歷史異動條文

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 113 年 05 月 15 日
主題分類: 市場監理 > 證券商管理

歷史名稱: 建立證券商資通安全檢查機制(民國 110 年 07 月 20 日)
歷次修正日期:
7
7.通訊與作業管理(CC-17000)
(1) 網路安全管理(CC-17010,適用網際網路下單證券商,另 a、b、e
      項並適用於所有證券商,每月查核)
      a.網路系統安全評估:
     (a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器
          、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。
     (b)定期或適時修補網路運作環境及作業系統之安全漏洞(含伺服
          器、攜帶型、個人端及營業處所內供投資人共用之電腦等),
          並留存相關文件。
     (c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵
          事件、電腦防毒等)之事項應隨時對內部公告。
     (d)各電腦主機、重要軟硬體設備應有專人負責。
     (e)公司網路應依用途區分為 DMZ、營運環境、測試環境及其他環
          境,並有適當區隔機制(如防火牆、虛擬區域網路、實體隔離
          等)。
     (f)個人資料及機敏資料應存放於安全的網路區域,不得存放於網
          際網路等區域。
     (g)系統應僅開啟必要之服務及程式,未使用之服務功能應關閉。
     (h)公司應建立遠端連線管理辦法,對使用外部網路遠端連線至公
          司內部作業進行控管,留存相關維護紀錄並由權責主管定期覆
          核。
     (i)公司應防止未經授權設備使用內部網路。
      b.防火牆之安全管理:
     (a)應建立防火牆。
     (b)防火牆應有專人管理。
     (c)防火牆進出紀錄及其備份應至少保存三年。
     (d)重要網站及伺服器系統(如網路下單系統等)應以防火牆與外
          部網際網路隔離。
     (e)防火牆系統之設定應經權責主管之核准。
     (f)公司應每年定期檢視並維護防火牆存取控管設定,並留存相關
          檢視紀錄。
     (g)公司交易相關網路直接連線之設備應避免使用危害國家資通安
          全產品。
      c.網路傳輸及連線安全管理:
     (a)網路下單畫面應採加密方式(例如:SSL )處理。
     (b)公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號登
          入嘗試紀錄等進行監控及分析,並留存相關紀錄。
     (c)公司提供網路下單服務,應於網路下單登入時採多因子認證方
          式(例如:下單憑證、綁定裝置、OTP 、生物辨識等機制),
          以確保為客戶本人登入。
      d.CA  認證與憑證管理:
     (a)網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
     (b)網路下單證券商應全面使用認證機制。
      e.電腦病毒及惡意軟體之防範:
     (a)應安裝防毒軟體,並及時更新程式及病毒碼。
     (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件
          )。
     (c)防毒應涵蓋個人端(含攜帶型及營業處所內供投資人共用之電
          腦等)及網路伺服器端電腦。
     (d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附
          件,尤應特別小心開啟。
     (e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使
          用安全相關規定及建立郵件過濾機制。
     (f)公司應建立上網管制措施,以避免下載惡意程式。
     (g)公司應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣魚
          。
     (h)公司宜每年定期辦理社交工程演練,並對誤開啟信件或連結之
          人員進行教育訓練,並留存相關紀錄。
      f.網路下單系統功能檢查:
     (a)應定期檢查網路下單系統提供之功能,並留存紀錄。
     (b)應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員
          處理。
      g.公司提供 API  服務規範:公司提供客戶使用應用程式介面(
        API )服務之申請流程、核可標準及相關控管配套措施相關作業
        ,應依「證券商受理客戶使用應用程式介面(API )服務作業規
        範」辦理。
      h.網際網路下單服務品質相關標準:
        公司提供網際網路下單業務時,兼顧客戶服務品質,應訂定網際
        網路下單服務品質相關標準,並應包含下列重點如:交易之安全
        性、交易之穩定及友善、提供客戶服務。
      i.網路攻擊防護機制導入及安全性檢測
     (a)公司應依其所屬資安分級定期對提供網際網路服務之核心系統
          辦理滲透測試,並依測試結果進行改善。(111 年 1  月底生
          效)
     (b)公司應依其所屬資安分級定期辦理資通安全健診(應含網路架
