法規名稱:證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引(113.11.07)
主題分類:
資訊作業

第 一 章 總則

第 1 條
(目的)
為協助證券商、期貨商及投信投顧業者安全有效的管理資訊服務供應鏈風
險,依據金融監督管理委員會(以下稱金管會)「金融資安行動方案」強
化金融業資通系統供應商及跨機構資訊服務之風險評估及稽核等管理機制
之議題,特針對資通系統之資訊服務供應商遴選、資訊服務供應商管理以
及資訊服務供應商終止與解除等議題,擬定供應鏈風險管理參考指引。
第 2 條
(適用範圍與對象)
本指引適用對象包含證券商、期貨商、證券投資信託事業及證券投資顧問
事業。適用對象分為以下兩類說明:
一、第一類:
    「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十六
    條之二條文指派資訊安全長之組織。
二、第二類:
    非屬第一類範圍之組織。
三、外資集團在台子公司或分公司,其資安管理政策由外國母公司或總公
    司控制與建置者,如其母公司或總公司已建置或設立相關控制措施,
    且有較佳之規範,則從其規範;若無,則應遵循本國法令法規規範。
四、金管會周邊相關單位提供之資訊服務與受相關主管機關監督之金融資
    訊交換基礎設施(如 SWIFT)非屬適用範圍。
五、以下參考指引如無特別說明,皆為第一類及第二類組織應遵循之事項
    。
第 3 條
(名詞定義)
一、資訊委外:
    係指組織將部分或全部之資通服務由組織外之軟硬體供應與維運商、
    跨機構合作夥伴提供。
二、資訊資產:
    係指與資訊處理相關之資產,包括硬體、軟體、資料、文件及人員等
    (如:伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊)
    。
三、資通系統:
    係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他
    處理、使用或分享之系統。
四、核心業務:
    係指直接提供客戶交易或支持交易業務持續運作之必要業務。
五、核心系統:
    係指直接提供客戶交易或支持交易業務持續運作之必要系統,其餘皆
    為非核心系統。
六、資通服務:
    係指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使
    用或分享相關之服務。
七、雲端服務:
    透過網路技術達成共享運算資源之前提下,提供使用者具備彈性、可
    擴展及可自助之服務,如下列雲端服務模式:
(一)基礎架構即服務(Infrastructure as a Service,簡稱 IaaS)
      :雲端服務提供者通過網路向雲端服務使用者提供資訊科技基礎設
      施。
(二)平台即服務(Platform as a Service,簡稱 PaaS):雲端服務提
      供者向雲端服務使用者提供平台工具。
(三)軟體即服務(Software as a Service,簡稱 SaaS):雲端服務提
      供者利用網際網路向雲端服務使用者提供應用程式服務。
八、營業秘密:係指方法、技術、製程、配方、程式、設計或其他可用於
    生產、銷售或經營之資訊,而符合下列要件者:
(一)非一般涉及該類資訊之人所知者。
(二)因其秘密性而具有實際或潛在之經濟價值者。
(三)所有人已採取合理之保密措施者。
九、存取:
    係指存取資訊資產的各種方式,包含取得、使用、保管、查詢、修改
    、調整、銷毀等。
十、專案負責人:
    係指專案經理或該項業務權責部門主管或其指派之人員。
十一、資通安全機制(Security by design):
      係指服務與產品規劃設計時即融入資通安全的概念,於開發流程中
      的設計階段,列出安全需求、辨識安全風險及套用控制措施,以作
      為後續安全功能驗證的基礎,落實安全的軟體生命週期。
十二、隱私保護機制(Privacy by design) :
      係指服務與產品規劃設計時即融入隱私保護機制的概念,於開發流
      程中的設計階段,列出隱私保護需求、辨識相關風險及套用控制措
      施,以作為後續安全功能驗證的基礎。
十三、資通安全事件:
      係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策
      或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安
      全政策之威脅。

