動應用程式，或僅安裝由
          公司列出通過檢測可安裝之行動應用程式。
      b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法，須包
        含以下項目：
     （a）公司應要求員工自攜行動裝置使用用途。
     （b）公司應與持有人簽署員工自攜行動裝置使用協議，含：使用限
          制及雙方責任等。
     （c）公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
          網路（Internet）之行為。
 （4）物聯網：
      應訂定物聯網相關資訊安全規範與管理辦法，須包含下列項目：
      a.應建立物聯網設備管理清冊並至少每年更新一次，且應變更前開
        設備之初始密碼。
      b.物聯網設備應具備安全性更新機制且定期（每年一次）更新，如
        存在已知弱點無法更新時，應建立補償性管控機制。
      c.應關閉物聯網設備不必要之網路連線及服務，避免使用對外公開
        的網際網路位置。
      d.如與物聯網設備供應商簽定採購合約時，其內容宜包含資訊安全
        相關協議，明確約定相關責任（如：服務承諾、安全性更新年限
        、主動通報設備已知資安漏洞並提出相關應變處置方案），確保
        設備不存在已知安全性漏洞。

13. 其他（CC-22000，半年查核）
（1） 資訊提供作業（CC-22010）
      a.各種重要法令規章及通知應立即張貼於公佈欄。
      b.上市公司之營運資料、公開說明書應陳列於證券投資資料櫃供客
        戶閱覽。
      c.營業廳內應裝置「公開資訊觀測站」，供客戶自行操作使用。
      d.資訊閱覽室應未限定對象並且無收費行為。
      e.資訊閱覽室不得裝設專用競價用終端機。
      f.不得於資訊閱覽室從事與客戶簽定開戶契約、接受買賣有價證券
        之委託交割及其他類似證券商業務行為。
      g.於所設網站上提供股市即時交易資訊，應經由與證交所簽約之資
        訊公司提供。
      h.應定期檢查網站內對外提供之資訊，對具機密性、敏感性之資訊
        內容，應立即移除；並應遵守證券商推介客戶買賣有價證券作業
        辦法規定，且不得以公司名義將屬於證券投資顧問事業範圍之資
        訊代為公開。
      i.證券商若於網站平台上進行推介，應設有密碼以控管得閱覽個股
        研究報告之客戶；且客戶應與證券商簽訂推介契約（國內機構投
        資人及外國機構投資人得免簽）。