條文內容

名  稱:

建立證券商資通安全檢查機制 

Establishing Information Security Inspection Mechanisms for Securities Firms

修正日期: 民國 109 年 02 月 10 日
主題分類: 市場監理 > 證券商管理
9.系統開發及維護(CC-19000,半年查核)
(1) 應用系統在規劃分析時應將資訊安全需求納入分析及規格。
(2) 輸入資料是否有作檢查,以確認其正確性。
(3) 應使用具有合法版權之軟體。
(4) 委外作業應簽訂契約,委外作業契約內容應包含資訊安全協定與對
      委外廠商資安稽核權等條款。
(5) 已完成之程式因故需維護時,應依據經過正式核准之程序辦理。
(6) 各項文件與手冊應經適當維護與控制。
(7) 應用系統之維護應指派專人負責。
(8) 應用系統異動管理:
      a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開
        存放。
      b.程式經修改其相關文件應及時更新。
(9) 公司應定期(至少每半年乙次)辦理資訊系統弱點掃描作業,針對
      所辨識出之潛在系統弱點,宜評估其相關風險或安裝修補程式,並
      留存紀錄(適用網際網路下單證券商,不適用語音下單及傳統下單
      之證券商)。
(10)程式原始碼安全規範(適用網際網路下單證券商,不適用語音下單
      及傳統下單之證券商):
      a.程式應避免含有惡意程式等資訊安全漏洞。
      b.程式應使用適當且有效之完整性驗證機制,以確保其完整性。
      c.程式於引用之函式庫有更新時,應備妥對應之更新版本。
      d.程式應針對使用者輸入之字串,進行安全檢查並提供相關注入攻
        擊防護機制。
      e.無法取得程式原始碼時,應要求程式提供者符合上開前四項(a
        、b、c、d)安全事項。
(11)行動應用程式安全管理(適用網際網路下單證券商,不適用語音下
      單及傳統下單之證券商):
      a.行動應用程式發布:
     (a)行動應用程式應於可信任來源之行動應用程式商店或網站發布
          ,且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣
          告之權限用途。
     (b)應於官網上提供行動應用程式之名稱、版本與下載位置。
     (c)應建立偽冒行動應用程式偵測機制,以維護客戶權益。
     (d)應於發布前檢視行動應用程式所需權限應與提供服務相當,首
          次發布或權限變動應經資安、法遵單位同意,並留有紀錄,以
          利綜合評估是否符合個人資料保護法之告知義務」。
      b.敏感性資料保護:
     (a)行動應用程式傳送及儲存敏感性資料時應透過憑證、雜湊(
          Hash)或加密等機制以確保資料傳送及儲存安全,並於使用時
          應進行適當去識別化,相關存取日誌應予以保護以防止未經授
          權存取。
     (b)啟動行動應用程式時,如偵測行動裝置疑似遭破解(如root、
          jailbreak、USBdebugging 等),應提示使用者注意風險。
      c.行動應用程式檢測:
     (a)涉及投資人使用之行動應用程式於初次上架前及每年應委由經
          財團法人全國認證基金會(TAF) 認證合格之第三方檢測實驗
          室進行並完成通過資安檢測,檢測範圍以經濟部工業局委託執
          行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢
          測基準項目進行檢測。如通過實驗室檢測後一年內有更新上架
          之需要,應於每次上架前就重大更新項目進行委外或自行檢測
          ;所謂重大更新項目為與「下單交易」、「帳務查詢」、「身
          份辨識」及「客戶權益有重大相關項目」有關之功能異動。檢
          測範圍以 OWASP MOBILE TOP 10  之標準為依據,並留存相關
          檢測紀錄。
     (b)公司對第三方檢測實驗室所提交之檢測報告,應建立覆核機制
          ,以確保檢測項目及內容一致,並留存覆核紀錄。

相關函釋: