修正條文

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 113 年 05 月 15 日
主題分類: 市場監理 > 證券商管理
1
1.風險評鑑與管理(CC-11000,適用網際網路下單證券商,不適用語音下
  單及傳統下單之證券商,年度查核)
(1) 應鑑別公司適用資訊安全風險範圍內之所有資訊資產以及其擁有者
      。
(2) 應確定公司各作業可接受之資訊安全風險等級。
(3) 公司應至少每年進行一次資訊安全風險評鑑,並留存相關紀錄,營
      運相關的重大風險與控管措施議題(包括新產品、新興技術和資訊
      系統的風險)應納入風險評估範圍,以確保公司政策、程序和控管
      措施之有效性。
(4) 應評估核心系統可容忍中斷時間、復原時間目標(RTO )、資料復
      原點目標(RPO ),並依經紀業務規模市占率暨自然人客戶數比率
      分級,訂定核心系統可容忍中斷時間。
相關資訊
4
4.資產分類與控制(CC-14000,半年查核)
(1) 資訊資產應列有清冊,清冊並應加以維護。
(2) 應訂有資訊分級並作標示處理之相關規範。(適用網際網路下單證
      券商,不適用語音下單及傳統下單之證券商)
(3) 公司應對自行或委外開發之資訊系統完成資訊系統分級,資訊系統
      等級應至少區分核心與非核心系統,每年應至少檢視一次資訊系統
      分級妥適性。(111 年 1  月底生效)
(4) 公司應對資訊資產之資料與文件的保存期限進行規範,並於保存期
      限到期後進行刪除與銷毀。
相關資訊
7
7.通訊與作業管理(CC-17000)
(1) 網路安全管理(CC-17010,適用網際網路下單證券商,另 a、b、f
      項並適用於所有證券商,每月查核)
      a.網路系統安全評估:
     (a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器
          、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。
     (b)定期或適時修補網路運作環境及作業系統之安全漏洞(含伺服
          器、攜帶型、個人端及營業處所內供投資人共用之電腦等),
          並留存相關文件。
     (c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵
          事件、電腦防毒等)之事項應隨時對內部公告。
     (d)各電腦主機、重要軟硬體設備應有專人負責。
     (e)公司網路應依用途區分為 DMZ、營運環境、測試環境及其他環
          境,並有適當區隔機制(如防火牆、虛擬區域網路、實體隔離
          等)。
     (f)個人資料及機敏資料應存放於安全的網路區域,不得存放於網
          際網路等區域。
     (g)系統應僅開啟必要之服務及程式,未使用之服務功能應關閉。
     (h)公司應建立遠端連線管理辦法,對使用外部網路遠端連線至公
          司內部作業進行控管及身分認證,並留存相關維護紀錄並由權
          責主管定期覆核。
     (i)公司應防止未經授權設備使用內部網路。
     (j)應避免使用生命週期終止(End of Service, EOS/ End of
          Life, EOL) 之網路設備,並針對 EOS/EOL 之網路設備擬定
          汰除相關計畫。
      b.網路設備之安全管理:
     (a)應建立防火牆。
     (b)防火牆應有專人管理。
     (c)防火牆進出紀錄及其備份應至少保存三年。
     (d)重要網站及伺服器系統(如網路下單系統等)應以防火牆與外
          部網際網路隔離。
     (e)防火牆系統之設定應經權責主管之核准。
     (f)公司應每年定期檢視並維護防火牆存取控管設定,每半年檢視
          DMZ 區之防火牆規則,並留存相關檢視紀錄。
     (g)公司交易相關網路直接連線之設備應避免使用危害國家資通安
          全產品。
     (h)公司建立網路設備規則應以最小授權及正面表列為原則。
     (i)公司應至少每年檢視一次對外網路設備規則,並留存相關紀錄
          。
      c.網路傳輸及連線安全管理:
     (a)網路下單畫面應採加密方式(例如:SSL )處理。
     (b)公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號嘗
          試登入紀錄等進行監控及分析,發現有帳號登入異常情事(如
          密碼輸入錯誤達三次、一定時間內大量帳號登入失敗、帳戶申
          請或更新憑證下載異常),應即時了解異常原因,並留存相關
          紀錄。
     (c)公司提供網路下單服務,應於網路下單登入時採多因子認證方
          式(例如:固定密碼、圖形鎖、下單憑證、綁定裝置、OTP 、
          生物辨識等機制),以確保為客戶本人登入。
      d.多因子驗證:
        公司使用多因子驗證應具下列三項之任兩項技術:
     (a)公司所約定之資訊,且無第三人知悉(如固定密碼、圖形鎖或
          手勢等)。
     (b)客戶所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電
          腦、行動裝置、憑證載具等),公司應確認該設備為客戶與公
          司所約定持有之設備。
     (c)客戶提供給公司其所擁有之生物特徵(如指紋、臉部、虹膜、
          聲音、掌紋、靜脈、簽名等),公司應直接或間接驗證該生物
          特徵。
      e.身分認證與憑證管理
     (a)網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
          客戶申請或更新憑證下載,必須採用多因子(如:下單憑證、
