法規資訊
| 法規名稱 | 中華民國期貨業商業同業公會供應鏈風險管理自律規範 |
| 發佈日期 | 民國112年1月4日 |
| 沿革資訊 | 中華民國112年1月4日中華民國期貨業商業同業公會中期商字第1110006184號函訂定發布全文10條,並自即日起實施(中華民國111年12月30日金融監督管理委員會金管證期字第1110366117號函辦理) |
所有條文
-
第4條 (期貨業與資訊服務供應商之合約)
-
一、期貨業與資訊服務供應商之合約內容應依服務範圍的不同,宜包含下列各項:
-
(一)基本要求
-
1.合約期限。
-
2.服務範圍。
-
3.服務交付日期。
-
4.服務水準要求。
-
5.服務變更規範。
-
6.服務驗收之標準。
-
7.資通安全事件通報及應變處理作業程序。
-
8.對資訊服務供應商之稽核權條款。
-
9.合約轉讓或同意分包之規範。
-
10.保密義務條款。
-
11.罰則與損害賠償條款。
-
12.爭議處理程序。
-
13.違約處理條款。
-
14.合約終止規範。
-
15.合約終止後之處理。
-
16.保固。
-
17.權利及責任。
-
-
(二)期貨業與資訊服務供應商之服務與產品應載明事項:
-
1.載明資訊委外服務或產品之智慧財產權及其授權範圍。
-
2.資訊服務供應商如分包予其他供應商應載明(異動亦同)。
-
3.第一類期貨商應載明採購之服務與產品於規劃設計時納入服務與產品之機敏資料保護、授權與認證、安全性更新等。
-
4.第一類期貨商應載明採購之服務與產品於規劃設計時納入隱私保護機制(Privacy by design)之要求。
-
-
(三)資訊服務供應商服務範圍涉及資通系統開發、維護與監控,應遵循「本公會資通系統安全防護基準自律規範」。
-
(四)服務範圍涉及使用雲端運算服務,資訊服務供應商應遵循「本公會新興科技資通安全自律規範」。
-
(五)資訊服務供應商之資安應符合下列要求:
-
1.資訊服務供應商應遵循之資安要求事項、個人資料保護法與其他相關法規遵循與保密義務。
-
2.資訊服務供應商應提供安全性檢測證明(如行動應用程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統或程式無惡意程式及後門程式,其放置於網際網路之程式應通過程式碼掃描或黑箱測試。
-
3.資訊服務供應商揭露第三方程式元件之來源與授權證明。
-
4.資訊服務供應商處理期貨業委託服務各項範圍資訊,能於期貨業要求期限內提供。
-
5.資通(訊)服務供應商於處理期貨業資料應有明確區隔,並應予以加密保護。
-
6.第一類期貨商之資訊服務供應商應提供取得之資安及品質證照。
-
-
-
二、期貨業應於簽約程序中確認資訊服務供應商保密切結事宜。
-
三、資訊服務供應商發生資安事件致期貨業受到影響時,資訊服務供應商的處置程序及責任。