8.存取控制（CC-18000，每月查核）
（1） 公司應訂定資訊系統存取控制相關規定，並以書面、電子或其他方
      式告知員工遵守。
（2） 權限管理：
      a.對於程式的存取使用，應有詳細的書面管制說明。
      b.人員異動時應及時更新其使用權限。
      c.對於程式及檔案之存取使用，應按權限區分。
      d.委外人員電腦通行使用權利應經適當控管；委外期間結束後，應
        立即收回該項權利。
      e.對於進駐於公司內之委外作業人員應納入公司安全管理，如欲使
        用內部網路資源時，應有安全管制措施（如透過轉接方式或另建
        網路者，宜與內部網路作實體隔離）。
      f.應定期（至少每半年一次）審查資通系統帳號及權限之適切性，
        並視審查結果停用資通系統閒置帳號。（為客戶帳號除外）。
      g.公司應建立資通系統帳號管理機制，包含帳號之申請、建立、修
        改、啟用、停用及刪除之程序。
      h.資通系統帳號應定義人員角色及責任，授權應採最小權限原則，
        僅允許使用者（或代表使用者行為之程序）依公司部門權責及業
        務功能，完成作業所需之授權存取。
（3） 密碼管理：
      a.使用者第一次使用系統時，應更新初始密碼後方可繼續作業。
      b.密碼應使用公開安全且未遭破解之演算法（例如：雜湊演算法等
        不可逆運算式）產生亂碼並加密儲存。
      c.對於使用者及客戶忘記密碼之處理，公司應有嚴格的身分確認程
        序（如聯繫客服驗證基本資料、OTP 、臨櫃辦理等方式），方可
        再次使用系統。
      d.初始密碼應隨機產生，並與使用者及客戶身分無關。（本項不適
        用採自行訂定交付電子式交易密碼條之方式）
      e.密碼輸入錯誤次數達五次者，應予中斷連線及鎖定該帳號至少十
        五分鐘不允許該帳號繼續嘗試登入，並留存紀錄。公司於接獲客
        戶聯繫申請解除鎖定時，應確實辨認身分（如聯繫客服驗證基本
        資料、OTP 、臨櫃辦理等方式），並留存相關紀錄後，始得辦理
        之。
      f.除語音按鍵下單外，公司應使用優質密碼設定（長度 6  個字元
        （含）以上，且具有文數字或符號）並進行管控，及加強宣導客
        戶定期更新密碼以不超過三個月為宜，如客戶密碼超過一年未變
        更或變更密碼與前一代相同，公司應做妥善處理。除客戶外，公
        司其他使用者之密碼應至少每三個月變更一次。（111 年 11 月
        30  日生效）
      g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作
        業系統及資料庫等軟硬體設備應設定使用密碼，且避免使用預設
        （如 administrator、root、sa）或簡易（如 1234 ）之帳號密
        碼及未設管理者存取權限。
      h.客戶申請採電子式交易型態者，公司得以一般或自訂電子方式交
        付電子密碼條，應依下列說明辦理：
     （a）採一般電子方式交付電子密碼條，應傳送 OTP（One Time
          Password）密碼至客戶開戶留存之手機號碼，及將加密後之電
          子密碼條以電子方式傳送至客戶留存之電子信箱，此流程相關
          系統紀錄應留存。
     （b）採自訂交付電子密碼條方式，應訂定交付電子式交易密碼之作
          業程序及安全控管機制，並辨認電子式交易密碼交付對象為本
          人及留存相關紀錄。
（4） 電腦稽核紀錄管理：
      a.對重要系統（如主機連線系統、網路下單系統等）之稽核日誌記
        錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料
        或其網址等事項。
      b.對上開重要系統之電腦稽核紀錄，應有專人定期檢視。
      c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序，至
        少留存三年。
      d.核心系統電腦稽核紀錄（日誌）應建立監控機制，處理失效時，
        應採取適當之行動。
（5） 資料輸入管理：
      a.安全性或重要性較高之資料，應由權責主管人員核可後始得執行
        輸入或修改。
      b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
      c.對隱密性高之重要資料（例如：密碼檔）應以亂碼後之資料形式
        存放。
      d.公司如屬公開發行公司者，應於內部控制制度納入「公開發行公
        司網路申報公開資訊應注意事項」，並據以辦理相關申報事宜。
      e.使用電子憑證ＩＣ卡或其他類型憑證晶片卡或其他憑證載具等代
        表公司簽署之作業（例如：「公開資訊觀測站」、「證券商申報
        單一窗口」、「公文電子交換系統」等），該等憑證載具應由專
        人負責保管並設簿登記，且應訂定相關帳號、密碼保管及使用程
        序，並據以執行。
      f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者
        （例如：「電子對帳單系統」），應留存電腦稽核紀錄（log ）
        ，其保存年限比照各作業資料應保存年限。
      g.應依「個人資料保護法」，妥善處理客戶及公司內部人個人資料
        。
      h.公司應依「個人資料保護法」妥善處理公司保有之個人資料，並
        定期或不定期稽核依「個人資料保護法」定義之個人資料管理情
        形。
      i.前揭個人資料，其更新、更正或註銷均應報經備查，並將更新、
        更正、註銷內容、作業人員及時間詳實記錄。
      j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用，
        應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
      k.應留存個人資料使用稽核軌跡（如登入帳號、系統功能、時間、
        系統名稱、查詢指令或結果）或辨識機制，以利個人資料外洩時
        得以追蹤個人資料使用狀況。
（6） 資料輸出管理：
      a.報表是否按時產生並分送各使用單位。
      b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。
      c.投資人於公司網站查詢個人資料應具有加密傳輸機制（例如：
        SSL ）。
      d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸，公
        司對姓名、帳號及信用帳號等機敏資訊，應依「機敏資訊類型及
        隱匿之具體作法原則」辦理。