7.通訊與作業管理（CC-17000）
 (1)網路安全管理（CC-17010，適用網際網路下單證券商，另 a、b、e項
    並適用於所有使用競價終端設備連結公眾網路之證券商，每月查核）
    a.網路系統安全評估：
     (a)應定期評估自身網路系統安全（例如：作業系統、網站伺服器、
        瀏覽器、防火牆及防毒版本等），並留存相關紀錄。
     (b)定期或適時修補網路運作環境之安全漏洞（含伺服器、攜帶型、
        個人端及營業處所內供投資人共用之電腦等），並留存相關文件
        。
     (c)有關電腦網路安全（如資訊安全政策宣導、防範網路駭客入侵事
        件、電腦防毒等）之事項應隨時對內部公告。
     (d)各電腦主機、重要軟硬體設備應有專人負責。
    b.防火牆之安全管理：
     (a)應建立防火牆。
     (b)防火牆應有專人管理。
     (c)防火牆進出紀錄及其備份應至少保存三年。
     (d)重要網站及伺服器系統（如網路下單系統等）應以防火牆與外部
        網際網路隔離。
     (e)防火牆系統之設定應經權責主管之核准。
    c.網路傳輸安全管理：
      網路下單畫面應採加密方式（例如：SSL）處理。
    d.CA認證與憑證管理：
     (a)網路下單證券商應訂定憑證交付程序，避免非本人取得憑證。
     (b)網路下單證券商應全面使用認證機制。
    e.電腦病毒及惡意軟體之防範：
     (a)應安裝防毒軟體，並及時更新程式及病毒碼。
     (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄（含電子郵件）
        。
     (c)防毒應涵蓋個人端（含攜帶型及營業處所內供投資人共用之電腦
        等）及網路伺服器端電腦。
     (d)勿開啟來歷不明之電子郵件，對於電子郵件中帶有執行檔之附件
        ，尤應特別小心開啟。
     (e)為防範電腦病毒擴散，影響電腦安全，公司應訂定電子郵件使用
        安全相關規定。
    f.網路下單系統功能檢查：
     (a)應定期檢查網路下單系統提供之功能，並留存紀錄。
     (b)應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員處
        理。
    g.公司提供API服務規範：公司提供客戶使用應用程式介面（API）服
      務之申請流程、核可標準及相關控管配套措施相關作業，應依「證
      券商受理客戶使用應用程式介面（API）服務作業規範」辦理。
    h.網際網路下單服務品質相關標準：
      公司提供網際網路下單業務時，兼顧客戶服務品質，應訂定網際網
      路下單服務品質相關標準，並應包含下列重點如：交易之安全性、
      交易之穩定及友善、提供客戶服務。
 (2)電腦系統及作業安全管理（CC-17020，半年查核）
    a.電腦設備之管理：
      為確定電腦設備維護內容，應與廠商訂有書面維護契約，做完維護
      時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢查。
    b.電腦作業系統環境設定及使用權限設定：
     (a)電腦作業系統環境設定及使用權限設定應經有關主管核示，並由
        系統管理人員執行。
     (b)電腦系統檔案異動前後皆有完善之備份處理措施。
    c.電腦媒體之安全管理：
     (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
     (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內，應鎖
        存於防火之房間或防火且防震之防火櫃中。
     (c)存放備份資料之儲存媒體，應於其標籤上註明存放資料之名稱及
        保存期限。
     (d)應建立機密性及敏感性資料媒體之相關處理程序，防止資料洩露
        或不當使用。
     (e)應建立回存測試機制，以驗證備份之完整性及儲存環境的適當性
        。
    d.電腦操作管理：
     (a)操作人員應確實依規定操作程序執行。
     (b)操作日誌應詳實記載並逐日經主管核驗，操作人員不可與主管為
        同一人。
     (c)系統主控台所留存之紀錄，應經專人檢查訊息內容且定期送主管
        核驗。
    e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
    f.證券經紀商之電腦系統應訂定定期（每年至少一次）由內部或委託
      外部專業機構評估電腦系統容量及安全措施之機制與程序，定期對
      系統容量進行壓力測試，並留存紀錄。