查詢結果

行政函釋

 
發文單位: 臺灣期貨交易所股份有限公司
發文字號: 台期輔字第10700044570號函 
發文日期: 民國 108 年 01 月 04 日
資料來源: 臺灣期貨交易所股份有限公司
相關法條
建立期貨商資通安全檢查機制 第 2、3、12、13 條
要  旨:
修訂「建立期貨商資通安全檢查機制」及「期貨商內部控制制度標準規範
」
全文內容:
主旨:修訂「建立期貨商資通安全檢查機制」及「期貨商內部控制制度標
      準規範」如附件,並自即日起實施,請查照。
說明:依金融監督管理委員會107年12月28日金管證期字第 1070345670號
      函辦理。
正本:各期貨商
副本:金融監督管理委員會證券期貨局、中華民國期貨業商業同業公會、
      財團法人證券投資人及期貨交易人保護中心、植根國際資訊股份有
      限公司、博仲法律事務所、本公司網站

相關法條

1. 建立期貨商資通安全檢查機制 民國 108 年 01 月 04 日修正(現行法規)
2
2.資訊安全政策
   (1)公司應依據相關法令規定及公司業務需求,訂定資訊安全政策、資
      訊作業之安全水準。
   (2)制訂資訊安全政策,應包括下列事項:
      a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
      b.資訊安全政策之解釋及說明,資訊安全之原則、標準以及員工應
        遵守之相關規定。
      c.推行資訊安全工作之組織、權責及分工。
      d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明
        。
   (3)公司所訂定之資訊安全政策,應經管理階層核准,並應正式發布要
      求所有員工共同遵守,並轉知與公司連線作業之公私機關(構)、
      提供資訊服務之廠商共同遵行。
   (4)公司訂定之資訊安全政策,應至少每年評估一次,以反映法令規章
      、技術及業務等最新發展現況,確保資訊安全實務作業之有效性,
      前開之評估工作應留存相關紀錄。
   (5)資訊安全政策之評估,應以獨立及客觀之方式進行,並委由內部或
      委託外部專業機構辦理。
   (6)公司每年應將前一年度資訊安全整體執行情形,由負責資訊安全之
      最高主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行
      情形聲明書,並提報董事會通過,於會計年度終了後三個月內將該
      聲明書內容揭露於主管機關指定之申報網站。
3
3.安全組織
   (1)公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、
      監控及執行資訊安全管理作業,且相關人員之工作職掌與兼辦業務
      情形應符合規定。
   (2)公司應指定副總經理或高層主管人員,負責資訊安全管理事項之協
      調及推動,並得視需要,成立跨部門之「資訊安全推行小組」,統
      籌資訊安全政策、計畫、資源調度等事項之協調、研議。
   (3)公司應視資訊安全管理需要,指定專人或專責單位負責規劃與執行
      資訊安全工作,每年應定期(每年一次)參加十五小時以上資訊安
      全專業課程訓練或職能訓練並通過評量。其他使用資訊系統之從業
      人員,每年應至少接受三小時以上資訊安全宣導課程。
   (4)公司資訊安全人力、能力及經驗,如有不足之處,得委請外界的學
      者專家或民間專業組織及團體,提供資訊安全顧問諮詢服務。
   (5)資訊處理部門與業務單位之權責,應明確劃分。
12.新興科技應用
   (1)雲端服務:
      a.公司為雲端服務使用者時,應訂定雲端運算服務運作安全規範,
        內含雲端提供者之遴選機制、查核措施、備援機制、服務水準(
        含資訊安全防護)與復原時間要求等,如有不符需求之虞,需有
        其他補償性措施。
      b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,
        應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。
        如涉及敏感性資料之傳遞,應使用超文字傳輸安全協定 (HTTPS
        )、安全檔案傳輸協定(SFTP)等加密之網路協定。
   (2)社群媒體:
      a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法
        ,應包含以下內容:
       (a)界定可於公務用社群媒體上分享之業務相關資料。
       (b)界定私人與公務用社群媒體之區別與應注意事項。
      b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩
        、社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
      c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含
        以下內容:
       (a)應事先了解所經營之社群媒體隱私政策,並定期(每年一次)
          檢視其隱私政策之異動及評估其風險。
       (b)於官方網站提供連結供使用者連至公司外之社群媒體時,應出
          現提示視窗告知使用者該連結非公司本身之網站。
       (c)對經營之社群媒體應標示期貨商名稱、聯絡方式,以區別為官
          方經營之社群媒體。
       (d)應建立帳號權限管理機制,對發布內容進行控管與監視,並針
          對不適當言論及異常事件,進行通報或處置。
   (3)行動裝置:
      a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含
        以下項目:
       (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
          應訂有相關規範。
       (b)人員異動時,行動裝置應進行重新配置或清除配置程序,以確
          保行動裝置環境安全性。
       (c)行動裝置應避免安裝非官方發布之行動應用程式,或僅安裝由
          公司列出通過檢測可安裝之行動應用程式。
      b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包
        含以下項目:
       (a)公司應要求員工自攜行動裝置使用用途。
       (b)公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限
          制及雙方責任等。
       (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
          網路(Internet)之行為。
      c.公司應訂定行動應用程式之發布規範與管理辦法,須包含以下內
        容:
       (a)應用程式發布前,應確認程式碼或程序庫通過內容安全或驗證
          程序,如:程式原始碼檢測或掃描,確認未含惡意程式碼與有
          敏感性資料。
       (b)行動應用程式宜完整定義特殊符號篩選機制。
       (c)無法取得行動應用程式原始碼時,應要求行動應用程式提供者
          符合前(a)、(b)之安全事項。
      d.公司應訂定行動應用程式安全控管規範與管理辦法,須包含以下
        內容:
       (a)應針對交易或帳務等敏感性資料設計行動應用程式存取驗證機
          制,並僅供經授權之行動應用程式使用該敏感性資料。
       (b)透過行動應用程式發送簡訊或其他訊息通知方式告知使用者敏
          感性資料時,應進行適當去識別化。
       (c)透過行動應用程式傳送帳號、密碼及其他敏感性資料時,應以
          憑證驗證或加密機制確保傳送安全。
       (d)透過行動應用程式儲存密碼、憑證、交易或帳務等敏感性資料
          時,應對儲存之資料進行雜湊(Hash)或加密控管保護。
       (e)透過行動應用程式處理交易或金流作業時,宜留存存取日誌,
          且存取日誌應予以保護以防止未經授權存取。
   (4)物聯網:
      應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
      a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開
        設備之初始密碼。
      b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如
        存在已知弱點無法更新時,應建立補償性管控機制。
      c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開
        的網際網路位置。
      d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全
        相關協議,明確約定相關責任(如:服務承諾、安全性更新年限
        、主動通報設備已知資安漏洞並提出相關應變處置方案),確保
        設備不存在已知安全性漏洞。
13
13. 其他:資訊提供作業
    a.各種重要法令規章及通知應立即張貼於公佈欄。
    b.資訊閱覽室不得裝設專用競價用終端機。
    c.於所設網站上提供期貨與選擇權即時交易資訊,應經由與期交所簽
      約之資訊公司提供。
    d.應定期檢查網站內對外提供之資訊,對具機密性、敏感性之資訊內
      容,應立即移除。