法規名稱:證券商辦理資通系統資通安全評估作業程序(114.07.03)
壹、前言
為確保證券商提供資通系統具有一致性基本系統安全防護能力,擬透
過各項資通安全評估作業,發現資安威脅與弱點,藉以實施技術面與
管理面相關控制措施,以改善並提升網路與資通系統安全防護能力,
訂定本作業程序。
貳、評估範圍
一、證券商應依「建立證券商資通安全檢查機制- 分級防護應辦事項附表
」就整體資通系統(自建與委外)依據本作業程序建構一套評估計畫
,基於持續營運及保障客戶權益,依資訊資產之重要性及影響程度進
行分類,定期並分級辦理資通安全評估作業,並提交「資通系統資通
安全評估報告」,辦理矯正預防措施,並定期追蹤檢討。外國證券商
如有較佳之資安健診作業則從其規範;若無,則應遵守本國的規範。
兼營證券商應依其本業規定辦理,若無,則應依本規範辦理。
二、評估計畫及結果應報董事會或經其授權之經理部門核定,惟外國證券
商在台分公司得由分公司負責人為之。評估計畫至少每三年重新審視
一次。
參、資通系統分類及評估週期
一、資通系統依其重要性分為三類:
二、單一系統為數眾多且財產權歸屬於公司之設備得以抽測方式辦理,抽
測比例每次至少應占該系統全部設備之 10% 或 100 台以上。
三、單一系統發生重大資通安全事件,經確認後屬個資外洩或駭客攻擊,
應於三個月內重新完成資通安全評估作業。
肆、資通安全評估作業
一、資訊架構檢視
1.檢視網路架構之配置、資訊設備安全管理規則之妥適性等,以評估
可能之風險,採取必要因應措施。
2.檢視單點故障最大衝擊與風險承擔能力。
3.檢視對於持續營運所採取相關措施之妥適性。
4.適時參考金融資安資訊分享與分析中心(F-ISAC)所發布之資安威
脅情資及資安防護建議,並採取相關措施。
5.檢視伺服器應依資通系統分類或系統功能或服務特性進行網段區隔
。
6.檢視邊界防護設備(包含閘道器、路由器、防火牆、防護裝置等設
備)與外部網路連接之網點,是否設立防火牆控管內外部網路資料
傳輸及資源存取,並限制非必要之連線對象與服務。
二、網路活動檢視
1.檢視網路設備、伺服器及物聯網設備之存取紀錄及帳號權限,識別
異常紀錄與確認警示機制。
2.檢視資安設備(如:防火牆、入侵偵測或防禦、惡意軟體防護、資
料外洩防護、垃圾郵件過濾、網路釣魚偵測、網頁防護等)之監控
紀錄,識別異常紀錄與確認警示機制。
3.檢視網路是否存在異常連線或異常網域名稱解析伺服器(Domain
Name System Server ,DNS Server)查詢或監控進出之通訊流量,
並比對是否為已知惡意 IP 、中繼站或有符合網路惡意行為的特徵
。
4.檢視是否訂定偵測偽冒網站之處理措施。
三、網路設備、伺服器、終端設備及物聯網設備等設備檢測
1.辦理網路設備、伺服器、終端設備及物聯網設備等設備的弱點掃描
與修補作業。
2.檢測終端機及伺服器是否存在惡意程式。
3.檢測系統帳號登入密碼複雜度;檢視外部連接密碼(如檔案傳輸(
File Transfer Protocol, FTP )連線、資料庫連線等)之儲存保
護機制與存取控制。
4.辦理物聯網設備檢測作業時,依據「建立證券商資通安全檢查機制
」辦理。
四、可由外部 Internet 直接連線之網路設備、伺服器及物聯網等設備,
應辦理下列事項:
1.進行滲透測試。
2.進行伺服器應用系統之程式原始碼掃描或黑箱測試。
3.檢視伺服器目錄及網頁之存取權限
4.檢視是否建立對外網站網頁防竄改機制。
5.檢視系統是否有異常的授權連線、CPU 資源異常耗用及異常之資料
庫存取行為等情況。
五、客戶端應用程式檢測
證券商與客戶端之應用程式應採加密連線,並針對證券商交付給客戶
之應用程式進行下列檢測:
1.提供 https、SFTP 者應進行弱點掃描。
2.程式原始碼掃描或滲透測試。
3.敏感性資料保護檢測(如記憶體、儲存媒體)。
4.金鑰保護檢測。
5.採最小權限原則,僅允許使用者依任務及業務功能所需完成指派之
授權存取控管。
六、安全設定檢視
1.檢視伺服器(如網域服務 Active Directory )有關「密碼設定原
則」與「帳號鎖定原則」設定。
2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠,連
線設定是否有安全性弱點。
3.檢視系統存取限制(如存取控制清單 Access Control List)及特
權帳號管理。