          綁定裝置、OTP 、生物辨識及 SIM  認證等)驗證方式,且與
          登入帳戶時使用之因子不同,確實辨認客戶身分並留存紀錄。
     (b)網路下單證券商應全面使用認證機制。
     (c)公司應於伺服器端驗證客戶交易身分及使用者帳號。
     (d)公司對電子交易身分之申請、交付、使用、更新與驗證應訂定
          相關規範。
      f.電腦病毒及惡意軟體之防範:
     (a)應安裝防毒軟體,並及時更新程式及病毒碼。
     (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件
          )。
     (c)防毒應涵蓋個人端(含攜帶型及營業處所內供投資人共用之電
          腦等)及網路伺服器端電腦。
     (d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附
          件,尤應特別小心開啟。
     (e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使
          用安全相關規定及建立郵件過濾機制。
     (f)公司應建立上網管制措施,以避免下載惡意程式。
     (g)公司應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣魚
          。
     (h)公司宜每年定期辦理社交工程演練,並對誤開啟信件或連結之
          人員進行教育訓練,並留存相關紀錄。
      g.網路系統功能檢查:
     (a)應定期檢查網路下單系統提供之功能,並留存紀錄。
     (b)應就提供外部連線使用網路系統偵測網頁與程式異動、記錄並
          通知相關人員處理。
      h.公司提供 API  服務規範:公司提供客戶使用應用程式介面(
        API )服務之申請流程、核可標準及相關控管配套措施相關作業
        ,應依「證券商受理客戶使用應用程式介面(API )服務作業規
        範」辦理。
      i.網際網路下單服務品質相關標準:
        公司提供網際網路下單業務時,兼顧客戶服務品質,應訂定網際
        網路下單服務品質相關標準,並應包含下列重點如:交易之安全
        性、交易之穩定及系統可用性、提供客戶服務。
      j.網路攻擊防護機制導入及安全性檢測
     (a)公司應依其所屬資安分級定期對提供網際網路服務之核心系統
          辦理滲透測試,並依測試結果進行改善。(111 年 1  月底生
          效)
     (b)公司應依其所屬資安分級定期辦理資通安全健診(應含網路架
          構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺
          服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢
          視)。(112 年 1  月底生效)
     (c)公司應依其所屬資安分級建立資通安全威脅偵測管理機制(應
          含括事件收集、異常分析、偵測攻擊並判斷攻擊行為)
     (d)公司應依其所屬資安分級建立入侵偵測及防禦機制。
     (e)公司應依其所屬資安分級設置應用程式防火牆。
     (f)公司應依其所屬資安分級辦理進階持續性威脅攻擊防禦措施。
          (112 年 1  月底生效)
     (g)核心系統身分驗證機制應防範自動化程式之登入或密碼更換嘗
          試,非核心系統宜防範自動化程式之登入或密碼更換嘗試。
      k.帳號登入或異常態樣通知:
        公司對於客戶帳號登入時宜進行通知,如有符合以下異常態樣應
        即通知客戶,並留存紀錄,避免非客戶本人登入情事:
     (a)密碼輸入錯誤或帳戶被鎖定。
     (b)申請或更新憑證。
     (c)變更基本資料。
     (d)異常來源或行為嘗試登入等
     (e)密碼申請異動或補發時。
      l.異常 IP 登入之監控與預警:
        公司應對異常及不明來源 IP 連線進行監控分析及留存紀錄,如
        有發現下列情形,應設有警示機制,並定期檢視以確認機制有效
        運作:
     (a)同一來源 IP 登入不同帳號達一定次數以上。
     (b)同一帳號在一定時間內由不同國家登入。
     (c)發現異常來源(如金融資安資訊分享與分析中心 F-ISAC 公布
          之黑名單或國外 IP )嘗試登入。
(2) 電腦系統及作業安全管理(CC-17020,半年查核)
      a.電腦設備之管理:
        為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維
        護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢
        查。
      b.電腦作業系統環境設定及使用權限設定:
     (a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並
          由系統管理人員執行。
     (b)電腦系統檔案異動前後皆有完善之備份處理措施。
     (c)公司應建立系統最高權限帳號管理辦法(含作業系統及應用系
          統),如需使用最高權限帳號時須取得權責主管同意,並留存
          相關紀錄。
     (d)公司應建立並落實個人電腦、伺服器及網路通訊設備之安全性
          組態基準(如密碼長度、更新期限等)。
     (e)公司透過網際網路使用帳號登入系統時,應採用多因子認證機
          制。
     (f)資通系統內部時鐘應定期與基準時間源進行同步。
     (g)公司應依其所屬資安分級對核心系統重要組態設定檔案及其他
          具保護需求之資訊進行加密或以其他適當方式儲存。
