10. 營運持續管理(CC-20000,半年查核)
(1) 應明確訂定(例如:電腦設備、通訊設備、電力系統、資料庫、電
腦作業系統等備援及回復計畫)故障復原程序,並落實執行且留存
紀錄。
(2) 故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺
失謀求改進,並留存紀錄。
(3) 證券經紀商之交易主機應有備援措施,並依所屬資安分級建置異地
備援機房。
(4) 公司應擬訂營運持續計畫(含起動條件、參與人員、緊急程序、備
援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規
劃及合約適當性等)及其必要之維護,並擬訂關鍵性業務及其衝擊
影響分析,評估核心系統中斷造成之衝擊程度,並依核心系統之復
原時間目標(RTO )、資料復原點目標(RPO ),作為恢復核心系
統、備份備援規劃及執行復原作業之依據,再依其所屬資安分級定
期辦理業務持續運作演練。公司應視演練範圍是否涉及第三方,邀
請相關廠商參與演練。
(5) 公司應訂定資訊安全訊息通報機制(例如:正式之通報程序及資安
事件通報聯絡人),針對與資訊系統有關之資訊安全或服務異常事
件應依「證券期貨市場資通安全事件通報應變作業注意事項」及「
證券商通報重大資安事件之範圍申報程序及其他應遵循事項」辦理
,並採取適當矯正程序,留存紀錄。
(6) 公司發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故
者,應立即函報證交所(或櫃檯買賣中心、券商公會)轉陳主管機
關。
(7) 公司應明確訂定分散式阻斷服務攻擊(DDoS)防禦與應變作業程序
。
(8) 公司應辦理下列資安防護事宜:
1.指定人員及部門統籌並協調聯繫各有關部門。
2.定期評估核心營運系統及設備,對評估結果採取適當措施,並提
報董事會,以確保營運持續及作業韌性之能力。
3.於永續報告書、年報、財務報告或公司網站,揭露年度內公司持
續核心營運系統及設備營運所需之資源及落實於年度預算或教育
訓練計畫等項目。
(9) 公司應辨識風險情境,就各項風險情境當災害發生造成資訊作業異
常或中斷時,擬定各系統之應變、減災或復原措施相關作業流程。
(10)核心系統原服務中斷時,應於可容忍時間內,由備援設備或其他方
式取代並提供服務。
(11)證券商資訊委外作業如涉及核心資通系統與資通服務,資訊服務供
應商應定期提供資通系統與資通服務之回復計畫,回復計畫可以災
難復原計畫、備援演練、營運持續計畫等形式呈現。
|