友善列印
WORD

歷史異動條文

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 109 年 12 月 17 日
生效狀態: ※本法規部分或全部條文尚未生效,最後生效日期: 民國 110 年 02 月 01 日
本機制 109.12.17  修正之全文 13 點自中華民國一百十年二月一日起實
施。
主題分類: 市場監理 > 證券商管理

歷史名稱: 建立證券商資通安全檢查機制(民國 93 年 02 月 25 日)
歷次修正日期:
6
6.資訊提供作業 (內部控制標準規範 CC-16000)
(1) 各種重要法令規章及通知應立即張貼於公佈欄。
(2) 營業廳內應裝置「公開資訊觀測站」,供客戶自行操作使用。
(3) 資訊閱覽室不得裝設專用競價用終端機。
(4) 不得於資訊閱覽室從事與客戶簽定開戶契約、接受買賣有價證券之委
    託交割及其他類似證券商業務行為。
(5) 應依「電腦處理個人資料保護法」,妥善處理客戶資料。
(6) 於所設網站上提供股市即時交易資訊,應經由與證交所簽約之資訊公
    司提供。
(7) 應定期檢查網站內對外提供之資訊,對具機密性、敏感性之資訊內容
    ,應立即移除;並應遵守證券商推介客戶買賣有價證券作業辦法規定
    ,且不得以公司名義將屬於證券投資顧問事業範圍之資訊代為公開。
7
7.網路安全管理 (內部控制標準規範 CC-17000)  ,適用網路下單證券商
  ,不適用語音下單及傳統下單之證券商;查核週期:月查核)
(1) 網路系統安全評估:
    a.應定期評估自身網路系統安全 (例如:作業系統、網站伺服器、瀏
      覽器、防火牆及防毒版本等) ,並留存相關紀錄。
    b.定期或適時修補網路運作環境之安全漏洞 (含伺服器、攜帶型、個
      人端及營業處所內供投資人共用之電腦等) ,並留存相關文件。
    c.有關電腦網路安全 (如資訊安全政策宣導、防範網路駭客入侵事件
      、電腦防毒等) 之事項應隨時公告。
    d.各電腦主機、重要軟硬體設備應有專人負責。
(2) 防火牆之安全管理:
    a.應建立防火牆。
    b.防火牆應有專人管理。
    c.防火牆進出紀錄及其備份應至少保存兩個月。
    d.重要網站及伺服器系統 (如網路下單系統等) 應以防火牆與外部網
      際網路隔離。
    e.安全性或重要性較高之資料,應由業務單位主管授權後才執行輸入
      或修改。
    f.防火牆系統之設定應經權責主管之核准。
(3) 電腦病毒及惡意軟體之防範:
    a.應安裝防毒軟體,並及時更新程式及病毒碼。
    b.應定期對電腦系統及資料儲存媒體進行病毒掃瞄 (含電子郵件) 。
    c.防毒應涵蓋個人端 (含攜帶型及營業處所內供投資人共用之電腦等
      ) 及網路伺服器端電腦。
(4) 網路使用者帳號管理:
    a.初始密碼應隨機產生,並與使用者身分無關。
    b.密碼輸入錯誤次數達三次者,應予中斷連線。
(5) 網路傳輸安全管理:
    a.網路下單畫面應採加密方式 (例如:SSL)  處理。
(6) CA  認證與憑證管理:
    a.網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
    b.網路下單證券商應全面使用認證機制。
(7) 網路下單系統功能檢查:
    應定期檢查網路下單系統提供之功能,並留存紀錄。