查詢結果

行政函釋

發文單位
發文單位 臺灣證券交易所股份有限公司
發文字號
發文字號 臺證輔字第1060004997號
發文日期
發文日期 民國106年3月24日
相關法條
相關法條 建立證券商資通安全檢查機制 EN 第7、10條
資料來源
資料來源 臺灣證券交易所股份有限公司
要  旨
要  旨 修正「證券商內部控制制度標準規範」、「期貨商經營證券交易輔助業務
內部控制制度標準規範」及「建立證券商資通安全檢查機制」
全文內容
全文內容

主旨:修正「證券商內部控制制度標準規範」、「期貨商經營證券交易輔助業務內部控制制度標準規範」及「建立證券商資通安全檢查機制」,自即日起實施,請查照。

說明:

  • 一、本(106)年度「證券商內部控制制度標準規範」、「期貨商經營證券交易輔助業務內部控制制度標準規範」及「建立證券商資通安全檢查機制」修正案,業經本公司、財團法人中華民國證券櫃檯買賣中心、中華民國證券商業同業公會及臺灣集中保管結算所股份有限公司共同修正,並報奉金融監督管理委員會106年3月23日金管證券字第1060004710號函同意備查。
  • 二、旨揭修正內容已置於本公司網站( www.twse.com.tw→「產品與服務」→「證券商服務」→「券商輔導部」→「文件下載」),請自行下載,並即依修正內容修正貴公司內部控制制度及落實執行,至遲應於106年4月17日開始執行(內部控制制度須經董事會通過,如未及於106年4月17日前召開董事會通過,亦應儘速召集董事會追認,外國證券商在臺分支機構得由在臺分支機構負責人書面同意替代之)。
  • 三、除經通知或其他法令另有規定外,證券商及證券交易輔助人無須將內部控制制度之訂定或修正內容,申報本公司等證券相關機構,惟應將內部控制制度之訂定或修正內容及董事會通過之議事錄等資料妥善保存,並依主管機關或本公司等證券相關機構通知,即時提供查核。
  • 四、惠請財團法人中華民國證券櫃檯買賣中心及中華民國證券商業同業公會分別將本函轉知未與本公司簽訂市場契約之證券商。

正本:各證券商、各期貨商

副本:金融監督管理委員會證券期貨局、金融監督管理委員會檢查局、財團法人中華民國證券櫃檯買賣中心、中華民國證券商業同業公會、臺灣集中保管結算所股份有限公司、臺灣期貨交易所股份有限公司、法源資訊股份有限公司、植根國際資訊股份有限公司、國際通商法律事務所、博仲法律事務所、本公司交易部、上市二部、電腦規劃部、資訊服務部、秘書部、券商輔導部
附件-「證券商內部控制制度標準規範」等規章106.03.24修正內容(106年度修正內容)

相關法條

建立證券商資通安全檢查機制 民國106年3月24日 (歷史版次)
  1. 7
  1. 通訊與作業管理(CC-17000)
    1. (1)網路安全管理(CC-17010,適用網際網路下單證券商,另 a、b、e項並適用於所有使用競價終端設備連結公眾網路之證券商,每月查核)a.網路系統安全評估:
      1. (a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。
      2. b.防火牆之安全管理:
        1. (a)應建立防火牆。
        2. (b)防火牆應有專人管理。
        3. (c)防火牆進出紀錄及其備份應至少保存二年。
        4. (d)重要網站及伺服器系統(如網路下單系統等)應以防火牆與外部網際網路隔離。
        5. (e)防火牆系統之設定應經權責主管之核准。
      3. (b)定期或適時修補網路運作環境之安全漏洞(含伺服器、攜帶型、個人端及營業處所內供投資人共用之電腦等),並留存相關文件。
      4. (c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵事件、電腦防毒等)之事項應隨時對內部公告。
      5. c.網路傳輸安全管理:網路下單畫面應採加密方式(例如:SSL)處理。
      6. d.CA認證與憑證管理:
        1. (a)網路下單證券商應訂定憑證交付程序,避免非本人取得憑證。
        2. (b)網路下單證券商應全面使用認證機制。
      7. (d)各電腦主機、重要軟硬體設備應有專人負責。
      8. e.電腦病毒及惡意軟體之防範:
        1. (a)應安裝防毒軟體,並及時更新程式及病毒碼。
        2. (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件)。
        3. (c)防毒應涵蓋個人端(含攜帶型及營業處所內供投資人共用之電腦等)及網路伺服器端電腦。
        4. (d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附件,尤應特別小心開啟。
        5. (e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使用安全相關規定。
      9. f.網路下單系統功能檢查:應定期檢查網路下單系統提供之功能,並留存紀錄。
      10. g.公司提供API服務規範:公司提供客戶使用應用程式介面(API)服務之申請流程、核可標準及相關控管配套措施相關作業,應依「證券商受理客戶使用應用程式介面(API)服務作業規範」辦理。
      11. h.網際網路下單服務品質相關標準:公司提供網際網路下單業務時,兼顧客戶服務品質,應訂定網際網路下單服務品質相關標準,並應包含下列重點如:交易之安全性、交易之穩定及友善、提供客戶服務。
    2. (2)電腦系統及作業安全管理(CC-17020,半年查核)a.電腦設備之管理:為確定電腦設備維護內容,應與廠商訂有書面維護契約,做完維護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢查。
      1. b.電腦作業系統環境設定及使用權限設定:
        1. (a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並由系統管理人員執行。
        2. (b)電腦系統檔案異動前後皆有完善之備份處理措施。
      2. c.電腦媒體之安全管理:
        1. (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
        2. (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應鎖存於防火之房間或防火且防震之防火櫃中。
        3. (c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱及保存期限。
        4. (d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩露或不當使用。
      3. d.電腦操作管理:
        1. (a)操作人員應確實依規定操作程序執行。
        2. (b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管為同一人。
        3. (c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主管核驗。
      4. e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
      5. f.證券經紀商之電腦系統應訂定定期(每年至少一次)由內部或委託外部專業機構評估電腦系統容量及安全措施之機制與程序,定期對系統容量進行壓力測試,並留存紀錄。
  1. 10
  1. 營運持續管理(CC-20000,半年查核)(1)故障復原程序(例如:電腦設備、通訊設備、電力系統、資料庫、電腦作業系統等備援及回復計畫)應明確訂定,並製成文件。
    1. (2)故障復原程序應週期性測試,測試後應召開檢討會議,針對測試缺失謀求改進,並留存紀錄。
    2. (3)證券經紀商之交易主機應有備援措施。
    3. (4)公司宜擬訂營運持續計畫(含起動條件、參與人員、緊急程序、備援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規劃及合約適當性等)及其必要之維護,並擬訂關鍵性業務及其衝擊影響分析。
    4. (5)公司應訂定資訊安全訊息通報機制(例如:正式之通報程序及資安事件通報聯絡人),宜針對與資訊系統有關之資訊安全事故,採取適當矯正程序,並留存紀錄。
    5. (6)公司發生個人資料之竊取、竄改、毀損、滅失、或洩漏等資安事故者,應立即函報證交所(或櫃檯買賣中心、券商公會)轉陳主管機關。
    6. (7)公司應明確訂定分散式阻斷服務攻擊(DDoS)防禦與應變作業程序。
回上方