建立證券商資通安全檢查機制 英
Establishing Information Security Inspection Mechanisms for Securities Firms
1.風險評鑑與管理(CC-11000,年度查核) (1) 應鑑別公司適用資訊安全風險範圍內之所有資訊資產以及其擁有者 。 (2) 應確定公司各作業可接受之資訊安全風險等級。 (3) 公司應至少每年進行一次資訊安全風險評鑑,並留存相關紀錄,營 運相關的重大風險與控管措施議題(包括新產品、新興技術和資訊 系統的風險)應納入風險評估範圍,以確保公司政策、程序和控管 措施之有效性。