建立證券商資通安全檢查機制 英
Establishing Information Security Inspection Mechanisms for Securities Firms
3.安全組織(CC-13000,年度查核) (1) 公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、 監控及執行資訊安全管理作業,且相關人員之工作職掌與兼辦業務 情形應符合規定。 (2) 公司應指定副總經理或高層主管人員,綜理資訊安全政策推動及資 源調度事務,並得視需要,成立跨部門之「資訊安全推行小組」; 如公司符合主管機關所訂一定條件者,應指定副總經理以上或職責 相當之人兼任資訊安全長辦理上開業務。 (3) 公司應視資訊安全管理需要及所屬資安分級,指定專人或專責單位 負責規劃與執行資訊安全工作,且資訊安全專責人員及專責主管每 年應定期參加十五小時以上資訊安全專業課程訓練或職能訓練並通 過評量。其他使用資訊系統之從業人員,每年應至少接受三小時以 上資訊安全宣導課程。 (4) 公司資訊安全人力、能力及經驗,如有不足之處,得委請外界的學 者專家或民間專業組織及團體,提供資訊安全顧問諮詢服務。 (5) 資訊處理部門與業務單位之權責,應明確劃分。 (6) 公司應依其所屬資安分級要求資安專責人員取得並維持相當資通安 全專業證照。(112 年 1 月底生效)
7.通訊與作業管理(CC-17000) (1) 網路安全管理(CC-17010,適用網際網路下單證券商,另 a、b、e 項並適用於所有證券商,每月查核) a.網路系統安全評估: (a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器 、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。 (b)定期或適時修補網路運作環境及作業系統之安全漏洞(含伺服 器、攜帶型、個人端及營業處所內供投資人共用之電腦等), 並留存相關文件。 (c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵 事件、電腦防毒等)之事項應隨時對內部公告。 (d)各電腦主機、重要軟硬體設備應有專人負責。 (e)公司網路應依用途區分為 DMZ、營運環境、測試環境及其他環 境,並有適當區隔機制(如防火牆、虛擬區域網路、實體隔離 等)。 (f)個人資料及機敏資料應存放於安全的網路區域,不得存放於網 際網路等區域。 (g)系統應僅開啟必要之服務及程式,未使用之服務功能應關閉。 (h)公司應建立遠端連線管理辦法,對使用外部網路遠端連線至公 司內部作業進行控管,留存相關維護紀錄並由權責主管定期覆 核。 (i)公司應防止未經授權設備使用內部網路。 b.防火牆之安全管理: (a)應建立防火牆。 (b)防火牆應有專人管理。 (c)防火牆進出紀錄及其備份應至少保存三年。 (d)重要網站及伺服器系統(如網路下單系統等)應以防火牆與外 部網際網路隔離。 (e)防火牆系統之設定應經權責主管之核准。 (f)公司應每年定期檢視並維護防火牆存取控管設定,並留存相關 檢視紀錄。 (g)公司交易相關網路直接連線之設備應避免使用危害國家資通安 全產品。 c.網路傳輸及連線安全管理: (a)網路下單畫面應採加密方式(例如:SSL )處理。 (b)公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號登 入嘗試紀錄等進行監控及分析,並留存相關紀錄。 (c)公司提供網路下單服務,應於網路下單登入時採多因子認證方 式(例如:下單憑證、綁定裝置、OTP 、生物辨識等機制), 以確保為客戶本人登入。 d.CA 認證與憑證管理: (a)網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。 (b)網路下單證券商應全面使用認證機制。 e.電腦病毒及惡意軟體之防範: (a)應安裝防毒軟體,並及時更新程式及病毒碼。 (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件 )。 (c)防毒應涵蓋個人端(含攜帶型及營業處所內供投資人共用之電 腦等)及網路伺服器端電腦。 (d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附 件,尤應特別小心開啟。 (e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使 用安全相關規定及建立郵件過濾機制。 (f)公司應建立上網管制措施,以避免下載惡意程式。 (g)公司應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣魚 。 (h)公司宜每年定期辦理社交工程演練,並對誤開啟信件或連結之 人員進行教育訓練,並留存相關紀錄。 f.網路下單系統功能檢查: (a)應定期檢查網路下單系統提供之功能,並留存紀錄。 (b)應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員 處理。 g.