查詢結果

行政函釋

 
發文單位: 臺灣期貨交易所股份有限公司
發文字號: 台期輔字第10900006140號函 
發文日期: 民國 109 年 03 月 20 日
資料來源: 臺灣期貨交易所股份有限公司
相關法條
要  旨:
修訂「建立期貨商資通安全檢查機制」及「期貨商內部控制制度標準規範
」
全文內容:
主旨:修訂「建立期貨商資通安全檢查機制」及「期貨商內部控制制度標
      準規範」如附件,並自即日起實施,請查照。
說明:
  一、依金融監督管理委員會 109年 3月 6日金管證期字第1080340430號
      函辦理。
  二、請貴公司依旨揭標準規範規定辦理,於本 (109)年度將現有之行
      動應用程式交付合格實驗室檢測並通過測試。
正本:各期貨商
副本:金融監督管理委員會證券期貨局、中華民國期貨業商業同業公會、
      財團法人證券投資人及期貨交易人保護中心、植根國際資訊股份有
      限公司、本公司網站

相關法條

1. 建立期貨商資通安全檢查機制 民國 109 年 03 月 20 日修正(現行法規)
9
9.系統開發及維護
   (1)應用系統在規劃分析時應將資訊安全需求納入分析及規格。
   (2)輸入資料是否有作檢查,以確認其正確性。
   (3)應使用具有合法版權之軟體。
   (4)委外作業應簽訂契約,委外作業契約內容應包含資訊安全協定與對
      委外廠商資安稽核權等條款。
   (5)已完成之程式因故需維護時,應依據經過正式核准之程序辦理。
   (6)各項文件與手冊應經適當維護與控制。
   (7)應用系統之維護應指派專人負責。
   (8)期貨、選擇權新商品上線前或配合交易系統、結算系統相關作業變
      更時,應配合進行必要之全市場測試。
   (9)應用系統異動管理:
      a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開
        存放。
      b.程式經修改其相關文件應及時更新。
  (10)公司應定期(至少每半年乙次)辦理資訊系統弱點掃描作業,針對
      所辨識出之潛在系統弱點,宜評估其相關風險或安裝修補程式,並
      留存紀錄(適用網際網路下單期貨商)。
  (11)程式原始碼安全規範:(適用網際網路下單期貨商)
      a.程式應避免含有惡意程式等資訊安全漏洞。
      b.程式應使用適當且有效之完整性驗證機制,以確保其完整性。
      c.程式於引用之函式庫有更新時,應備妥對應之更新版本。
      d.程式應針對使用者輸入之字串,進行安全檢查並提供相關注入攻
        擊防護機制。
      e.無法取得程式原始碼時,應要求程式提供者符合上開前四項 (a
        、b、c、d)安全事項。
  (12)行動應用程式安全管理:(適用網際網路下單期貨商)
      a.行動應用程式發布:
       (a)行動應用程式應於可信任來源之行動應用程式商店或網站發布
          ,且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣
          告之權限用途。
       (b)應於公司網站上提供行動應用程式之名稱、版本與下載位置。
       (c)應建立偽冒行動應用程式偵測機制,以維護客戶權益。
       (d)應於發布前檢視應用程式所需權限應與提供服務相當,首次發
          布或權限變動應經資安單位或人員、法遵單位同意,並留有紀
          錄,以利綜合評估是否符合個人資料保護法之告知義務」。
      b.敏感性資料保護:
       (a)行動應用程式傳送及儲存敏感性資料時應透過憑證、雜湊(Ha
          sh)或加密等機制以確保資料傳送及儲存安全,並於使用時應
          進行適當去識別化,相關存取日誌應予以保護以防止未經授權
          存取。
       (b)啟動行動應用程式時,如偵測行動裝置疑似遭破解(如root、
          jailbreak、USB debugging 等),應提示使用者注意風險。
      c.行動應用程式檢測:
       (a)涉及交易人使用之行動應用程式於初次上架前及每年應委由經
          財團法人全國認證基金會 (TAF)認證合格之第三方檢測實驗
          室進行並完成通過資安檢測,檢測範圍以經濟部工業局委託執
          行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢
          測基準項目進行檢測。如通過實驗室檢測後一年內有更新上架
          之需要,應於每次上架前就重大更新項目進行委外或自行檢測
          ;所謂重大更新項目為與「下單交易」、「帳務查詢」、「身
          分辨識」及「客戶權益有重大相關項目」有關之功能異動。檢
          測範圍以 OWASP MOBILE TOP 10之標準為依據,並留存相關檢
          測紀錄。
       (b)期貨商對第三方檢測實驗室所提交之檢測報告,應建立覆核機
          制,以確保檢測項目及內容一致,並留存覆核紀錄。
12.新興科技應用
   (1)雲端服務:
      a.公司為雲端服務使用者時,應訂定雲端運算服務運作安全規範,
        內含雲端提供者之遴選機制、查核措施、備援機制、服務水準(
        含資訊安全防護)與復原時間要求等,如有不符需求之虞,需有
        其他補償性措施。
      b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,
        應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。
        如涉及敏感性資料之傳遞,應使用超文字傳輸安全協定 (HTTPS
        )、安全檔案傳輸協定(SFTP)等加密之網路協定。
   (2)社群媒體:
      a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法
        ,應包含以下內容:
       (a)界定可於公務用社群媒體上分享之業務相關資料。
       (b)界定私人與公務用社群媒體之區別與應注意事項。
      b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩
        、社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
      c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含
        以下內容:
       (a)應事先了解所經營之社群媒體隱私政策,並定期(每年一次)
          檢視其隱私政策之異動及評估其風險。
       (b)於官方網站提供連結供使用者連至公司外之社群媒體時,應出
          現提示視窗告知使用者該連結非公司本身之網站。
       (c)對經營之社群媒體應標示期貨商名稱、聯絡方式,以區別為官
          方經營之社群媒體。
       (d)應建立帳號權限管理機制,對發布內容進行控管與監視,並針
          對不適當言論及異常事件,進行通報或處置。
   (3)行動裝置:
      a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含
        以下項目:
       (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核
          應訂有相關規範。
       (b)人員異動時,行動裝置應進行重新配置或清除配置程序,以確
          保行動裝置環境安全性。
       (c)行動裝置應避免安裝非官方發布之行動應用程式,或僅安裝由
          公司列出通過檢測可安裝之行動應用程式。
      b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包
        含以下項目:
       (a)公司應要求員工自攜行動裝置使用用途。
       (b)公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限
          制及雙方責任等。
       (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際
          網路(Internet)之行為。
   (4)物聯網:
      應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
      a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開
        設備之初始密碼。
      b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如
        存在已知弱點無法更新時,應建立補償性管控機制。
      c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開
        的網際網路位置。
      d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全
        相關協議,明確約定相關責任(如:服務承諾、安全性更新年限
        、主動通報設備已知資安漏洞並提出相關應變處置方案),確保
        設備不存在已知安全性漏洞。