第 二 章 資訊服務供應商遴選

第 4 條
(資訊服務供應商評選)
一、組織應針對資訊委外業務項目之資通安全風險與委外作業可行性,及
    資訊服務供應商作業能力執行風險評估,評估結果應提報適當管理層
    級並取得同意,內容應包含:
(一)分析資訊委外業務項目受影響之範圍(如:可能受影響之資訊資產
      、流程及作業環境)。
(二)將資訊委外業務項目之資通安全要求列入成本估算(如:安全性檢
      測行動應用程式資安檢測、源碼檢測、弱點掃描等)。
(三)資訊服務供應商對資訊委外業務項目之資通安全管控機制(如:資
      料管理、權限控管、設備管理等)。
(四)資訊服務供應商之服務集中度(包括單一資訊服務供應商對組織或
      單一資訊服務供應商於市場整體之集中度)。
(五)資訊服務供應商與其提供產品或服務位置。
(六)資訊委外業務項目屬核心系統或跨機構資訊服務,應分析資訊服務
      供應商配合組織營運持續與資通安全事件處理之目標與要求。
二、組織應依前項風險評估結果採取適當風險管控措施,確保業務項目委
    外處理之品質,相關事項請參閱附件:「資訊委外之資安應注意事項
    檢查表」。
三、組織資訊委外業務項目屬核心系統,組織與資訊服務供應商應有資訊
    安全人員參與,以協助管理資訊安全風險。
四、組織評選資訊服務供應商之準則應包含下列各項,並留存相關文件紀
    錄備查:
(一)資訊服務供應商之財務能力、管理能力、專業能力、維運能力及經
      驗實績。
(二)雲端服務供應商應具備完善之雲端資通安全管理措施(提供管理措
      施與執行情形說明)或通過第三方驗證(例如:CSA STAR、ISO270
      17、ISO27018)。
(三)第一類組織之資訊服務供應商應具備完善之資通安全管理措施(提
      供管理措施與執行情形說明)或通過第三方驗證(例如:ISO27001
      )。
第 5 條
(保密協議書準備與簽訂)
當選商過程中存在資訊資產交換,組織應備妥保密協議書,並於交換與採
購產品或服務相關之機敏性資訊前簽署。
第 6 條
(建議書徵求文件)
第一類組織對其所規定之大型採購案應要求資訊服務供應商提供建議書,
並確認建議書內容是否符合採購需求。建議書中應包含下列項目:
一、組織採購需求產品/服務。
二、資訊服務供應商應符合之組織資安要求與服務水準要求(例如:組織
    資安政策)。
三、資訊服務供應商之專案管理能力。