公司提供 API 服務規範:公司提供客戶使用應用程式介面( API )服務之申請流程、核可標準及相關控管配套措施相關作業 ,應依「證券商受理客戶使用應用程式介面(API )服務作業規 範」辦理。 h.網際網路下單服務品質相關標準: 公司提供網際網路下單業務時,兼顧客戶服務品質,應訂定網際 網路下單服務品質相關標準,並應包含下列重點如:交易之安全 性、交易之穩定及系統可用性、提供客戶服務。 i.網路攻擊防護機制導入及安全性檢測 (a)公司應依其所屬資安分級定期對提供網際網路服務之核心系統 辦理滲透測試,並依測試結果進行改善。(111 年 1 月底生 效) (b)公司應依其所屬資安分級定期辦理資通安全健診(應含網路架 構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺 服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢 視)。(112 年 1 月底生效) (c)公司應依其所屬資安分級建立資通安全威脅偵測管理機制(應 含括事件收集、異常分析、偵測攻擊並判斷攻擊行為)(112 年 1 月底生效) (d)公司應依其所屬資安分級建立入侵偵測及防禦機制。(112 年 1 月底生效) (e)公司應依其所屬資安分級設置應用程式防火牆。(112 年 1 月底生效) (f)公司應依其所屬資安分級辦理進階持續性威脅攻擊防禦措施。 (112 年 1 月底生效) (2) 電腦系統及作業安全管理(CC-17020,半年查核) a.電腦設備之管理: 為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維 護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢 查。 b.電腦作業系統環境設定及使用權限設定: (a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並 由系統管理人員執行。 (b)電腦系統檔案異動前後皆有完善之備份處理措施。 (c)公司應建立系統最高權限帳號管理辦法(含作業系統及應用系 統),如需使用最高權限帳號時須取得權責主管同意,並留存 相關紀錄。 (d)公司應建立並落實個人電腦、伺服器及網路通訊設備之安全性 組態基準(如密碼長度、更新期限等)。 (e)公司透過網際網路使用管理帳號登入重要系統時,應採用多因 子認證機制。 c.電腦媒體之安全管理: (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。 (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應 鎖存於防火之房間或防火且防震之防火櫃中。 (c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱 及保存期限。 (d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩 露或不當使用。 (e)應建立回存測試機制,以驗證備份之完整性及儲存環境的適當 性。 d.電腦操作管理: (a)操作人員應確實依規定操作程序執行。 (b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管 為同一人。 (c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主 管核驗。 e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。 f.證券經紀商之電腦系統應訂定定期(每年至少一次)由內部或委 託外部專業機構評估電腦系統容量及安全措施之機制與程序,定 期對系統容量進行壓力測試,並留存紀錄。
10. 營運持續管理(CC-20000,半年查核) (1) 應明確訂定(例如:電腦設備、通訊設備、電力系統、資料庫、電 腦作業系統等備援及回復計畫)故障復原程序,並落實執行且留存 紀錄。 (2) 故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺 失謀求改進,並留存紀錄。 (3) 證券經紀商之交易主機應有備援措施。 (4) 公司應擬訂營運持續計畫(含起動條件、參與人員、緊急程序、備 援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規 劃及合約適當性等)及其必要之維護,並擬訂關鍵性業務及其衝擊 影響分析,再依其所屬資安分級定期辦理業務持續運作演練。( 111 年 1 月底生效) (5) 公司應訂定資訊安全訊息通報機制(例如:正式之通報程序及資安 事件通報聯絡人),針對與資訊系統有關之資訊安全或服務異常事 件應依「證券期貨市場資通安全事件通報應變作業注意事項」辦理 ,並採取適當矯正程序,留存紀錄。 (6) 公司發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故 者,應立即函報證交所(或櫃檯買賣中心、券商公會)轉陳主管機 關。 (7) 公司應明確訂定分散式阻斷服務攻擊(DDoS)防禦與應變作業程序 。