9.系統開發及維護（CC-19000，半年查核）
（1） 應用系統在規劃分析時應將資訊安全需求納入分析及規格。
（2） 輸入資料是否有作檢查，以確認其正確性。
（3） 應使用具有合法版權之軟體。
（4） 委外作業應簽訂契約，委外作業契約內容應包含資訊安全協定與對
      委外廠商資安稽核權等條款。
（5） 已完成之程式因故需維護時，應依據經過正式核准之程序辦理。
（6） 各項文件與手冊應經適當維護與控制。
（7） 應用系統之維護應指派專人負責。
（8） 應用系統異動管理：
      a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開
        存放。
      b.程式經修改其相關文件應及時更新。
（9） 公司應定期（至少每半年乙次）辦理資訊系統弱點掃描作業，針對
      所辨識出之潛在系統弱點，宜評估其相關風險或安裝修補程式，並
      留存紀錄（適用網際網路下單證券商，不適用語音下單及傳統下單
      之證券商）。
（10）程式原始碼安全規範（適用網際網路下單證券商，不適用語音下單
      及傳統下單之證券商）：
      a.程式應避免含有惡意程式等資訊安全漏洞。
      b.程式應使用適當且有效之完整性驗證機制，以確保其完整性。
      c.程式於引用之函式庫有更新時，應備妥對應之更新版本。
      d.程式應針對使用者輸入之字串，進行安全檢查並提供相關注入攻
        擊防護機制。
      e.無法取得程式原始碼時，應要求程式提供者符合上開前四項（a
        、b、c、d）安全事項。
（11）行動應用程式安全管理（適用網際網路下單證券商，不適用語音下
      單及傳統下單之證券商）：
      a.行動應用程式發布：
     （a）行動應用程式應於可信任來源之行動應用程式商店或網站發布
          ，且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣
          告之權限用途。
     （b）應於官網上提供行動應用程式之名稱、版本與下載位置。
     （c）應建立偽冒行動應用程式偵測機制，以維護客戶權益。
     （d）應於發布前檢視行動應用程式所需權限應與提供服務相當，首
          次發布或權限變動應經資安、法遵單位同意，並留有紀錄，以
          利綜合評估是否符合個人資料保護法之告知義務」。
      b.敏感性資料保護：
     （a）行動應用程式傳送及儲存敏感性資料時應透過憑證、雜湊（
          Hash）或加密等機制以確保資料傳送及儲存安全，並於使用時
          應進行適當去識別化，相關存取日誌應予以保護以防止未經授
          權存取。
     （b）啟動行動應用程式時，如偵測行動裝置疑似遭破解（如root、
          jailbreak、USBdebugging 等），應提示使用者注意風險。
      c.行動應用程式檢測：
     （a）涉及投資人使用之行動應用程式於初次上架前及每年應委由經
          財團法人全國認證基金會（TAF） 認證合格之第三方檢測實驗
          室進行並完成通過資安檢測，檢測範圍以經濟部工業局委託執
          行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢
          測基準項目進行檢測。如通過實驗室檢測後一年內有更新上架
          之需要，應於每次上架前就重大更新項目進行委外或自行檢測
          ；所謂重大更新項目為與「下單交易」、「帳務查詢」、「身
          份辨識」及「客戶權益有重大相關項目」有關之功能異動。檢
          測範圍以 OWASP MOBILE TOP 10  之標準為依據，並留存相關
          檢測紀錄。
     （b）公司對第三方檢測實驗室所提交之檢測報告，應建立覆核機制
          ，以確保檢測項目及內容一致，並留存覆核紀錄。

12. 新興科技應用（CC-21100，年度查核）
 （1）雲端服務：
      a.公司為雲端服務使用者時，應訂定雲端運算服務運作安全規範內
        含雲端提供者之遴選機制、查核措施、備援機制、服務水準（含
        資訊安全防護）與復原時間要求等，如有不符需求之處，需有其
        它補償性措施。
      b.公司為雲端服務提供者時，應訂定雲端運算服務安全控管措施，
        應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。
        如涉及敏感性資料之傳遞，應使用超文字傳輸安全協定（HTTPS
        ）、安全檔案傳輸協定（SFTP）等加密之網路協定。
 （2）社群媒體：
      a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法
        ，應包含以下內容：
     （a）界定可於公務用社群媒體上分享之業務相關資料。
     （b）私人與公務用社群媒體之區別與應注意事項。
      b.應針對開放員工使用社群媒體評估其風險程度，包含：資料外洩
        、社交工程、惡意程式攻擊等，並採行適當的安全控管措施。
      c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法，並包含
        以下內容：
     （a）應事先了解所經營之社群媒體隱私政策，並定期（每年一次）
          檢視其隱私政策之異動及評估其風險。
     （b）於官方網站提供連結供使用者連至公司外之社群媒體時，應出
          現提示視窗告知使用者該連結非公司本身之網站。
     （c）對經營之社群媒體應標示證券商名稱、聯絡方式，以區別為官
          方經營之社群媒體。
     （d）應建立帳號權限管理機制，對發布內容進行控管與監視，並針
          對不適當言論及異常事件，進行通報或處置。
 （3）行動裝置：
      a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法，須包含
        以下項目：
     （a）行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
          應訂有相關規範。
     （b）人員異動時，行動裝置應進行重新配置或清除配置程序，以確
          保行動裝置環境安全性。
     （c）行動裝置應避免安裝非官方發佈之行動應用程式，或僅安裝由
          公司列出通過檢測可安裝之行動應用程式。
      b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法，須包
        含以下項目：
     （a）公司應要求員工自攜行動裝置使用用途。
     （b）公司應與持有人簽署員工自攜行動裝置使用協議，含：使用限
          制及雙方責任等。
     （c）公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
          網路（Internet）之行為。
 （4）物聯網：
      應訂定物聯網相關資訊安全規範與管理辦法，須包含下列項目：
      a.應建立物聯網設備管理清冊並至少每年更新一次，且應變更前開
        設備之初始密碼。
      b.物聯網設備應具備安全性更新機制且定期（每年一次）更新，如
        存在已知弱點無法更新時，應建立補償性管控機制。
      c.應關閉物聯網設備不必要之網路連線及服務，避免使用對外公開
        的網際網路位置。
      d.如與物聯網設備供應商簽定採購合約時，其內容宜包含資訊安全
        相關協議，明確約定相關責任（如：服務承諾、安全性更新年限
        、主動通報設備已知資安漏洞並提出相關應變處置方案），確保
        設備不存在已知安全性漏洞。