查詢結果

行政函釋

發文單位
發文單位	臺灣期貨交易所股份有限公司
發文字號
發文字號	台期輔字第1100003892號函
發文日期
發文日期	民國110年12月30日
相關法條
相關法條	證券暨期貨市場各服務事業建立內部控制制度處理準則 EN 第36-2條建立期貨商資通安全檢查機制 EN 第2、3、7、10條
資料來源
資料來源	臺灣期貨交易所股份有限公司
要　　旨
要　　旨	修正「建立期貨商資通安全檢查機制」及「期貨商內部控制制度標準規範」如附件，並自即日起實施
全文內容
全文內容	主旨：修正「建立期貨商資通安全檢查機制」及「期貨商內部控制制度標準規範」如附件，並自即日起實施，請查照。說明：一、依金融監督管理委員會110年12月24日金管證期字第1100376023號函辦理。二、配合主管機關110年9月30日「證券暨期貨市場各服務事業建立內部控制制度處理準則」第36條之2修正內容，及推動一定規模金融機構設置資安長與導入國際資安標準之執行措施，修訂旨揭規範，請依修正內容並視貴公司之規模及業務範圍修訂貴公司內部控制制度。正本：各期貨商副本：金融監督管理委員會證券期貨局、中華民國期貨業商業同業公會、植根國際資訊股份有限公司、本公司網站(均含附件)
	附件-建立期貨商資通安全檢查機制部分條文修正對照表.odt 附件-建立期貨商資通安全檢查機制分級防護應辦事項附表.odt 附件-110年12月「期貨商內部控制制度標準規範」修正對照表.odt

相關法條

證券暨期貨市場各服務事業建立內部控制制度處理準則民國110年9月30日 (歷史版次)

第36-2條

各服務事業符合一定條件者，應指派副總經理以上或職責相當之人兼任資訊安全長，綜理資訊安全政策推動及資源調度事務；其一定條件，由主管機關定之。
各服務事業應配置適當人力資源及設備，進行資訊安全制度之規劃、監控及執行資訊安全管理作業。主管機關得視服務事業規模、業務性質及組織特性，命令設置資訊安全專責單位、主管及人員。
各服務事業每年應將前一年度資訊安全整體執行情形，由資訊安全長或負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具第二十四條規定之內部控制制度聲明書，於會計年度終了後三個月內提報董事會通過。
各服務事業負責資訊安全之主管及人員，每年應至少接受十五小時以上資訊安全專業課程訓練或職能訓練。其他使用資訊系統之從業人員，每年應至少接受三小時以上資訊安全宣導課程。
證券商業同業公會、期貨業商業同業公會及中華民國證券投資信託暨顧問商業同業公會應訂定並定期檢討資訊安全自律規範。

建立期貨商資通安全檢查機制民國110年12月30日 (歷史版次)

資訊安全政策

(1)公司應依據相關法令規定及公司業務需求，訂定資訊安全政策、資訊作業之安全水準。
(2)制訂資訊安全政策，應包括下列事項：
1. a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
2. b.資訊安全政策之解釋及說明，資訊安全之原則、標準以及員工應遵守之相關規定。
3. c.推行資訊安全工作之組織、權責及分工。
4. d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明。
(3)公司所訂定之資訊安全政策，應經管理階層核准，並應正式發布要求所有員工共同遵守，並轉知與公司連線作業之公私機關(構)、提供資訊服務之廠商共同遵行。
(4)公司訂定之資訊安全政策，應至少每年評估一次，以反映法令規章、技術及業務等最新發展現況，確保資訊安全實務作業之有效性，前開之評估工作應留存相關紀錄。
(5)資訊安全政策之評估，應以獨立及客觀之方式進行，並委由內部或委託外部專業機構辦理。
(6)公司每年應將前一年度資訊安全整體執行情形，由資訊安全長或負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「證券暨期貨市場各服務事業建立內部控制制度處理準則」第二十四條規定之內部控制制度聲明書，於會計年度終了後三個月內提報董事會通過，並將該聲明書內容揭露於主管機關指定之申報網站。
(7)公司應參考「建立期貨商資通安全檢查機制-分級防護應辦事項附表」辦理資訊安全分級防護應辦事項。
(8)公司應依其所屬資安分級辦理核心系統導入資訊安全管理系統，並通過公正第三方之驗證，且持續維持驗證有效性。

