為協助上市、上櫃公司（以下簡稱公司）強化資通安全防護及管理機制，
並符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資
訊系統處理者相關控制作業，特訂定本資通安全管控指引。

建立資通系統及相關設備適當之監控措施，包含身分驗證存取紀錄（如：
失敗登入、非作業時間登入、多位使用者使用同一來源 IP 登入成功等）
、存取資源紀錄、重要行為、重要資料異動、偵測攻擊與未授權之連線、
功能錯誤及管理者行為等，並針對日誌建立適當之保護機制。

建立遠端存取資通系統之管控機制，如：建立安全的遠距連線機制（如：
VPN、VDI）、採多重身分驗證、採加密連線、採最小授權原則、留存完整
使用者操作稽核軌跡、監控與警示異常操作行為、執行安全性漏洞更新等
安控措施，並教育居家辦公者應對網路風險保持警覺等。

針對提供公眾活動或使用之場地，宜強化告示牌、電子看板等傳播影像或
聲音功能設備之管理。

針對電腦機房及重要區域之安全控制、人員進出管控、環境維護（如溫溼
度控制）等項目建立適當之管理措施。

留意安全漏洞通告，即時修補高風險漏洞，定期評估辦理設備、系統元件
、資料庫系統及軟體安全性漏洞修補。

訂定資通設備回收再使用及汰除之安全控制作業程序，以確保機敏性資料
確實刪除。

訂定人員裝置使用管理規範，如：軟體安裝、電子郵件、即時通訊軟體、
個人行動裝置及可攜式媒體等管控使用規則。

每年定期辦理電子郵件社交工程演練，並對誤開啟信件或連結之人員進行
教育訓練，並留存相關紀錄。

訂定資訊作業委外安全管理程序，包含委外選商、監督管理（如：對供應
商與合作夥伴進行稽核）及委外關係終止之相關規定，確保委外廠商執行
委外作業時，具備完善之資通安全管理措施。

訂定委外廠商之資通安全責任及保密規定，於採購文件中載明服務水準協
議（SLA ）、資安要求及對委外廠商資安稽核權。

公司於委外關係終止或解除時，確認委外廠商返還、移交、刪除或銷毀履
行契約而持有之資料。

訂定資安事件應變處置及通報作業程序，包含判定事件影響及損害評估、
內外部通報流程、通知其他受影響機關之方式、通報窗口及聯繫方式，得
參考臺灣電腦網路危機處理暨協調中心（TWCERT／CC）「企業資安事件應
變處理指南」。

加入資安情資分享組織，取得資安預警情資、資安威脅與弱點資訊，如：
所屬產業資安資訊分享與分析中心（ISAC）、臺灣電腦網路危機處理暨協
調中心（TWCERT／CC）。

發生符合「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之
查證暨公開處理程序」或「財團法人中華民國證券櫃檯買賣中心對有價證
券上櫃公司重大訊息之查證暨公開處理程序」規範之重大資安事件，應依
相關規定辦理。

資通安全推動組織定期向董事會或管理階層報告資通安全執行情形，確保
運作之適切性及有效性。

定期辦理內部及委外廠商之資安稽核，並就發現事項擬訂改善措施，且定
期追蹤改善情形。

應於年報敘明資安政策、具體管理方案、投入資安管理之資源、重大資安
事件之損失與可能影響及因應措施等資訊。

評估導入 ISO27001、CNS27001 等資訊安全管理系統標準，或其他具有同
等或以上效果之系統或標準，取得第三方驗證，並持續維持其驗證有效性
，亦或評估通過美國註冊會計師協會（AICPA ）發展之 SOC 2  服務組織
之 Type2  合規標準認證，以維持公司穩健之資訊安全。

除法令、臺灣證券交易所股份有限公司及財團法人中華民國證券櫃檯買賣
中心相關章則另有規定外，本指引條文，上市、上櫃公司可衡諸產業特性
、規模大小及資安風險適度採行之。