     (h)公司應依其所屬資安分級訂定對核心系統之閒置時間或可使用
          期限與核心系統之使用情況及條件(如:帳號類型與功能限制
          、操作時段限制、來源位址限制、連線數量及可存取資源等)
          。
      c.電腦媒體之安全管理:
     (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
     (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應
          鎖存於防火之房間或防火且防震之防火櫃中。
     (c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱
          及保存期限。
     (d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩
          露或不當使用。
     (e)應建立回存測試機制,以驗證備份之完整性及儲存環境的適當
          性。
     (f)公司應依據系統特性與資料復原點目標(RPO ),考量備份頻
          率、儲存媒體類型(光碟、外接硬碟、磁帶)、資料類型(虛
          擬機映像檔、系統源碼、資料庫與組態設定檔等)、備份類型
          (完整備份、增量備份與差異備份)、備份方式(網路同步寫
          入、網路非同步寫入與離線備份)等,制定適當之資料備份機
          制,如採離線備份應依備份類型建立適當的備份基準(
          baseline),以確保資料可正確回存。
     (g)公司制定資料備份機制時,宜考量「3-2-1 備份原則」,至少
          製作三份備份;將備份分別存放在兩套獨立不同儲存設備;至
          少一份放在異地保存。
      d.電腦操作管理:
     (a)操作人員應確實依規定操作程序執行。
     (b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管
          為同一人。
     (c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主
          管核驗。
      e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
      f.證券經紀商之電腦系統應訂定定期(每年至少一次)由內部或委
        託外部專業機構評估電腦系統容量及安全措施之機制與程序,定
        期對系統容量進行壓力測試,並留存紀錄。
相關資訊
10
10. 營運持續管理(CC-20000,半年查核)
(1) 應明確訂定(例如:電腦設備、通訊設備、電力系統、資料庫、電
      腦作業系統等備援及回復計畫)故障復原程序,並落實執行且留存
      紀錄。
(2) 故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺
      失謀求改進,並留存紀錄。
(3) 證券經紀商之交易主機應有備援措施,並依所屬資安分級建置異地
      備援機房。
(4) 公司應擬訂營運持續計畫(含起動條件、參與人員、緊急程序、備
      援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規
      劃及合約適當性等)及其必要之維護,並擬訂關鍵性業務及其衝擊
      影響分析,評估核心系統中斷造成之衝擊程度,並依核心系統之復
      原時間目標(RTO )、資料復原點目標(RPO ),作為恢復核心系
      統、備份備援規劃及執行復原作業之依據,再依其所屬資安分級定
      期辦理業務持續運作演練。公司應視演練範圍是否涉及第三方,邀
      請相關廠商參與演練。
(5) 公司應訂定資訊安全訊息通報機制(例如:正式之通報程序及資安
      事件通報聯絡人),針對與資訊系統有關之資訊安全或服務異常事
      件應依「證券期貨市場資通安全事件通報應變作業注意事項」及「
      證券商通報重大資安事件之範圍申報程序及其他應遵循事項」辦理
      ,並採取適當矯正程序,留存紀錄。
(6) 公司發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故
      者,應立即函報證交所(或櫃檯買賣中心、券商公會)轉陳主管機
      關。
(7) 公司應明確訂定分散式阻斷服務攻擊(DDoS)防禦與應變作業程序
      。
(8) 公司應辦理下列資安防護事宜:
      1.指定人員及部門統籌並協調聯繫各有關部門。
      2.定期評估核心營運系統及設備,對評估結果採取適當措施,並提
        報董事會,以確保營運持續及作業韌性之能力。
      3.於永續報告書、年報、財務報告或公司網站,揭露年度內公司持
        續核心營運系統及設備營運所需之資源及落實於年度預算或教育
        訓練計畫等項目。
(9) 公司應辨識風險情境,就各項風險情境當災害發生造成資訊作業異
      常或中斷時,擬定各系統之應變、減災或復原措施相關作業流程。
(10)核心系統原服務中斷時,應於可容忍時間內,由備援設備或其他方
      式取代並提供服務。
(11)證券商資訊委外作業如涉及核心資通系統與資通服務,資訊服務供
      應商應定期提供資通系統與資通服務之回復計畫,回復計畫可以災
      難復原計畫、備援演練、營運持續計畫等形式呈現。
相關資訊
12
12. 新興科技應用(CC-21100,年度查核)
(1) 雲端服務:
      應事先評估使用雲端運算服務之風險,若雲端運算服務涉及關鍵性
      系統、資料或服務者,應訂定雲端運算服務相關運作安全規範。
      a.公司為雲端服務使用者時,應訂定雲端服務提供者之遴選機制、
        查核措施、備援機制、服務水準(含資訊安全防護)、復原時間
        及服務終止措施要求等,如有不符需求之處,需有其它補償性措
