8.存取控制（CC-18000，每月查核）
（1） 公司應訂定資訊系統存取控制相關規定，並以書面、電子或其他方
      式告知員工遵守。
（2） 權限管理：
      a.對於程式的存取使用，應有詳細的書面管制說明。
      b.人員異動時應及時更新其使用權限。
      c.對於程式及檔案之存取使用，應按權限區分。
      d.委外人員電腦通行使用權利應經適當控管; 委外期間結束後，應
        立即收回該項權利。
      e.對於進駐於公司內之委外作業人員應納入公司安全管理，如欲使
        用內部網路資源時，應有安全管制措施（如透過轉接方式或另建
        網路者，宜與內部網路作實體隔離）。
      f.應定期（至少每半年一次）審查並檢討久未使用之使用者權限（
        使用者為客戶者除外）。
（3） 密碼管理：
      a.使用者第一次使用系統時，應更新初始密碼後方可繼續作業。
      b.密碼應以亂碼方式儲存。
      c.對於使用者忘記密碼之處理，應有嚴格的身分確認程序，方可再
        次使用系統。
      d.初始密碼應隨機產生，並與使用者身分無關。
      e.密碼輸入錯誤次數達三次者，應予中斷連線。
      f.除輸入介面僅可輸入數字外（例如：語音按鍵下單），公司應使
        用優質密碼設定（長度 6  個字元（含）以上，且具有文數字或
        符號），並加強宣導客戶定期更新使用者密碼以不超過三個月為
        宜。除客戶外，公司其他使用者之密碼應至少每三個月變更一次
        。
      g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作
        業系統及資料庫等軟硬體設備應設定使用密碼，且避免使用預設
        （如 administrator、root、sa）或簡易（如 1234） 之帳號密
        碼及未設管理者存取權限。
      h.客戶申請採電子式交易型態者，公司以電子方式交付電子密碼條
        時，應傳送 OTP （One Time Password）密碼至客戶開戶留存之
        手機號碼，及將加密後之電子密碼條以電子方式傳送至客戶留存
        之電子信箱，此流程相關系統紀錄應留存。
（4） 電腦稽核紀錄管理：
      a.對重要系統（如主機連線系統、網路下單系統等）之稽核日誌記
        錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料
        或其網址等事項。
      b.對上開重要系統之電腦稽核紀錄，應有專人定期檢視。
      c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序，至
        少留存三年。
（5） 資料輸入管理：
      a.安全性或重要性較高之資料，應由權責主管人員核可後始得執行
        輸入或修改。
      b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
      c.對隱密性高之重要資料（例如：密碼檔）應以亂碼後之資料形式
        存放。
      d.公司如屬公開發行公司者，應於內部控制制度納入「公開發行公
        司網路申報公開資訊應注意事項」，並據以辦理相關申報事宜。
      e.使用電子憑證ＩＣ卡或其他類型憑證晶片卡或其他憑證載具等代
        表公司簽署之作業（例如：「公開資訊觀測站」、「證券商申報
        單一窗口」、「公文電子交換系統」等），該等憑證載具應由專
        人負責保管並設簿登記，且應訂定相關帳號、密碼保管及使用程
        序，並據以執行。
      f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者
        （例如：「電子對帳單系統」），應留存電腦稽核紀錄（log ）
        ，其保存年限比照各作業資料應保存年限。
      g.應依「個人資料保護法」，妥善處理客戶及公司內部人個人資料
        。
      h.公司應定期或不定期稽核依「個人資料保護法」定義之個人資料
        管理情形。
      i.前揭個人資料，其更新、更正或註銷均應報經備查，並將更新、
        更正、註銷內容、作業人員及時間詳實記錄。
      j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用，
        應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
（6） 資料輸出管理：
      a.報表是否按時產生並分送各使用單位。
      b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。
      c.投資人於公司網站查詢個人資料應具有加密傳輸機制（例如：
        SSL ）。
      d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸，公
        司對姓名、帳號及信用帳號等機敏資訊，應依「機敏資訊類型及
        隱匿之具體作法原則」辦理。

12. 新興科技應用（CC-21100，年度查核）
 （1）雲端服務：
      a.公司為雲端服務使用者時，應訂定雲端運算服務運作安全規範內
        含雲端提供者之遴選機制、查核措施、備援機制、服務水準（含
        資訊安全防護）與復原時間要求等，如有不符需求之處，需有其
        它補償性措施。
      b.公司為雲端服務提供者時，應訂定雲端運算服務安全控管措施，
        應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。
        如涉及敏感性資料之傳遞，應使用超文字傳輸安全協定（HTTPS