          構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺
          服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢
          視)。(112 年 1  月底生效)
     (c)公司應依其所屬資安分級建立資通安全威脅偵測管理機制(應
          含括事件收集、異常分析、偵測攻擊並判斷攻擊行為)(112
          年 1  月底生效)
     (d)公司應依其所屬資安分級建立入侵偵測及防禦機制。(112 年
          1 月底生效)
     (e)公司應依其所屬資安分級設置應用程式防火牆。(112 年 1
          月底生效)
     (f)公司應依其所屬資安分級辦理進階持續性威脅攻擊防禦措施。
          (112 年 1  月底生效)
(2) 電腦系統及作業安全管理(CC-17020,半年查核)
      a.電腦設備之管理:
        為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維
        護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢
        查。
      b.電腦作業系統環境設定及使用權限設定:
     (a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並
          由系統管理人員執行。
     (b)電腦系統檔案異動前後皆有完善之備份處理措施。
     (c)公司應建立系統最高權限帳號管理辦法(含作業系統及應用系
          統),如需使用最高權限帳號時須取得權責主管同意,並留存
          相關紀錄。
     (d)公司應建立並落實個人電腦、伺服器及網路通訊設備之安全性
          組態基準(如密碼長度、更新期限等)。
     (e)公司透過網際網路使用管理帳號登入重要系統時,應採用多因
          子認證機制。
      c.電腦媒體之安全管理:
     (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
     (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應
          鎖存於防火之房間或防火且防震之防火櫃中。
     (c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱
          及保存期限。
     (d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩
          露或不當使用。
     (e)應建立回存測試機制,以驗證備份之完整性及儲存環境的適當
          性。
      d.電腦操作管理:
     (a)操作人員應確實依規定操作程序執行。
     (b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管
          為同一人。
     (c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主
          管核驗。
      e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
      f.證券經紀商之電腦系統應訂定定期(每年至少一次)由內部或委
        託外部專業機構評估電腦系統容量及安全措施之機制與程序,定
        期對系統容量進行壓力測試,並留存紀錄。
8
8.存取控制(CC-18000,每月查核)
(1) 公司應訂定資訊系統存取控制相關規定,並以書面、電子或其他方
      式告知員工遵守。
(2) 權限管理:
      a.對於程式的存取使用,應有詳細的書面管制說明。
      b.人員異動時應及時更新其使用權限。
      c.對於程式及檔案之存取使用,應按權限區分。
      d.委外人員電腦通行使用權利應經適當控管;委外期間結束後,應
        立即收回該項權利。
      e.對於進駐於公司內之委外作業人員應納入公司安全管理,如欲使
        用內部網路資源時,應有安全管制措施(如透過轉接方式或另建
        網路者,宜與內部網路作實體隔離)。
      f.應定期(至少每半年一次)審查並檢討久未使用之使用者權限(
        使用者為客戶者除外)。
(3) 密碼管理:
      a.使用者第一次使用系統時,應更新初始密碼後方可繼續作業。
      b.密碼應以亂碼方式儲存。
      c.對於使用者忘記密碼之處理,應有嚴格的身分確認程序,方可再
        次使用系統。
      d.初始密碼應隨機產生,並與使用者身分無關。(本項不適用採自
        行訂定交付電子式交易密碼條之方式)
      e.密碼輸入錯誤次數達三次者,應予中斷連線。
      f.除輸入介面僅可輸入數字外(例如:語音按鍵下單),公司應使
        用優質密碼設定(長度 6  個字元(含)以上,且具有文數字或
        符號)並進行管控,及加強宣導客戶定期更新使用者密碼以不超
        過三個月為宜。除客戶外,公司其他使用者之密碼應至少每三個
        月變更一次。
      g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作
        業系統及資料庫等軟硬體設備應設定使用密碼,且避免使用預設
        (如 administrator、root、sa)或簡易(如 1234 )之帳號密