安全組織

(1)公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、監控及執行資訊安全管理作業，且相關人員之工作職掌與兼辦業務情形應符合規定。
(2)公司應指定副總經理或高層主管人員，綜理資訊安全政策推動及資源調度事務，並得視需要，成立跨部門之「資訊安全推行小組」。公司符合主管機關所訂一定條件者，應指定副總經理以上或職責相當之人兼任資訊安全長辦理上開業務。
(3)公司應視資訊安全管理需要及所屬資安分級，指定專人或專責單位負責規劃與執行資訊安全工作，且資訊安全專責人員及專責主管每年應定期(每年一次)參加十五小時以上資訊安全專業課程訓練或職能訓練並通過評量。其他使用資訊系統之從業人員，每年應至少接受三小時以上資訊安全宣導課程。
(4)公司資訊安全人力、能力及經驗，如有不足之處，得委請外界的學者專家或民間專業組織及團體，提供資訊安全顧問諮詢服務。
(5)資訊處理部門與業務單位之權責，應明確劃分。
(6)公司應依其所屬資安分級要求資安專責人員取得並維持相當資通安全專業證照。

通訊與作業管理

(1)網路安全管理(適用提供網際網路下單之期貨商，另a、b、e項適用於全體期貨商)
1. a.網路系統安全評估：
  1. (a)應定期評估自身網路系統安全(例如：作業系統、網站伺服器、瀏覽器、防火牆及防毒版本等)，並留存相關紀錄。
  2. (b)定期或適時修補網路運作環境及作業系統之安全漏洞(含伺服器、攜帶型、個人端及營業處所內供投資人共用之電腦等)，並留存相關文件。
  3. (c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵事件、電腦防毒等)之事項應隨時對內部公告。
  4. (d)各電腦主機、重要軟硬體設備應有專人負責。
  5. (e)應定期(至少每半年乙次)辦理資訊系統弱點掃描作業，針對所辨識出之潛在系統弱點，應評估其相關風險或安裝修補程式，並留存紀錄。
  6. (f)網路應依用途區分為DMZ、營運環境、測試環境及其他環境，並有適當區隔機制(如防火牆、虛擬區域網路、實體隔離等)。
  7. (g)個人資料及機敏資料應存放於安全的網路區域，不得存放於網際網路等區域。
  8. (h)系統應僅開啟必要之服務及程式，未使用之服務功能應關閉。
  9. (i)應建立遠端連線管理辦法，對使用外部網路遠端連線至公司內部作業系統維護作業進行控管(如連線IP位址、安全網路連線及定期權限審查等)，留存相關維護紀錄並由權責主管定期覆核。
  10. (j)應防止未經授權設備使用內部網路。
2. b.防火牆之安全管理：
  1. (a)應建立防火牆。
  2. (b)防火牆應有專人管理。
  3. (c)防火牆進出紀錄及其備份應至少保存三年。
  4. (d)重要網站及伺服器系統應以防火牆與外部網際網路隔離。
  5. (e)防火牆系統之設定應經權責主管之核准。
  6. (f)應每年定期檢視並維護防火牆存取控管設定，並留存相關檢視紀錄。
  7. (g)公司交易相關網路直接連線之設備不得使用危害國家資通安全產品。
3. c.網路傳輸及連線安全管理：
  1. (a)網路下單畫面應採加密方式(例如：SSL)處理。
  2. (b)公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號登入嘗試紀錄等進行監控及分析及留存相關紀錄。
  3. (c)公司提供網路下單服務，應於網路下單登入時採多因子認證方式(例如：下單憑證、綁定裝置、OTP、生物辨識等機制，以確保為客戶本人登入。
4. d.CA認證與憑證管理：
  1. (a)網路下單期貨商應訂定憑證交付程序，避免非本人取得憑證。
  2. (b)網路下單期貨商應全面使用認證機制。
5. e.電腦病毒及惡意軟體之防範：
  1. (a)應安裝防毒軟體，並及時更新程式及病毒碼。
  2. (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件)。
  3. (c)防毒應涵蓋個人端(含攜帶型及營業處所內供交易人共用之電腦等)及網路伺服器端電腦。
  4. (d)勿開啟來歷不明之電子郵件，對於電子郵件中帶有執行檔之附件，尤應特別小心開啟。
  5. (e)為防範電腦病毒擴散，影響電腦安全，公司應訂定電子郵件使用安全相關規定及建立郵件過濾機制。
  6. (f)應建立上網管制措施，以避免下載惡意程式。
  7. (g)應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣魚。
  8. (h)宜每年定期辦理社交工程演練，並對誤開啟信件或連結之人員進行教育訓練，並留存相關紀錄。
