法規資訊

法規名稱: 建立證券商資通安全檢查機制 (非現行法規)
公布日期: 民國 107 年 02 月 08 日
沿革資訊: 中華民國107年2月8日臺灣證券交易所股份有限公司臺證輔字第107000282 0號函修正發布第3點、第7點、第8點(中華民國107年1月26日金融監督管 理委員會金管證券字第1060048460號及107年2月7日金融監督管理委員會 金管證券字第1070303592號函辦理)

所有條文

8
8.存取控制(CC-18000,每月查核)
 (1)公司應訂定資訊系統存取控制相關規定,並以書面、電子或其他方式
    告知員工遵守。
 (2)權限管理:
    a.對於程式的存取使用,應有詳細的書面管制說明。
    b.人員異動時應及時更新其使用權限。
    c.對於程式及檔案之存取使用,應按權限區分。
    d.委外人員電腦通行使用權利應經適當控管; 委外期間結束後,應立
      即收回該項權利。
    e.對於進駐於公司內之委外作業人員應納入公司安全管理,如欲使用
      內部網路資源時,應有安全管制措施(如透過轉接方式或另建網路
      者,宜與內部網路作實體隔離)。
    f.應定期(至少每半年一次)審查並檢討久未使用之使用者權限(使
      用者為客戶者除外)。
 (3)密碼管理:
    a.使用者第一次使用系統時,應更新初始密碼後方可繼續作業。
    b.密碼應以亂碼方式儲存。
    c.對於使用者忘記密碼之處理,應有嚴格的身分確認程序,方可再次
      使用系統。
    d.初始密碼應隨機產生,並與使用者身分無關。
    e.密碼輸入錯誤次數達三次者,應予中斷連線。
    f.除輸入介面僅可輸入數字外(例如:語音按鍵下單),公司應使用
      優質密碼設定(長度 6個字元(含)以上,且具有文數字或符號)
      ,並加強宣導客戶定期更新使用者密碼以不超過三個月為宜。除客
      戶外,公司其他使用者之密碼應至少每三個月變更一次。
    g.檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作業
      系統及資料庫等軟硬體設備應設定使用密碼,且避免使用預設(如
       administrator、root、sa)或簡易(如1234)之帳號密碼及未設
      管理者存取權限。
    h.客戶申請採電子式交易型態者,公司以電子方式交付電子密碼條時
      ,應傳送OTP(One Time Password)密碼至客戶開戶留存之手機號
      碼,及將加密後之電子密碼條以電子方式傳送至客戶留存之電子信
      箱,此流程相關系統紀錄應留存。
 (4)電腦稽核紀錄管理:
    a.對重要系統(如主機連線系統、網路下單系統等)之稽核日誌記錄
      內容應包括使用者識別碼、登入之日期時間、電腦的識別資料或其
      網址等事項。
    b.對上開重要系統之電腦稽核紀錄,應有專人定期檢視。
    c.相關留存紀錄應確保數位證據之收集、保護與適當管理程序,至少
      留存三年。
 (5)資料輸入管理:
    a.安全性或重要性較高之資料,應由權責主管人員核可後始得執行輸
      入或修改。
    b.所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
    c.對隱密性高之重要資料(例如:密碼檔)應以亂碼後之資料形式存
      放。
    d.公司如屬公開發行公司者,應於內部控制制度納入「公開發行公司
      網路申報公開資訊應注意事項」,並據以辦理相關申報事宜。
    e.使用電子憑證IC卡或其他類型憑證晶片卡或其他憑證載具等代表
      公司簽署之作業(例如:「公開資訊觀測站」、「證券商申報單一
      窗口」、「公文電子交換系統」等),該等憑證載具應由專人負責
      保管並設簿登記,且應訂定相關帳號、密碼保管及使用程序,並據
      以執行。
    f.使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者(
      例如:「電子對帳單系統」),應留存電腦稽核紀錄( log),其
      保存年限比照各作業資料應保存年限。
    g.應依「個人資料保護法」,妥善處理客戶及公司內部人個人資料。
    h.公司應定期或不定期稽核依「個人資料保護法」定義之個人資料管
      理情形。
    i.前揭個人資料,其更新、更正或註銷均應報經備查,並將更新、更
      正、註銷內容、作業人員及時間詳實記錄。
    j.因經營業務需要而為個人資料之蒐集、處理或國際傳輸及利用,應
      訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
 (6)資料輸出管理:
    a.報表是否按時產生並分送各使用單位。
    b.機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。
    c.投資人於公司網站查詢個人資料應具有加密傳輸機制(例如: SSL
      )。
    d.電子式及非電子式交易型態以電子郵件執行成交回報之傳輸,公司
      對姓名、帳號及信用帳號等機敏資訊,應依「機敏資訊類型及隱匿
      之具體作法原則」辦理。