        施。
      b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,
        應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。
        如涉及敏感性資料之傳遞,應使用超文字傳輸安全協定(HTTPS
        )、安全檔案傳輸協定(SFTP)等加密之網路協定。
(2) 社群媒體:
      a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法
        ,應包含以下內容:
     (a)界定可於公務用社群媒體上分享之業務相關資料。
     (b)私人與公務用社群媒體之區別與應注意事項。
      b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩
        、社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
      c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含
        以下內容:
     (a)應事先了解所經營之社群媒體隱私政策,並定期(每年一次)
          檢視其隱私政策之異動及評估其風險。
     (b)於官方網站提供連結供使用者連至公司外之社群媒體時,應出
          現提示視窗告知使用者該連結非公司本身之網站。
     (c)對經營之社群媒體應標示證券商名稱、聯絡方式、許可證字號
          、客戶申訴聯繫方式及處理窗口,以區別為官方經營之社群媒
          體。
     (d)應建立帳號權限管理機制,對發布內容進行控管與監視,並針
          對不適當言論及異常事件,進行通報或處置。
(3) 行動裝置:
      a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含
        以下項目:
     (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
          應訂有相關規範。
     (b)人員異動時,行動裝置應進行重新配置或清除配置程序,以確
          保行動裝置環境安全性。
     (c)行動裝置應避免安裝非官方發佈之行動應用程式,或僅安裝由
          公司列出通過檢測可安裝之行動應用程式。
     (d)公務用行動裝置管理辦法內容應包含行動裝置儲存機密資料之
          限制與管理方式。
      b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包
        含以下項目:
     (a)公司應要求員工自攜行動裝置使用用途。
     (b)公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限
          制及雙方責任等。
     (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
          網路(Internet)之行為。
     (d)員工自攜行動裝置管理辦法內容應包含行動裝置儲存機密資料
          之限制與管理方式。
(4) 物聯網:
      應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
      a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開
        設備之初始密碼。
      b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如
        存在已知弱點無法更新時,應建立補償性管控機制。
      c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開
        的網際網路位置。
      d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全
        相關協議,明確約定相關責任(如:服務承諾、安全性更新年限
        、主動通報設備已知資安漏洞並提出相關應變處置方案),確保
        設備不存在已知安全性漏洞。
      e.公司採購物聯網設備時,宜優先採購取得資安標章之物聯網設備
        。
      f.公司應定期辦理物聯網設備使用及管理人員資安教育訓練。
      g.應建立物聯網設備存取權限控管措施。
(5) 遠距辦公:
      a.公司應對使用遠距辦公之設備安裝資訊安全相關軟體,控管應用
        程式存取權限,以降低資訊外流風險。
      b.公司應依業務範圍及控管權限設定居家辦公員工之系統功能權限
        。
      c.公司應依員工執行業務內容訂定連線時段限制及相關規範。
      d.公司應留存遠距辦公員工使用者登入系統、電腦設備操作及交易
        紀錄軌跡。
      e.公司應採多因子驗證機制(員工帳號密碼、動態密碼、一次性帳
        密)及建立安全的遠距網路通道,降低相關帳號密碼遭假冒或竊
        用之風險。
      f.公司應阻擋惡意或未經授權之連線,並採用最小權限原則設定遠
        距帳號存取規則。
      g.公司應定時更新 VPN  連線和其他遠端連結系統之安控措施。
      h.公司應對客戶隱私、資料及紀錄之安全性建立保護措施。
      i.公司應加強宣導資訊安全,教育遠距辦公員工應對網路風險保持
        警覺等資訊安全機制。
(6) 深度偽造(Deepfake)
      a.使用影像視訊方式進行身分驗證時應強化驗證並搭配其他驗證因
        子(如上傳身分證件、手機簡訊 OTP)。
      b.應定期辦理涵蓋深度偽造認知及防範議題之資訊安全教育訓練。
相關資訊