歷史異動條文

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 113 年 11 月 12 日
主題分類: 市場監理 > 證券商管理

歷史名稱: 建立證券商資通安全檢查機制(民國 92 年 03 月 31 日)
歷次修正日期:
1
1 資訊處理部門之功能及職責劃分 (內部控制標準規範 CC-11000)      
(1) 資訊處理部門與業務單位之權責,應明確劃分。                  
(2) 資訊作業人員皆應填具保密切結書;離職時應取消其識別碼,並收繳
    其通行證、卡及相關證件。                                    
(3) 應定期 (每年至少一次) 對全公司員工辦理資訊安全宣導講習 (例如
    :防毒、資料備份、使用合法軟體及電子郵件使用規定等) ,並留存
    紀錄。
2
2 應用系統維護管理 (內部控制標準規範 CC-12000)                  
(1) 應使用具有合法版權之軟體。                                  
(2) 委外作業應簽訂契約。                                        
(3) 委外人員電腦通行使用權利應經適當控管;委外期間結束後,應立即
    收回該項權利。                                              
(4) 已完成之程式因故需維護時,應依據經過正式核准之程序辦理。    
(5) 各項文件與手冊應經適當維護與控制。                          
(6) 應用系統之維護應指派專人負責。
3
3 電腦系統管理 (內部控制標準規範 CC-13000)                      
(1) 電腦設備之管理:                                            
    a 為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維護
      時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢查。
    b 因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用
      ,應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
(2) 電腦作業系統環境設定及使用權限設定:                        
    a 電腦作業系統環境設定及使用權限設定應經有關主管核示,並由系
      統管理人員執行。                                          
    b 電腦系統檔案異動前後皆有完善之備份處理措施。              
(3) 系統使用者管理:                                            
    a 對於程式的存取使用,應有詳細的書面管制說明。              
    b 使用者第一次使用系統時,應更新初始密碼後方可繼續作業。    
    c 密碼應以亂碼方式儲存。                                    
    d 人員異動時應及時更新其使用權限。                          
    e 對於程式及檔案之存取使用,應按權限區分。                  
    f 對於使用者忘記密碼之處理,應有嚴格的身分確認程序,方可再次
      使用系統。                                                
(4) 應用系統異動管理:                                          
    a 正式作業與測試作業之程式、資料、工作控制指令等檔案應分開存
      放。                                                      
    b 程式經修改其相關文件應及時更新。                          
(5) 證券經紀商應配備經營業務所需、且有適足容量之電腦系統。      
(6) 證券經紀商之電腦系統應訂定定期 (每年至少一次) 由內部或委託外
    部專業機構評估電腦系統容量及安全措施之機制與程序,定期對系統
    容量進行壓力測試,並留存紀錄。                              
(7) 證券經紀商之交易主機應有備援措施。
4
4 電腦作業管理 (內部控制標準規範 CC-14000)                      
(1) 實體安全管理:                                              
    a 電腦機房應有門禁管制 (例如:刷卡) 。                      
    b 機房應有防火設施,並應定期檢驗。另應將地震、水災等天然災害
      因素列入考量。                                            
    c 電腦設備應有獨立之電源供應系統,其電源供應系統應含不斷電設
      備及發電機。                                              
(2) 資料輸入管理:                                              
    a 安全性或重要性較高之資料,應由業務單位主管授權後才執行輸入
      或修改。                                                  
    b 所輸入或修改之資料及其執行人員姓名、職稱皆應留存記錄。    
    c 對隱密性高之重要資料 (例如:密碼檔、成交檔、委託檔) 應以亂
      碼後之資料形式存放。                                      
(3) 資料輸出管理:                                              
    機密性、敏感性之報表列印或瀏覽應有適當之管制程序。          
(4) 儲存媒體管理:                                              
    a 重要軟體及其文件、清冊應抄錄備份存於另一安全處所。        
    b 重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應鎖存
      於防火之房間或防火且防震之防火櫃中。                      
    c 存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱及保
      存期限。                                                  
(5) 電腦操作管理:                                              
    a 操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管為同
      一人。                                                    
    b 系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主管核
      驗。
5
5 備援及回復作業 (內部控制標準規範 CC-15000)                    
(1) 故障復原程序 (例如:電腦設備、通訊設備、電力系統、資料庫、電
    腦作業系統等備援及回復計畫) 應明確訂定,並製成文件。        
(2) 故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺失
    謀求改進,並留存紀錄。
6
6 資訊提供作業 (內部控制標準規範 CC-16000)                      
(1) 各種重要法令規章及通知應立即張貼於公佈欄。                  
(2) 營業廳內應裝置「公開資訊觀測站」,供客戶自行操作使用。      
(3) 資訊閱覽室不得裝設專用競價用終端機。                        
(4) 不得於資訊閱覽室從事與客戶簽定開戶契約、接受買賣有價證券之委
    託交割及其他類似證券商業務行為。                            
(5) 應依「電腦處理個人資料保護法」,妥善處理客戶資料。          
(6) 於所設網站上提供股市即時交易資訊,應經由與證交所簽約之資訊公
    司提供。
7
7 網路安全管理 (內部控制標準規範 CC-17000)  ,適用網路下單證券商
  ,不適用語音下單及傳統下單之證券商;查核週期:月查核)         
(1) 網路系統安全評估:                                          
    a 應定期評估自身網路系統安全 (例如:作業系統、網站伺服器、瀏
      覽器、防火牆及防毒版本等) ,並留存相關紀錄。              
    b 定期或適時修補網路運作環境之安全漏洞,並留存相關文件。    
    c 有關電腦網路安全 (如資訊安全政策宣導、防範網路駭客入侵事件
      、電腦防毒等) 之事項應隨時公告。                          
    d 各電腦主機、重要軟硬體設備應有專人負責。                  
(2) 防火牆之安全管理:                                          
    a 應建立防火牆。                                            
    b 防火牆應有專人管理。                                      
    c 防火牆進出紀錄及其備份應至少保存兩個月。                  
    d 重要網站及伺服器系統 (如網路下單系統等) 應以防火牆與外部網
      際網路隔離。                                              
    e 安全性或重要性較高之資料,應由業務單位主管授權後才執行輸入
      或修改。                                                  
    f 防火牆系統之設定應經權責主管之核准。                      
(3) 網路使用者帳號管理:                                        
    a 初始密碼應隨機產生,並與使用者身分無關。                  
    b 密碼輸入錯誤次數達三次者,應予中斷連線。                  
(4) 網路傳輸安全管理:                                          
    網路下單畫面應採加密方式 (例如:SSL)  處理。                
(5) CA  認證與憑證管理:                                        
    a 網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。    
    b 網路下單證券商應全面使用認證機制。                        
(6) 電腦病毒及惡意軟體之防範:                                  
    a 應安裝防毒軟體,並及時更新程式及病毒碼。                  
    b 應定期對電腦系統及資料儲存媒體進行病毒掃瞄 (含電子郵件) 。
    c 防毒應涵蓋個人端及網路伺服器端電腦。