第 三 章 資訊服務供應商管理

第 7 條
(資訊服務供應商合約安全控管)
一、組織與資訊服務供應商,雙方應協議並確定合約內容。合約應包含下
    列各項:
(一)合約基本要求
      1.合約期限。
      2.服務範圍。
      3.服務交付日期。
      4.服務水準要求(如為一年期以上提供性質者,如:軟硬體維護合
        約、系統委外管理等,資訊服務供應商應依合約要求,定期提交
        服務水準報告)
      5.服務變更規範。
      6.服務驗收之標準。
      7.資通安全事件處置程序(含當發生資安事故時,受託廠商應主動
        、即時或於時限要求內通知委託人)。
      8.對資訊服務供應商之稽核權條款(含受委託機構就受託事項範圍
        ,同意主管機關及中央銀行得取得相關資料或報告,及進行金融
        檢查,或得命令其於限期內提供相關資料或報告)。
      9.合約轉讓或同意分包之規範。
     10.保密義務條款。
     11.罰則與損害賠償條款。
     12.爭議處理程序。
     13.違約處理條款。
     14.合約終止規範(含合約終止之重大事由,應包括主管機關通知依
        契約終止或解約之條款)。
     15.合約終止後之處理。
     16.保固。
     17.權利及責任。
(二)資訊服務供應商服務與產品要求
      1.組織應載明資訊委外服務或產品之智慧財產權。
      2.組織應載明是否允許資訊委外服務或產品分包予其他供應商,如
        允許,資訊服務供應商應提供分包計畫並經組織同意後始可進行
        。
      3.組織應載明資訊服務供應商配合進行壓力測試及調整服務負載量
        之義務,並於市場交易量、業務變化及客戶屬性等發生顯著異動
        時發動辦理,俾憑評估系統資源調配或擴增。
      4.第一類組織應載明採購之服務與產品於規劃設計時納入資通安全
        機制(Security by design)之要求。資通安全機制設計應包含
        服務與產品之機敏資料保護、授權與認證、安全性更新等。
      5.第一類組織應載明採購之服務與產品於規劃設計時納入隱私保護
        機制(Privacy by design) 之要求。
(三)服務範圍涉及資通系統開發、維護與監控,組織應載明要求資訊服
      務供應商應遵循「證券暨期貨市場各服務事業資通系統安全防護基
      準參考指引」辦理。
(四)服務範圍涉及使用雲端服務,組織應載明要求資訊服務供應商應遵
      循「證券期貨市場相關公會新興科技資訊安全管控指引」辦理。
(五)資訊服務供應商資安要求
      1.組織應載明資訊服務供應商應遵循之資安要求事項、個人資料保
        護法與其他相關法規遵循與保密義務。
      2.組織應載明資訊委外作業範圍內,組織與資訊服務供應商雙方之
        資安角色與責任。
      3.組織應載明資訊服務供應商應提供安全性檢測證明(如行動應用
        程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統
        或程式無惡意程式及後門程式,其放置於網際網路之程式應通過
        程式碼掃描或黑箱測試。
      4.組織應載明要求資訊服務供應商揭露第三方程式元件之來源與授
        權證明。
      5.組織應載明要求資訊服務供應商處理之組織委託服務各項範圍資
        訊,能於組織要求期限內提供。
      6.組織應載明服務變更或資通安全事件之資訊服務供應商處置程序
        。
      7.組織應載明要求資訊服務供應商於知悉存有任何潛在問題和危害
        (如:於其他客戶端發生重大系統異常),且其可能影響受託業
        務時,立即通知組織並採取相關補救措施。
      8.組織應載明資訊服務供應商在應用程式上線前應完整測試。交易
        主機應設立備援機制,並禁止於開盤前及開盤期間進行系統更新
        及下載,避免客戶端發生重大系統異常。
      9.第一類組織應載明資訊委外作業範圍內,組織之資訊應與資訊服
        務供應商及其處理其他組織之資料有明確區隔,並應予以加密保
        護。
     10.第一類組織應載明資訊服務供應商應取得之資安及品質證照。
二、組織應於簽約程序中確認資訊服務供應商保密切結事宜之完成度。
第 8 條
(資訊服務供應商存取管理)
一、組織之專案負責人應向資訊服務供應商告知組織之資通安全相關規範
    ,並經組織權限申請程序申請,始可賦予資訊服務供應商存取組織之
    資訊資產權限,以保護組織資訊資產。
二、組織應對資訊服務供應商人員電腦通行使用權利進行適當控管;組織
    應於委外期間結束後立即收回該項權利。
第 9 條
(資訊服務供應商存取風險之辨識)
資訊服務供應商需存取組織資訊資產、營業秘密時,專案負責人應考慮以
下各項因素評估風險:
一、應符合法規或主管機關之規定,並依據委託事項所需以最小權限及資
    訊最小揭露原則進行安全管控設計。
二、組織資訊資產與營業秘密之存取控管,應考慮取得、使用、保管、查
    詢、修改、調整、銷毀之管控措施。
三、資訊服務供應商之保護責任:
(一)組織應要求資訊服務供應商對於資訊之存取控制措施不得低於與組
      織協議之規定,及「營業秘密法」第七條第一項及第二項。
(二)組織應要求資訊服務供應商保證該資訊資產、營業秘密之使用,僅
      限於原申請範圍。
第 10 條
(安全管理)
組織於專案進行中應注意下列事項:
一、資訊服務供應商集中度過高者,應確認其執行資安事件識別、回應和
    緩解風險之機制。
二、外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理者
    (以下稱受委託機構),應依以下辦理:
(一)組織應充分瞭解及掌握受委託機構對客戶資訊之蒐集、處理、利用
      、國際傳輸及控管情形。
(二)組織提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要
      資訊。
(三)組織應要求受委託機構確實遵守以下事項:
      1.組織之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍
        內使用及處理。
      2.組織之客戶資訊應與受委託機構及其處理其他機構之資料有明確
        區隔。
      3.受委託機構處理之組織客戶資訊應能及時提供予組織。
(四)如有國際傳輸機敏資料,組織應建立加密傳輸機制且應就受委託機
      構對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合
      我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反
      主管機關對國際傳輸之限制,並留存完整稽核紀錄。
三、組織應管理並定期(至少每半年一次)檢視資訊服務供應商之駐點作
    業、實體與邏輯存取權限,包含作業地點的配置、網路設備及主機連
    線、電腦與電話的使用、電腦機房的進出、門禁臨時卡的申請等。
四、組織應將進駐於組織內之資訊服務供應商人員納入組織安全管理,如
    欲使用內部網路資源時,應有安全管制措施(如透過轉接方式或另建
    網路者,應與內部網路作實體隔離)。
五、組織應要求資訊服務供應商提供駐點人員清單。
第 11 條
(服務變更管理)
資訊服務供應商服務內容變更若對資通安全有所衝擊時,組織專案負責人
應重新對資訊服務供應商變更之服務內容進行風險評估。(例如:機密性
、完整性、可用性之衝擊分析、ISO27001  風險評鑑)
第 12 條
(資訊服務供應商服務審核與稽核)
一、組織資訊委外作業如為一年期以上提供性質者,如:軟硬體維護合約
    、系統委外管理等,資訊服務供應商應依合約要求,定期提交服務水
    準報告,交由組織審核備查。
二、組織應建立對資訊服務供應商之資訊委外服務資通安全監督之程序;
    倘資訊委外作業屬核心系統,應明訂資通安全稽核之方式、頻率,與
    稽核結果之改善追蹤機制。
三、組織於資訊委外期間應定期或於知悉資訊服務供應商發生可能影響受
    託業務之資通安全事件時,組織或組織授權之第三方以稽核或其他適
    當方式確認受託業務之執行情形。

