7.通訊與作業管理(CC-17000)
(1) 網路安全管理(CC-17010,適用網際網路下單證券商,另 a、b、e
項並適用於所有使用競價終端設備連結公眾網路之證券商,每月查
核)
a.網路系統安全評估:
(a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器
、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。
(b)定期或適時修補網路運作環境之安全漏洞(含伺服器、攜帶型
、個人端及營業處所內供投資人共用之電腦等),並留存相關
文件。
(c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵
事件、電腦防毒等)之事項應隨時對內部公告。
(d)各電腦主機、重要軟硬體設備應有專人負責。
b.防火牆之安全管理:
(a)應建立防火牆。
(b)防火牆應有專人管理。
(c)防火牆進出紀錄及其備份應至少保存二年。
(d)重要網站及伺服器系統(如網路下單系統等)應以防火牆與外
部網際網路隔離。
(e)防火牆系統之設定應經權責主管之核准。
c.網路傳輸安全管理:
網路下單畫面應採加密方式(例如:SSL )處理。
d.CA 認證與憑證管理:
(a)網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
(b)網路下單證券商應全面使用認證機制。
e.電腦病毒及惡意軟體之防範:
(a)應安裝防毒軟體,並及時更新程式及病毒碼。
(b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件
)。
(c)防毒應涵蓋個人端(含攜帶型及營業處所內供投資人共用之電
腦等)及網路伺服器端電腦。
(d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附
件,尤應特別小心開啟。
(e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使
用安全相關規定。
f.網路下單系統功能檢查:
應定期檢查網路下單系統提供之功能,並留存紀錄。
g.公司提供 API 服務規範:公司提供客戶使用應用程式介面(AP
I )服務之申請流程、核可標準及相關控管配套措施相關作業,
應依「證券商受理客戶使用應用程式介面(API )服務作業規範
」辦理。
h.網際網路下單服務品質相關標準:
公司提供網際網路下單業務時,兼顧客戶服務品質,應訂定網際
網路下單服務品質相關標準,並應包含下列重點如:交易之安全
性、交易之穩定及友善、提供客戶服務。
(2) 電腦系統及作業安全管理(CC-17020,半年查核)
a.電腦設備之管理:
為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維
護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢
查。
b.電腦作業系統環境設定及使用權限設定:
(a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並
由系統管理人員執行。
(b)電腦系統檔案異動前後皆有完善之備份處理措施。
c.電腦媒體之安全管理:
(a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
(b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應
鎖存於防火之房間或防火且防震之防火櫃中。
(c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱
及保存期限。
(d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩
露或不當使用。
d.電腦操作管理:
(a)操作人員應確實依規定操作程序執行。
(b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管
為同一人。
(c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主
管核驗。
e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
f.證券經紀商之電腦系統應訂定定期(每年至少一次)由內部或委
託外部專業機構評估電腦系統容量及安全措施之機制與程序,定
期對系統容量進行壓力測試,並留存紀錄。
|