臺灣證券交易所 法規分享知識庫

條文內容

名  稱:

證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引 

修正日期: 民國 112 年 11 月 13 日
主題分類: 資訊作業
第 10 條
(安全管理)
組織於專案進行中應注意下列事項:
一、資訊服務供應商集中度過高者,應確認其執行資安事件識別、回應和
    緩解風險之機制。
二、外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理者
    (以下稱受委託機構),應依以下辦理:
(一)組織應充分瞭解及掌握受委託機構對客戶資訊之蒐集、處理、利用
      、國際傳輸及控管情形。
(二)組織提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要
      資訊。
(三)組織應要求受委託機構確實遵守以下事項:
      1.組織之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍
        內使用及處理。
      2.組織之客戶資訊應與受委託機構及其處理其他機構之資料有明確
        區隔。
      3.受委託機構處理之組織客戶資訊應能及時提供予組織。
(四)如有國際傳輸機敏資料,組織應建立加密傳輸機制且應就受委託機
      構對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合
      我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反
      主管機關對國際傳輸之限制,並留存完整稽核紀錄。
三、組織應管理並定期(至少每半年一次)檢視資訊服務供應商之駐點作
    業、實體與邏輯存取權限,包含作業地點的配置、網路設備及主機連
    線、電腦與電話的使用、電腦機房的進出、門禁臨時卡的申請等。
四、組織應將進駐於組織內之資訊服務供應商人員納入組織安全管理,如
    欲使用內部網路資源時,應有安全管制措施(如透過轉接方式或另建
    網路者,應與內部網路作實體隔離)。
五、組織應要求資訊服務供應商提供駐點人員清單。
資料來源:臺灣證券交易所 法規分享知識庫 twse-regulation.twse.com.tw