建立證券商資通安全檢查機制 英
Establishing Information Security Inspection Mechanisms for Securities Firms
3.安全組織(CC-13000,年度查核) (1) 公司應指定副總經理或高層主管人員,負責資訊安全管理事項之協 調及推動,並得視需要,成立跨部門之「資訊安全推行小組」,統 籌資訊安全政策、計畫、資源調度等事項之協調、研議。 (2) 公司應視資訊安全管理需要,指定專人或專責單位負責規劃與執行 資訊安全工作,並應定期參加資訊安全教育訓練及通過評量。 (3) 公司資訊安全人力、能力及經驗,如有不足之處,得委請外界的學 者專家或民間專業組織及團體,提供資訊安全顧問諮詢服務。 (4) 資訊處理部門與業務單位之權責,應明確劃分。
7.通訊與作業管理(CC-17000) (1) 網路安全管理(CC-17010,適用網際網路下單證券商,另 a、b、e 項並適用於所有使用競價終端設備連結公眾網路之證券商,每月查 核) a.網路系統安全評估: (a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器 、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。 (b)定期或適時修補網路運作環境之安全漏洞(含伺服器、攜帶型 、個人端及營業處所內供投資人共用之電腦等),並留存相關 文件。 (c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵 事件、電腦防毒等)之事項應隨時對內部公告。 (d)各電腦主機、重要軟硬體設備應有專人負責。 b.防火牆之安全管理: (a)應建立防火牆。 (b)防火牆應有專人管理。 (c)防火牆進出紀錄及其備份應至少保存三年。 (d)重要網站及伺服器系統(如網路下單系統等)應以防火牆與外 部網際網路隔離。 (e)防火牆系統之設定應經權責主管之核准。 c.網路傳輸安全管理: 網路下單畫面應採加密方式(例如:SSL) 處理。 d.CA 認證與憑證管理: (a)網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。 (b)網路下單證券商應全面使用認證機制。 e.電腦病毒及惡意軟體之防範: (a)應安裝防毒軟體,並及時更新程式及病毒碼。 (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件 )。 (c)防毒應涵蓋個人端(含攜帶型及營業處所內供投資人共用之電 腦等)及網路伺服器端電腦。 (d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附 件,尤應特別小心開啟。 (e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使 用安全相關規定。 f.網路下單系統功能檢查: (a)應定期檢查網路下單系統提供之功能,並留存紀錄。 (b)應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員 處理。 g.公司提供 API 服務規範: 公司提供客戶使用應用程式介面(API) 服務之申請流程、核可 標準及相關控管配套措施相關作業,應依「證券商受理客戶使用 應用程式介面(API) 服務作業規範」辦理。 h.網際網路下單服務品質相關標準: 公司提供網際網路下單業務時,兼顧客戶服務品質,應訂定網際 網路下單服務品質相關標準,並應包含下列重點如:交易之安全 性、交易之穩定及友善、提供客戶服務。 (2) 電腦系統及作業安全管理(CC-17020,半年查核) a.電腦設備之管理: 為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維 護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢 查。 b.電腦作業系統環境設定及使用權限設定: (a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並 由系統管理人員執行。 (b)電腦系統檔案異動前後皆有完善之備份處理措施。 c.電腦媒體之安全管理: (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。 (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應 鎖存於防火之房間或防火且防震之防火櫃中。 (c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱 及保存期限。 (d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩 露或不當使用。 (e)應建立回存測試機制,以驗證備份之完整性及儲存環境的適當 性。 d.電腦操作管理: (a)操作人員應確實依規定操作程序執行。 (b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管 為同一人。 (c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主 管核驗。 e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。 f.證券經紀商之電腦系統應訂定定期(每年至少一次)由內部或委 託外部專業機構評估電腦系統容量及安全措施之機制與程序,定 期對系統容量進行壓力測試,並留存紀錄。
8.存取控制(CC-18000,每月查核) (1) 公司應訂定資訊系統存取控制相關規定,並以書面、電子或其他方 式告知員工遵守。 (2) 權限管理: a.對於程式的存取使用,應有詳細的書面管制說明。 b.人員異動時應及時更新其使用權限。 c.對於程式及檔案之存取使用,應按權限區分。 d.委外人員電腦通行使用權利應經適當控管; 委外期間結束後,應 立即收回該項權利。 e.對於進駐於公司內之委外作業人員應納入公司安全管理,如欲使 用內部網路資源時,應有安全管制措施(如透過轉接方式或另建 網路者,宜與內部網路作實體隔離)。 f.應定期(至少每半年一次)審查並檢討久未使用之使用者權限( 使用者為客戶者除外)。 (3) 密碼管理: a.使用者第一次使用系統時,應更新初始密碼後方可繼續作業。 b.密碼應以亂碼方式儲存。 c.對於使用者忘記密碼之處理,應有嚴格的身分確認程序,方可再 次使用系統。 d.初始密碼應隨機產生,並與使用者身分無關。 e.密碼輸入錯誤次數達三次者,應予中斷連線。 f.除輸入介面僅可輸入數字外(例如:語音按鍵下單),公司應使 用優質密碼設定(長度 6 個字元(含)以上,且具有文數字或 符號),並加強宣導客戶定期更新使用者密碼以不超過三個月為 宜。除客戶外,公司其他使用者之密碼應至少每三個月變更一次 。 g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作 業系統及資料庫等軟硬體設備應設定使用密碼,且避免使用預設 (如 administrator、root、sa)或簡易(如 1234) 之帳號密 碼及未設管理者存取權限。 h.客戶申請採電子式交易型態者,公司以電子方式交付電子密碼條 時,應傳送 OTP (One Time Password)密碼至客戶開戶留存之 手機號碼,及將加密後之電子密碼條以電子方式傳送至客戶留存 之電子信箱,此流程相關系統紀錄應留存。 (4) 電腦稽核紀錄管理: a.對重要系統(如主機連線系統、網路下單系統等)之稽核日誌記 錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料 或其網址等事項。 b.對上開重要系統之電腦稽核紀錄,應有專人定期檢視。 c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序,至 少留存三年。 (5) 資料輸入管理: a.安全性或重要性較高之資料,應由權責主管人員核可後始得執行 輸入或修改。 b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。 c.對隱密性高之重要資料(例如:密碼檔)應以亂碼後之資料形式 存放。 d.公司如屬公開發行公司者,應於內部控制制度納入「公開發行公 司網路申報公開資訊應注意事項」,並據以辦理相關申報事宜。 e.使用電子憑證IC卡或其他類型憑證晶片卡或其他憑證載具等代 表公司簽署之作業(例如:「公開資訊觀測站」、「證券商申報 單一窗口」、「公文電子交換系統」等),該等憑證載具應由專 人負責保管並設簿登記,且應訂定相關帳號、密碼保管及使用程 序,並據以執行。 f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者 (例如:「電子對帳單系統」),應留存電腦稽核紀錄(log ) ,其保存年限比照各作業資料應保存年限。 g.應依「個人資料保護法」,妥善處理客戶及公司內部人個人資料 。 h.公司應定期或不定期稽核依「個人資料保護法」定義之個人資料 管理情形。 i.前揭個人資料,其更新、更正或註銷均應報經備查,並將更新、 更正、註銷內容、作業人員及時間詳實記錄。 j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用, 應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。 (6) 資料輸出管理: a.報表是否按時產生並分送各使用單位。 b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。 c.投資人於公司網站查詢個人資料應具有加密傳輸機制(例如: SSL )。 d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸,公 司對姓名、帳號及信用帳號等機敏資訊,應依「機敏資訊類型及 隱匿之具體作法原則」辦理。