歷史異動條文

名  稱:

證券商因應嚴重特殊傳染病申請居家辦公指引 

Guidelines for the Work-From-Home Application by Securities Firms in Response to Severe Communicable Diseases

修正日期: 民國 112 年 10 月 03 日
主題分類: 市場監理 > 證券商管理
所有條文 條文檢索 條號查詢 修正條文 附件附表 歷史沿革 English

歷史名稱: 證券商因應嚴重特殊傳染病申請居家辦公指引(民國 111 年 10 月 06 日)
歷次修正日期:
2 
貳、證券商申請居家辦公之申請流程及申請書件
一、證券商申請流程
(一)證券商申請居家辦公屬受託買賣作業及交易作業、自行買賣作業及
      交易作業、結算及申報作業等業務,應依本公司「證券商因應嚴重
      特殊傳染性肺炎(COVID-19)事件相關措施」一、(五)辦理,向
      本公司申請以專案方式轉報主管機關核准,惟為縮短申請程序,證
      券商可備妥相關書件向本公司申請預先審查,若遇緊急情況發生時
      (例如封城、員工確診病例等),致無法循正常程序函報申請,則
      可採特殊個案方式(例如以電子郵件)向本公司通報,事後再補具
      相關書件送本公司備查。
(二)證券商申請居家辦公,如非屬受託買賣作業及交易作業、自行買賣
      作業及交易作業、結算及申報作業等業務,應檢具相關申報書件(
      包括居家辦公期間、人員配置、業務項目及管控措施),於居家辦
      公前或居家辦公之日起 3  日內向本公司申報備查。
二、申請書件
    證券商申請居家辦公,應事先提具應變計畫及案件檢查表(附件),
    向本公司專案申請,前述應變計畫應包含下列事項:
(一)使用期間:申請居家辦公之使用期間不得超過三個月,但有正當理
      由,得於期限屆滿前向本公司申請以專案方式轉報主管機關核准延
      展三個月,若遇緊急情況發生時,致無法循正常程序函報申請,則
      可採特殊個案方式向本公司通報,事後再補具相關書件送本公司備
      查。
(二)人員配置:人員配置相關資料,且須指定高階經理人為與本公司聯
      繫之窗口。
(三)業務項目:居家辦公之業務範疇僅限申請辦理部分(例如:交易、
      結算)。如僅申請居家辦理交易業務,則未申請之結算業務僅能在
      營業處所執行,如需異動仍應向本公司申請以專案方式轉報主管機
      關核准,若遇緊急情況發生時,致無法循正常程序函報申請,則可
      採特殊個案方式向本公司通報,事後再補具相關書件送本公司備查
      。
(四)作業方式及程序:居家辦公之作業方式及程序,須明確敘明與營業
      處所辦公之差異。
(五)交易及員工行為管控措施::
      1.公司對於居家辦公員工之活動、通訊須建立監理措施,居家從事
        活動僅限於公司核可之範圍,並強化審查居家辦公員工個人交易
        行為(包括委託買賣等相關之通訊及活動,應明訂控管方式);
        另負責審查監理居家辦公員工活動人員,原則上不得居家辦公,
        但其居家辦公無礙執行審查監理作業時,不在此限。
      2.公司對居家辦公者應充分告知其權益及義務,並充分說明法令遵
        循之重要性。
      3.公司應對客戶隱私、資料及記錄之安全性等採行保護措施,並明
        訂管控措施。
      4.公司必須確認客戶身分(例如接受下單時),並對客戶帳戶提供
        強化之管控措施。
      5.公司應將居家辦公之摘要事項,公告於公司網站(首頁),並協
        助客戶瞭解公司營運情況及可能交易中斷風險等事宜。
      6.受託買賣作業、自行買賣作業、結算及申報作業之管控措施,包
        括錄音、錄影或相關替代措施之管控作業程序。
(六)測試報告:公司須先測試居家辦公之遠距連線系統,並確保員工僅
      能透過安全連線至公司系統。
(七)資訊安全管控措施:
      1.公司須建立安全的遠距連線機制(如:Virtual
        PrivateNetwork,VPN;Virtual Desktop Infrastructure,VDI
        ),包含:採多因子身分驗證機制(員工帳號密碼、動態密碼、
        一次性帳密)、加密連線、採最小授權原則、留存完整使用者操
        作稽核軌跡、監控與警示異常操作行為、執行安全性漏洞更新等
        安控措施,並教育居家辦公者應對網路風險保持警覺等。
      2.公司須限制僅能由公司員工登入連線,設備操作軌跡應保有完整
        紀錄,並依據員工職掌作業時間訂定可開放連線時段相關規範。
      3.公司須透過防火牆來阻擋惡意或未經授權之連線,並以最小權限
        原則設定規則及關閉非必要之埠號,並應監控網路流量及異常警
        告及中斷連線機制。
      4.公司須以最小授權原則,對使用者進行存取系統權限之差異化管
        理,居家辦公者僅能有執行業務之必要功能權限,關閉非必要之
        系統功能授權。
(八)出具「建立證券商資通安全檢查機制」聲明書。
(九)防範利益衝突及違規之相關措施:就居家辦公者訂定完整且明確之
      防範利益衝突及違規之相關措施。
(十)董事會議事錄(董事會同意居家辦公)或由總公司或集團所屬區域
      中心出具之同意書代替,倘遇緊急情況發生時,致無法事前經董事
      會同意者,可採事後追認方式辦理。
(十一)執行風險評估:申請居家辦公之使用期間連續達 1  年以上者,
        應檢視應變計畫內容是否符合現況及定期(每年至少 1  次)評
        估實施長期居家辦公可能產生新風險(風險評估應包含資訊安全
        風險、法律風險、作業風險、個資風險及金融犯罪風險等)。
(十二)居家辦公教育訓練及宣導紀錄(每半年至少 1  次)。