條文內容

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 113 年 05 月 15 日
主題分類: 市場監理 > 證券商管理
8
8.存取控制(CC-18000,每月查核)
(1) 公司應訂定資訊系統存取控制相關規定,並以書面、電子或其他方
      式告知員工遵守。
(2) 權限管理:
      a.對於程式的存取使用,應有詳細的書面管制說明。
      b.人員異動時應及時更新其使用權限。
      c.對於程式及檔案之存取使用,應按權限區分。
      d.委外人員電腦通行使用權利應經適當控管;委外期間結束後,應
        立即收回該項權利。
      e.對於進駐於公司內之委外作業人員應納入公司安全管理,如欲使
        用內部網路資源時,應有安全管制措施(如透過轉接方式或另建
        網路者,宜與內部網路作實體隔離)。
      f.應定期(至少每半年一次)審查資通系統帳號及權限之適切性,
        並視審查結果停用資通系統閒置帳號。(為客戶帳號除外)。
      g.公司應建立資通系統帳號管理機制,包含帳號之申請、建立、修
        改、啟用、停用及刪除之程序。
      h.資通系統帳號應定義人員角色及責任,授權應採最小權限原則,
        僅允許使用者(或代表使用者行為之程序)依公司部門權責及業
        務功能,完成作業所需之授權存取。
(3) 密碼管理:
      a.使用者第一次使用系統時,應更新初始密碼後方可繼續作業。
      b.密碼應使用公開安全且未遭破解之演算法(例如:雜湊演算法等
        不可逆運算式)產生亂碼並加密儲存。
      c.對於使用者及客戶忘記密碼之處理,公司應有嚴格的身分確認程
        序(如聯繫客服驗證基本資料、OTP 、臨櫃辦理等方式),方可
        再次使用系統。
      d.初始密碼應隨機產生,並與使用者及客戶身分無關。(本項不適
        用採自行訂定交付電子式交易密碼條之方式)
      e.密碼輸入錯誤次數達五次者,應予中斷連線及鎖定該帳號至少十
        五分鐘不允許該帳號繼續嘗試登入,並留存紀錄。公司於接獲客
        戶聯繫申請解除鎖定時,應確實辨認身分(如聯繫客服驗證基本
        資料、OTP 、臨櫃辦理等方式),並留存相關紀錄後,始得辦理
        之。
      f.除語音按鍵下單外,公司應使用優質密碼設定(長度 6  個字元
        (含)以上,且具有文數字或符號)並進行管控,及加強宣導客
        戶定期更新密碼以不超過三個月為宜,如客戶密碼超過一年未變
        更或變更密碼與前一代相同,公司應做妥善處理。除客戶外,公
        司其他使用者之密碼應至少每三個月變更一次。(111 年 11 月
        30  日生效)
      g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作
        業系統及資料庫等軟硬體設備應設定使用密碼,且避免使用預設
        (如 administrator、root、sa)或簡易(如 1234 )之帳號密
        碼及未設管理者存取權限。
      h.客戶申請採電子式交易型態者,公司得以一般或自訂電子方式交
        付電子密碼條,應依下列說明辦理:
     (a)採一般電子方式交付電子密碼條,應傳送 OTP(One Time
          Password)密碼至客戶開戶留存之手機號碼,及將加密後之電
          子密碼條以電子方式傳送至客戶留存之電子信箱,此流程相關
          系統紀錄應留存。
     (b)採自訂交付電子密碼條方式,應訂定交付電子式交易密碼之作
          業程序及安全控管機制,並辨認電子式交易密碼交付對象為本
          人及留存相關紀錄。
(4) 電腦稽核紀錄管理:
      a.對重要系統(如主機連線系統、網路下單系統等)之稽核日誌記
        錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料
        或其網址等事項。
      b.對上開重要系統之電腦稽核紀錄,應有專人定期檢視。
      c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序,至
        少留存三年。
      d.核心系統電腦稽核紀錄(日誌)應建立監控機制,處理失效時,
        應採取適當之行動。
(5) 資料輸入管理:
      a.安全性或重要性較高之資料,應由權責主管人員核可後始得執行
        輸入或修改。
      b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
      c.對隱密性高之重要資料(例如:密碼檔)應以亂碼後之資料形式
        存放。
      d.公司如屬公開發行公司者,應於內部控制制度納入「公開發行公
        司網路申報公開資訊應注意事項」,並據以辦理相關申報事宜。
      e.使用電子憑證IC卡或其他類型憑證晶片卡或其他憑證載具等代
        表公司簽署之作業(例如:「公開資訊觀測站」、「證券商申報
        單一窗口」、「公文電子交換系統」等),該等憑證載具應由專
        人負責保管並設簿登記,且應訂定相關帳號、密碼保管及使用程
        序,並據以執行。
      f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者
        (例如:「電子對帳單系統」),應留存電腦稽核紀錄(log )
        ,其保存年限比照各作業資料應保存年限。
      g.應依「個人資料保護法」,妥善處理客戶及公司內部人個人資料
        。
      h.公司應依「個人資料保護法」妥善處理公司保有之個人資料,並
        定期或不定期稽核依「個人資料保護法」定義之個人資料管理情
        形。
      i.前揭個人資料,其更新、更正或註銷均應報經備查,並將更新、
        更正、註銷內容、作業人員及時間詳實記錄。
      j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用,
        應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
      k.應留存個人資料使用稽核軌跡(如登入帳號、系統功能、時間、
        系統名稱、查詢指令或結果)或辨識機制,以利個人資料外洩時
        得以追蹤個人資料使用狀況。
(6) 資料輸出管理:
      a.報表是否按時產生並分送各使用單位。
      b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。
      c.投資人於公司網站查詢個人資料應具有加密傳輸機制(例如:
        SSL )。
      d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸,公
        司對姓名、帳號及信用帳號等機敏資訊,應依「機敏資訊類型及
        隱匿之具體作法原則」辦理。