條文內容

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 113 年 11 月 12 日
主題分類: 市場監理 > 證券商管理
12
12. 新興科技應用(CC-21100,年度查核)
(1) 雲端服務:
      應事先評估使用雲端運算服務之風險,若雲端運算服務涉及關鍵性
      系統、資料或服務者,應訂定雲端運算服務相關運作安全規範。
      a.公司為雲端服務使用者時,應訂定雲端服務提供者之遴選機制、
        查核措施、備援機制、服務水準(含資訊安全防護)、復原時間
        及服務終止措施要求等,如有不符需求之處,需有其它補償性措
        施。
      b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,
        應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。
        如涉及敏感性資料之傳遞,應使用超文字傳輸安全協定(HTTPS
        )、安全檔案傳輸協定(SFTP)等加密之網路協定。
(2) 社群媒體:
      a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法
        ,應包含以下內容:
     (a)界定可於公務用社群媒體上分享之業務相關資料。
     (b)私人與公務用社群媒體之區別與應注意事項。
      b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩
        、社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
      c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含
        以下內容:
     (a)應事先了解所經營之社群媒體隱私政策,並定期(每年一次)
          檢視其隱私政策之異動及評估其風險。
     (b)於官方網站提供連結供使用者連至公司外之社群媒體時,應出
          現提示視窗告知使用者該連結非公司本身之網站。
     (c)對經營之社群媒體應標示證券商名稱、聯絡方式、許可證字號
          、客戶申訴聯繫方式及處理窗口,以區別為官方經營之社群媒
          體。
     (d)應建立帳號權限管理機制,對發布內容進行控管與監視,並針
          對不適當言論及異常事件,進行通報或處置。
(3) 行動裝置:
      a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含
        以下項目:
     (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
          應訂有相關規範。
     (b)人員異動時,行動裝置應進行重新配置或清除配置程序,以確
          保行動裝置環境安全性。
     (c)行動裝置應避免安裝非官方發佈之行動應用程式,或僅安裝由
          公司列出通過檢測可安裝之行動應用程式。
     (d)公務用行動裝置管理辦法內容應包含行動裝置儲存機密資料之
          限制與管理方式。
      b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包
        含以下項目:
     (a)公司應要求員工自攜行動裝置使用用途。
     (b)公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限
          制及雙方責任等。
     (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
          網路(Internet)之行為。
     (d)員工自攜行動裝置管理辦法內容應包含行動裝置儲存機密資料
          之限制與管理方式。
(4) 物聯網:
      應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
      a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開
        設備之初始密碼。
      b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如
        存在已知弱點無法更新時,應建立補償性管控機制。
      c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開
        的網際網路位置。
      d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全
        相關協議,明確約定相關責任(如:服務承諾、安全性更新年限
        、主動通報設備已知資安漏洞並提出相關應變處置方案),確保
        設備不存在已知安全性漏洞。
      e.公司採購物聯網設備時,宜優先採購取得資安標章之物聯網設備
        。
      f.公司應定期辦理物聯網設備使用及管理人員資安教育訓練。
      g.應建立物聯網設備存取權限控管措施。
(5) 遠距辦公:
      a.公司應對使用遠距辦公之設備安裝資訊安全相關軟體,控管應用
        程式存取權限,以降低資訊外流風險。
      b.公司應依業務範圍及控管權限設定居家辦公員工之系統功能權限
        。
      c.公司應依員工執行業務內容訂定連線時段限制及相關規範。
      d.公司應留存遠距辦公員工使用者登入系統、電腦設備操作及交易
        紀錄軌跡。
      e.公司應採多因子驗證機制(員工帳號密碼、動態密碼、一次性帳
        密)及建立安全的遠距網路通道,降低相關帳號密碼遭假冒或竊
        用之風險。
      f.公司應阻擋惡意或未經授權之連線,並採用最小權限原則設定遠
        距帳號存取規則。
      g.公司應定時更新 VPN  連線和其他遠端連結系統之安控措施。
      h.公司應對客戶隱私、資料及紀錄之安全性建立保護措施。
      i.公司應加強宣導資訊安全,教育遠距辦公員工應對網路風險保持
        警覺等資訊安全機制。
(6) 深度偽造(Deepfake)
      a.使用影像視訊方式進行身分驗證時應強化驗證並搭配其他驗證因
        子(如上傳身分證件、手機簡訊 OTP)。
      b.應定期辦理涵蓋深度偽造認知及防範議題之資訊安全教育訓練。