第 四 章 資訊服務供應商終止與解除

第 13 條
(專案終止、解除或結束後)
一、於專案終止、解除或結束後,組織應立即停止資訊服務供應商所涉及
    之實體與邏輯存取權限,並回收或請資訊服務供應商銷毀屬於組織之
    資訊資產、營業秘密,必要時可要求資訊服務供應商出具銷毀證明。
二、組織應定義資訊委外關係終止執行之服務持續性要求事項,其應包含
    下列各項:
(一)若決定將產品或服務由原資訊服務供應商移轉回組織或至其他資訊
      服務供應商時,原資訊服務供應商與組織雙方應遵循之資安要求事
      項。
(二)明列使用於資訊委外專案中所涉及組織擁有之資訊資產,以利於專
      案終止時得以完整歸還於組織、確保銷毀或轉交予其他資訊服務供
      應商。
(三)承上,明列歸還、轉交或銷毀之程序,必要時要求其落實之證明文
      件。
(四)當資訊委外關係終止後,保密承諾之持續性。
(五)終止程序執行之時限。

第 五 章 參考文獻

第 14 條
一、行政院資通安全管理法
二、行政院營業秘密法
三、國家資通安全研究院政府資訊作業委外資安參考指引
四、金融監督管理委員會證券期貨局證券暨期貨市場各服務事業建立內部
    控制制度處理準則
五、金融監督管理委員會銀行局金融機構作業委託他人處理內部作業制度
    及程序辦法
六、臺灣證券交易所股份有限公司證券商內部控制制度標準規範
七、臺灣期貨交易所股份有限公司期貨商內部控制制度標準規範
八、臺灣證券交易所股份有限公司建立證券商資通安全檢查機制
九、臺灣期貨交易所股份有限公司建立期貨商資通安全檢查機制
十、中華民國證券商業同業公會中華民國證券商業同業公會新興科技資訊
    安全自律規範
十一、中華民國證券商業同業公會證券商資訊委外契約注意事項參考守則
十二、金融監督管理委員會證券期貨局 111  年 6  月 29 日證期(資)
      字第 1110347640 號函,金融機構資訊委外之資安應注意事項
^