查詢結果

行政函釋

發文單位
發文單位 臺灣期貨交易所股份有限公司
發文字號
發文字號 台期輔字第10900006140號
發文日期
發文日期 民國109年3月20日
相關法條
相關法條 建立期貨商資通安全檢查機制 EN 第9、12條
資料來源
資料來源 臺灣期貨交易所股份有限公司
要  旨
要  旨 修訂「建立期貨商資通安全檢查機制」及「期貨商內部控制制度標準規範
全文內容
全文內容

主旨:修訂「建立期貨商資通安全檢查機制」及「期貨商內部控制制度標準規範」如附件,並自即日起實施,請查照。

說明:

  • 一、依金融監督管理委員會109年3月6日金管證期字第1080340430號函辦理。
  • 二、請貴公司依旨揭標準規範規定辦理,於本(109)年度將現有之行動應用程式交付合格實驗室檢測並通過測試。

正本:各期貨商

副本:金融監督管理委員會證券期貨局、中華民國期貨業商業同業公會、財團法人證券投資人及期貨交易人保護中心、植根國際資訊股份有限公司、本公司網站

相關法條

建立期貨商資通安全檢查機制 民國109年3月20日 (歷史版次)
  1. 9
  1. 系統開發及維護
    1. (1)應用系統在規劃分析時應將資訊安全需求納入分析及規格。
    2. (2)輸入資料是否有作檢查,以確認其正確性。
    3. (3)應使用具有合法版權之軟體。
    4. (4)委外作業應簽訂契約,委外作業契約內容應包含資訊安全協定與對委外廠商資安稽核權等條款。
    5. (5)已完成之程式因故需維護時,應依據經過正式核准之程序辦理。
    6. (6)各項文件與手冊應經適當維護與控制。
    7. (7)應用系統之維護應指派專人負責。
    8. (8)期貨、選擇權新商品上線前或配合交易系統、結算系統相關作業變更時,應配合進行必要之全市場測試。
    9. (9)應用系統異動管理:
      1. a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開存放。
      2. b.程式經修改其相關文件應及時更新。
    10. (10)公司應定期(至少每半年乙次)辦理資訊系統弱點掃描作業,針對所辨識出之潛在系統弱點,宜評估其相關風險或安裝修補程式,並留存紀錄(適用網際網路下單期貨商)。
    11. (11)程式原始碼安全規範:(適用網際網路下單期貨商)a.程式應避免含有惡意程式等資訊安全漏洞。
      1. b.程式應使用適當且有效之完整性驗證機制,以確保其完整性。
      2. c.程式於引用之函式庫有更新時,應備妥對應之更新版本。
      3. d.程式應針對使用者輸入之字串,進行安全檢查並提供相關注入攻擊防護機制。
      4. e.無法取得程式原始碼時,應要求程式提供者符合上開前四項(a、b、c、d)安全事項。
    12. (12)行動應用程式安全管理:(適用網際網路下單期貨商)
      1. a.行動應用程式發布:
        1. (a)行動應用程式應於可信任來源之行動應用程式商店或網站發布,且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣告之權限用途。
        2. (b)應於公司網站上提供行動應用程式之名稱、版本與下載位置。
        3. (c)應建立偽冒行動應用程式偵測機制,以維護客戶權益。
        4. (d)應於發布前檢視應用程式所需權限應與提供服務相當,首次發布或權限變動應經資安單位或人員、法遵單位同意,並留有紀錄,以利綜合評估是否符合個人資料保護法之告知義務」。
      2. b.敏感性資料保護:
        1. (a)行動應用程式傳送及儲存敏感性資料時應透過憑證、雜湊(Hash)或加密等機制以確保資料傳送及儲存安全,並於使用時應進行適當去識別化,相關存取日誌應予以保護以防止未經授權存取。
        2. (b)啟動行動應用程式時,如偵測行動裝置疑似遭破解(如root、jailbreak、USB debugging等),應提示使用者注意風險。
      3. c.行動應用程式檢測:
        1. (a)涉及交易人使用之行動應用程式於初次上架前及每年應委由經財團法人全國認證基金會(TAF)認證合格之第三方檢測實驗室進行並完成通過資安檢測,檢測範圍以經濟部工業局委託執行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢測基準項目進行檢測。如通過實驗室檢測後一年內有更新上架之需要,應於每次上架前就重大更新項目進行委外或自行檢測;所謂重大更新項目為與「下單交易」、「帳務查詢」、「身分辨識」及「客戶權益有重大相關項目」有關之功能異動。檢測範圍以OWASP MOBILE TOP 10之標準為依據,並留存相關檢測紀錄。
        2. (b)期貨商對第三方檢測實驗室所提交之檢測報告,應建立覆核機制,以確保檢測項目及內容一致,並留存覆核紀錄。
  1. 12
  1. 新興科技應用
    1. (1)雲端服務:
      1. a.公司為雲端服務使用者時,應訂定雲端運算服務運作安全規範,內含雲端提供者之遴選機制、查核措施、備援機制、服務水準(含資訊安全防護)與復原時間要求等,如有不符需求之虞,需有其他補償性措施。
      2. b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。如涉及敏感性資料之傳遞,應使用超文字傳輸安全協定(HTTPS)、安全檔案傳輸協定(SFTP)等加密之網路協定。
    2. (2)社群媒體:
      1. a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法,應包含以下內容:
        1. (a)界定可於公務用社群媒體上分享之業務相關資料。
        2. (b)界定私人與公務用社群媒體之區別與應注意事項。
      2. b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩、社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
      3. c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含以下內容:
        1. (a)應事先了解所經營之社群媒體隱私政策,並定期(每年一次)檢視其隱私政策之異動及評估其風險。
        2. (b)於官方網站提供連結供使用者連至公司外之社群媒體時,應出現提示視窗告知使用者該連結非公司本身之網站。
        3. (c)對經營之社群媒體應標示期貨商名稱、聯絡方式,以區別為官方經營之社群媒體。
        4. (d)應建立帳號權限管理機制,對發布內容進行控管與監視,並針對不適當言論及異常事件,進行通報或處置。
    3. (3)行動裝置:
      1. a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含以下項目:
        1. (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核應訂有相關規範。
        2. (b)人員異動時,行動裝置應進行重新配置或清除配置程序,以確保行動裝置環境安全性。
        3. (c)行動裝置應避免安裝非官方發布之行動應用程式,或僅安裝由公司列出通過檢測可安裝之行動應用程式。
      2. b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包含以下項目:
        1. (a)公司應要求員工自攜行動裝置使用用途。
        2. (b)公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限制及雙方責任等。
        3. (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際網路(Internet)之行為。
    4. (4)物聯網:
      1. 應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
      2. a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開設備之初始密碼。
      3. b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如存在已知弱點無法更新時,應建立補償性管控機制。
      4. c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開的網際網路位置。
      5. d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全相關協議,明確約定相關責任(如:服務承諾、安全性更新年限、主動通報設備已知資安漏洞並提出相關應變處置方案),確保設備不存在已知安全性漏洞。
回上方