        ）、安全檔案傳輸協定（SFTP）等加密之網路協定。
 （2）社群媒體：
      a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法
        ，應包含以下內容：
     （a）界定可於公務用社群媒體上分享之業務相關資料。
     （b）私人與公務用社群媒體之區別與應注意事項。
      b.應針對開放員工使用社群媒體評估其風險程度，包含：資料外洩
        、社交工程、惡意程式攻擊等，並採行適當的安全控管措施。
      c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法，並包含
        以下內容：
     （a）應事先了解所經營之社群媒體隱私政策，並定期（每年一次）
          檢視其隱私政策之異動及評估其風險。
     （b）於官方網站提供連結供使用者連至公司外之社群媒體時，應出
          現提示視窗告知使用者該連結非公司本身之網站。
     （c）對經營之社群媒體應標示證券商名稱、聯絡方式，以區別為官
          方經營之社群媒體。
     （d）應建立帳號權限管理機制，對發布內容進行控管與監視，並針
          對不適當言論及異常事件，進行通報或處置。
 （3）行動裝置：
      a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法，須包含
        以下項目：
     （a）行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
          應訂有相關規範。
     （b）人員異動時，行動裝置應進行重新配置或清除配置程序，以確
          保行動裝置環境安全性。
     （c）行動裝置應避免安裝非官方發佈之行動應用程式，或僅安裝由
          公司列出通過檢測可安裝之行動應用程式。
      b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法，須包
        含以下項目：
     （a）公司應要求員工自攜行動裝置使用用途。
     （b）公司應與持有人簽署員工自攜行動裝置使用協議，含：使用限
          制及雙方責任等。
     （c）公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
          網路（Internet）之行為。
      c.公司應訂定行動應用程式之發佈規範與管理辦法，須包含以下內
        容：
     （a）應用程式發佈前，應確認程式碼或程序庫通過內容安全或驗證
          程序，如：程式原始碼檢測或掃描，確認未含惡意程式碼與有
          敏感性資料。
     （b）行動應用程式宜完整定義特殊符號篩選機制。
     （c）無法取得行動應用程式原始碼時，應要求行動應用程式提供者
          符合前項安全事項。
      d.公司應訂定行動應用程式安全控管規範與管理辦法，須包含以下
        內容：
     （a）應針對交易或帳務等敏感性資料設計行動應用程式存取驗證機
          制，並僅供經授權之行動應用程式使用該敏感性資料。
     （b）透過行動應用程式發送簡訊或其他訊息通知方式告知使用者敏
          感性資料時，應進行適當去識別化。
     （c）透過行動應用程式傳送帳號、密碼及其他敏感性資料時，應以
          憑證驗證或加密機制確保傳送安全。
     （d）透過行動應用程式儲存密碼、憑證、交易或帳務等敏感性資料
          時，應對儲存之資料進行雜湊（Hash）或加密控管保護。
     （e）透過行動應用程式處理交易或金流作業時，宜留存存取日誌，
          且存取日誌應予以保護以防止未經授權存取。
 （4）物聯網：
      應訂定物聯網相關資訊安全規範與管理辦法，須包含下列項目：
      a.應建立物聯網設備管理清冊並至少每年更新一次，且應變更前開
        設備之初始密碼。
      b.物聯網設備應具備安全性更新機制且定期（每年一次）更新，如
        存在已知弱點無法更新時，應建立補償性管控機制。
      c.應關閉物聯網設備不必要之網路連線及服務，避免使用對外公開
        的網際網路位置。
      d.如與物聯網設備供應商簽定採購合約時，其內容宜包含資訊安全
        相關協議，明確約定相關責任（如：服務承諾、安全性更新年限
        、主動通報設備已知資安漏洞並提出相關應變處置方案），確保
        設備不存在已知安全性漏洞。

13. 其他（CC-22000，半年查核）
（1） 資訊提供作業（CC-22010）
      a.各種重要法令規章及通知應立即張貼於公佈欄。
      b.上市公司之營運資料、公開說明書應陳列於證券投資資料櫃供客
        戶閱覽。
      c.營業廳內應裝置「公開資訊觀測站」，供客戶自行操作使用。
      d.資訊閱覽室應未限定對象並且無收費行為。
      e.資訊閱覽室不得裝設專用競價用終端機。
      f.不得於資訊閱覽室從事與客戶簽定開戶契約、接受買賣有價證券
        之委託交割及其他類似證券商業務行為。
      g.於所設網站上提供股市即時交易資訊，應經由與證交所簽約之資
        訊公司提供。
      h.應定期檢查網站內對外提供之資訊，對具機密性、敏感性之資訊
        內容，應立即移除；並應遵守證券商推介客戶買賣有價證券作業
        辦法規定，且不得以公司名義將屬於證券投資顧問事業範圍之資
        訊代為公開。
      i.證券商若於網站平台上進行推介，應設有密碼以控管得閱覽個股
        研究報告之客戶；且客戶應與證券商簽訂推介契約（國內機構投
        資人及外國機構投資人得免簽）。