6. f.網路下單系統功能檢查：
  1. (a)應定期檢查網路下單系統提供之功能，並留存紀錄。
  2. (b)應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員處理。
7. g.網路攻擊防護機制導入及安全性檢測
  1. (a)公司應依其所屬資安分級定期對提供網際網路服務之核心系統辦理滲透測試，並依測試結果進行改善。
  2. (b)公司應依其所屬資安分級定期辦理資通安全健診(應含網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視)。
  3. (c)公司應依其所屬資安分級建立資通安全威脅偵測管理機制(應含括事件收集、異常分析、偵測攻擊並判斷攻擊行為)。
  4. (d)公司應依其所屬資安分級建立入侵偵測及防禦機制。
  5. (e)公司應依其所屬資安分級設置應用程式防火牆。
  6. (f)公司應依其所屬資安分級辦理進階持續性威脅攻擊防禦措施。
8. h.網際網路下單服務品質相關標準：
  公司提供網際網路下單業務時，為兼顧客戶服務品質，應訂定網際網路下單服務品質相關標準，並包含下列重點如：交易之安全性、交易之穩定性及系統可用性。
(2)電腦系統及作業安全管理
1. a.電腦設備之管理：
  1. (a)為確定電腦設備維護內容，應與廠商訂有書面維護契約，完成維護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢查。
  2. (b)因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用，應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
2. b.電腦作業系統環境設定及使用權限設定：
  1. (a)電腦作業系統環境設定及使用權限設定應經有關主管核示，並由系統管理人員執行。
  2. (b)電腦系統檔案異動前後皆有完善之備份處理措施。
  3. (c)應建立系統最高權限帳號管理辦法(含作業系統及應用系統)，如需使用最高權限帳號時須取得權責主管同意，並留存相關紀錄。
  4. (d)應建立並落實個人電腦、伺服器及網路通訊設備之安全性組態基準(如密碼長度、更新期限等)。
  5. (e)透過網際網路使用管理帳號登入重要系統時，應採用多因子認證機制。
3. c.電腦媒體之安全管理：
  1. (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
  2. (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內，應鎖存於防火之房間或防火且防震之防火櫃中。
  3. (c)存放備份資料之儲存媒體，應於其標籤上註明存放資料之名稱及保存期限。
  4. (d)應建立機密性及敏感性資料媒體之相關處理程序，防止資料洩露或不當使用。
  5. (e)應建立回存測試機制，以驗證備份之完整性及儲存環境的適當性。
4. d.電腦操作管理：
  1. (a)操作人員應確實依規定操作程序執行。
  2. (b)操作日誌應詳實記載並逐日經主管核驗，操作人員不可與主管為同一人。
  3. (c)系統主控台所留存之紀錄，應經專人檢查訊息內容且定期送主管核驗。
5. e.期貨經紀商應配備經營業務所需、且有適足容量之電腦系統。
6. f.期貨經紀商之電腦系統應訂定定期(每年至少一次)由內部或委託外部專業機構評估電腦系統容量及安全措施之機制與程序，定期對系統容量進行壓力測試，並留存紀錄。

營運持續管理

(1)應明確訂定(例如：電腦設備、通訊設備、電力系統、資料庫、電腦作業系統等備援及回復計畫)故障復原程序，並落實執行且留存紀錄。
(2)故障復原程序應週期性測試，測試後應召開檢討會議，針對測試缺失謀求改進，並留存紀錄。
(3)期貨經紀商之交易主機應有備援措施。
(4)公司應擬訂營運持續計畫(含起動條件、參與人員、緊急程序、備援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規劃及合約適當性等)及其必要之維護，並擬訂關鍵性業務及其衝擊影響分析，再依其所屬資安分級定期辦理業務持續運作演練。
(5)公司應訂定資訊安全訊息通報機制(例如：正式之通報程序及資安事件通報聯絡人)，宜針對與資訊系統有關之資訊安全事故，採取適當矯正程序，並留存紀錄。
(6)公司發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故者，應立即函報期交所轉陳主管機關。
(7)公司應明確訂定分散式阻斷服務攻擊(DDoS)防禦與應變作業程序。