        碼及未設管理者存取權限。
      h.客戶申請採電子式交易型態者,公司得以一般或自訂電子方式交
        付電子密碼條,應依下列說明辦理:
     (a)採一般電子方式交付電子密碼條,應傳送 OTP(One Time
          Password)密碼至客戶開戶留存之手機號碼,及將加密後之電
          子密碼條以電子方式傳送至客戶留存之電子信箱,此流程相關
          系統紀錄應留存。
     (b)採自訂交付電子密碼條方式,應訂定交付電子式交易密碼之作
          業程序及安全控管機制,並辨認電子式交易密碼交付對象為本
          人及留存相關紀錄。
(4) 電腦稽核紀錄管理:
      a.對重要系統(如主機連線系統、網路下單系統等)之稽核日誌記
        錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料
        或其網址等事項。
      b.對上開重要系統之電腦稽核紀錄,應有專人定期檢視。
      c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序,至
        少留存三年。
(5) 資料輸入管理:
      a.安全性或重要性較高之資料,應由權責主管人員核可後始得執行
        輸入或修改。
      b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
      c.對隱密性高之重要資料(例如:密碼檔)應以亂碼後之資料形式
        存放。
      d.公司如屬公開發行公司者,應於內部控制制度納入「公開發行公
        司網路申報公開資訊應注意事項」,並據以辦理相關申報事宜。
      e.使用電子憑證IC卡或其他類型憑證晶片卡或其他憑證載具等代
        表公司簽署之作業(例如:「公開資訊觀測站」、「證券商申報
        單一窗口」、「公文電子交換系統」等),該等憑證載具應由專
        人負責保管並設簿登記,且應訂定相關帳號、密碼保管及使用程
        序,並據以執行。
      f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者
        (例如:「電子對帳單系統」),應留存電腦稽核紀錄(log )
        ,其保存年限比照各作業資料應保存年限。
      g.應依「個人資料保護法」,妥善處理客戶及公司內部人個人資料
        。
      h.公司應定期或不定期稽核依「個人資料保護法」定義之個人資料
        管理情形。
      i.前揭個人資料,其更新、更正或註銷均應報經備查,並將更新、
        更正、註銷內容、作業人員及時間詳實記錄。
      j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用,
        應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
(6) 資料輸出管理:
      a.報表是否按時產生並分送各使用單位。
      b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。
      c.投資人於公司網站查詢個人資料應具有加密傳輸機制(例如:
        SSL )。
      d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸,公
        司對姓名、帳號及信用帳號等機敏資訊,應依「機敏資訊類型及
        隱匿之具體作法原則」辦理。
10
10. 營運持續管理(CC-20000,半年查核)
(1) 故障復原程序(例如:電腦設備、通訊設備、電力系統、資料庫、
      電腦作業系統等備援及回復計畫)應明確訂定,並製成文件。
(2) 故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺
      失謀求改進,並留存紀錄。
(3) 證券經紀商之交易主機應有備援措施。
(4) 公司應擬訂營運持續計畫(含起動條件、參與人員、緊急程序、備
      援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規
      劃及合約適當性等)及其必要之維護,並擬訂關鍵性業務及其衝擊
      影響分析,再依其所屬資安分級定期辦理業務持續運作演練。(
      111 年 1  月底生效)
(5) 公司應訂定資訊安全訊息通報機制(例如:正式之通報程序及資安
      事件通報聯絡人),針對與資訊系統有關之資訊安全或服務異常事
      件應依「證券期貨市場資通安全事件通報應變作業注意事項」辦理
      ,並採取適當矯正程序,留存紀錄。
(6) 公司發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故
      者,應立即函報證交所(或櫃檯買賣中心、券商公會)轉陳主管機
      關。
(7) 公司應明確訂定分散式阻斷服務攻擊(DDoS)防禦與應變作業程序
      。
14
14. 主機共置(Co_Location )服務管理(CC-23000,適用使用主機共置
    服務之證券商,月或半年查核)
(1) 設備等資產進出主機共置機房,應於「主機共置用戶服務系統」進
      行申請,並配合清點及留存紀錄
      (半年查核)。
(2) 配合定期盤點主機共置機房機櫃內主機與網路設備(半年查核)。
(3) 公司放置於主機共置機房之軟體、硬體設備應依「建立證券商資通
      安全檢查機制」規定,具備完善之資訊安全防護措施並落實執行(
      月或半年查核)。