臺灣證券交易所 法規分享知識庫

條文內容

名  稱:

證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引 

修正日期: 民國 112 年 11 月 13 日
主題分類: 資訊作業
第 7 條
(資訊服務供應商合約安全控管)
一、組織與資訊服務供應商,雙方應協議並確定合約內容。合約應包含下
    列各項:
(一)合約基本要求
      1.合約期限。
      2.服務範圍。
      3.服務交付日期。
      4.服務水準要求(如為一年期以上提供性質者,如:軟硬體維護合
        約、系統委外管理等,資訊服務供應商應依合約要求,定期提交
        服務水準報告)
      5.服務變更規範。
      6.服務驗收之標準。
      7.資通安全事件處置程序(含當發生資安事故時,受託廠商應主動
        、即時通知委託人)。
      8.對資訊服務供應商之稽核權條款(含受委託機構就受託事項範圍
        ,同意主管機關及中央銀行得取得相關資料或報告,及進行金融
        檢查,或得命令其於限期內提供相關資料或報告)。
      9.合約轉讓或同意分包之規範。
     10.保密義務條款。
     11.罰則與損害賠償條款。
     12.爭議處理程序。
     13.違約處理條款。
     14.合約終止規範(含合約終止之重大事由,應包括主管機關通知依
        契約終止或解約之條款)。
     15.合約終止後之處理。
     16.保固。
     17.權利及責任。
(二)資訊服務供應商服務與產品要求
      1.組織應載明資訊委外服務或產品之智慧財產權。
      2.組織應載明是否允許資訊委外服務或產品分包予其他供應商,如
        允許,資訊服務供應商應提供分包計畫並經組織同意後始可進行
        。
      3.第一類組織應載明採購之服務與產品於規劃設計時納入資通安全
        機制(Security by design)之要求。資通安全機制設計應包含
        服務與產品之機敏資料保護、授權與認證、安全性更新等。
      4.第一類組織應載明採購之服務與產品於規劃設計時納入隱私保護
        機制(Privacy by design)之要求。
(三)服務範圍涉及資通系統開發、維護與監控,組織應載明要求資訊服
      務供應商應遵循「證券暨期貨市場各服務事業資通系統安全防護基
      準參考指引」辦理。
(四)服務範圍涉及使用雲端運算服務,組織應載明要求資訊服務供應商
      應遵循「證券期貨市場相關公會新興科技資訊安全管控指引」辦理
      。
(五)資訊服務供應商資安要求
      1.組織應載明資訊服務供應商應遵循之資安要求事項、個人資料保
        護法與其他相關法規遵循與保密義務。
      2.組織應載明資訊委外作業範圍內,組織與資訊服務供應商雙方之
        資安角色與責任。
      3.組織應載明資訊服務供應商應提供安全性檢測證明(如行動應用
        程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統
        或程式無惡意程式及後門程式,其放置於網際網路之程式應通過
        程式碼掃描或黑箱測試。
      4.組織應載明要求資訊服務供應商揭露第三方程式元件之來源與授
        權證明。
      5.組織應載明要求資訊服務供應商處理之組織委託服務各項範圍資
        訊,能於組織要求期限內提供。
      6.組織應載明服務變更或資通安全事件之資訊服務供應商處置程序
        。
      7.組織應載明要求資訊服務供應商於知悉存有任何潛在問題和危害
        (如:於其他客戶端發生重大系統異常),且其可能影響受託業
        務時,立即通知組織並採取相關補救措施。
      8.第一類組織應載明資訊委外作業範圍內,組織之資訊應與資訊服
        務供應商及其處理其他組織之資料有明確區隔,並應予以加密保
        護。
      9.第一類組織應載明資訊服務供應商應取得之資安及品質證照。
二、組織應於簽約程序中確認資訊服務供應商保密切結事宜之完成度。
資料來源:臺灣證券交易所 法規分享知識庫 twse-regulation.twse.com.tw