4.檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更
新狀態。
5.檢視金鑰之儲存保護機制與存取控制等安全措施。
6.檢視從外部網路連線至公司內部網路時需確認使用者身分。
七、資通系統可靠性與安全性侵害之對策
1.公司應就提升資通系統可靠性研擬相關對策,其內容包括:
(1)提升硬體設備之可靠性:包含預防硬體設備故障與備用硬體設備
設置之對策。
(2)提升軟體系統之可靠性:包含提升軟體開發品質與提升軟體維護
品質對策。
(3)提升營運可靠性之對策。
(4)故障之早期發現與早期復原對策。
(5)災變對策。
(6)備份之系統備份媒體,須擬定驗證計畫,並驗證備份媒體之可靠
性及資訊之完整性。
2.公司應就資通安全性侵害,研擬相關對策,其內容包括:
(1)資料保護:包含防止洩漏、防止破壞篡改與相對應檢測之對策。
(2)防止非法使用:包含存取權限確認、應用範圍限制、防止非法偽
造、限制外部網路存取及偵測與因應之對策。
(3)防止非法程式:包含防禦、偵測與復原對策。
3.檢視資通系統是否符合「建立證券商資通安全檢查機制」及主管機
關相關函文之要求。
4.檢視資通系統之 SWIFT 系統是否符合 SWIFT 公布之 Customer
Security Programme(CSP )規範與臺灣證券交易所及中華民國證
券商業同業公會相關函文之要求,若與本辦法資通安全評估作業衝
突,依 SWIFT 公布為主。
第一類、第二類及第三類資通系統應依前項評估項目全部納入資通安
全評估作業以確保評估作業之有效性。
伍、強化系統運作可用性之資安措施
網路下單服務或設有官方網站之證券業者,應強化系統運作可用性之
資安措施【如導入分散式阻斷服務攻擊(DDoS)流量清洗、線路流量
監控與備援及訂定 DDoS 防禦與應變作業程序等】,並每年定期辦理
DDoS 實際演練。
陸、社交工程演練
每年應至少一次針對使用資通系統人員,於安全監控範圍內,寄發演
練郵件,加強資通安全教育,以期防範惡意程式透過社交方式入侵。
柒、評估單位資格與義務
一、評估單位可委由外部專業機構或由公司內部單位進行。如為外部專業
機構,該機構應與資安評估標的無利害關係,若為內部單位,應獨立
於原電腦系統開發與維護等相關單位。
二、辦理第一類資通系統資通安全評估作業之評估單位應具備下列各款資
格條件;辦理第二類及第三類資通系統資通安全評估作業者,依評估
作業項目需要,具備下列相關資格條件之一:
1.具備資通安全管理知識,如持有國際資通安全經理人(Certified
Information Security Manager,CISM )證書或通過國際資安管理
系統主導稽核員(Information Security Management System
Lead Auditor,ISO 27001 LA )考試合格等。
2.具備資通安全技術能力,如國際資通安全系統專家(Certified
InformationSystems Security Professional,CISSP)證書等。
3.具備模擬駭客攻擊能力,如滲透專家(Certified Ethical
Hacking, CEH)證書或事件處理專家(Certified Incident
Handler,CIH )證書等。
4.熟悉金融領域載具應用、系統開發或稽核經驗。
三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料
等與本案相關之全部資料,評估單位應簽立保密切結書並提供適當保
護措施,以防止資料外洩。
四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情
事。
捌、評估報告
一、「資通系統資通安全評估報告」內容應至少包含評估人員資格、評估
範圍、評估作業項目與標的、評估紀錄、評估時所發現之缺失項目、
缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果
。
二、公司應依據評估報告內容缺失程度區分風險等級,並擬定各風險對應
之控管措施及處理時限,送稽核單位進行缺失改善事項之追蹤覆查。
三、評估報告缺失覆查應提報董事會或經其授權之經理部門,惟外國證券
商在台分公司得由分公司負責人為之,以落實由高階管理階層督導缺
失改善。
四、評估報告應併同缺失改善等相關文件至少保存五年。