法規資訊
法規名稱 | 證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範 |
發佈日期 | 民國112年1月10日 |
沿革資訊 | 中華民國112年1月10日中華民國證券投資信託暨顧問商業同業公會中信顧字第1120050104號函訂定發布全文11條(中華民國112年1月9日金融監督管理委員會金管證投字第1110365845號函辦理) |
所有條文
-
第7條 (系統與服務獲得)
-
一、資通系統於系統需求分析階段,應針對資通系統安全需求(含機密性、可用性、完整性)進行確認。
-
二、應根據核心系統功能與要求,識別可能影響系統之威脅,進行風險分析及評估。
-
三、應將核心系統風險評估結果回饋需求階段之檢核項目,並提出安全需求修正。
-
四、資通系統應針對安全需求實作必要控制措施。
-
五、資通系統應注意避免軟體常見漏洞及實作必要控制措施。
-
六、核心系統發生錯誤時,使用者頁面僅顯示簡短錯誤訊息及代碼,不包含詳細之錯誤訊息。
-
七、提供網際網路交易服務之公司,放置於DMZ區之核心系統上架前及重大系統更新時應執行「源碼掃描」安全檢測。
-
八、提供網際網路交易服務之公司,應定期(至少每年乙次)辦理DMZ區之核心系統「弱點掃描」安全檢測,其餘系統宜定期辦理「弱點掃描」安全檢測。
-
九、提供網際網路交易服務之公司,應定期對提供網際網路服務之DMZ區系統辦理「滲透測試」安全檢測。
-
十、於部署環境中應針對資通系統相關安全威脅與漏洞,進行更新與修補,並關閉不必要服務及埠口。
-
十一、應檢視現有之核心系統,應設定使用優質密碼設定,且應避免使用預設密碼。
-
十二、資通系統發展生命週期之維運階段,應執行版本控制與變更管理。
-
十三、公司如委外辦理核心系統開發應將系統發展生命週期各階段安全需求(含機密性、可用性、完整性)納入委外契約。
-
十四、資通系統正式作業環境應與開發、測試作業環境區隔。
-
十五、應儲存與管理資通系統發展生命週期之相關文件。