-
-
一、應建立資通系統帳號管理機制,包含帳號之申請、建立、修改、啟用、停用及刪除之程序。
-
二、如有核准臨時或緊急使用之資通系統帳號,於作業結束後,應即時刪除或禁用該等資通系統帳號。
-
三、應定期(至少每半年一次)審查資通系統帳號及權限之適切性,並視審查結果停用資通系統閒置帳號。
-
四、第一類證券商應定義核心系統之閒置時間或可使用期限與核心系統之使用情況及條件(如:帳號類型與功能限制、操作時段限制、來源位址限制、連線數量及可存取資源等)。
-
五、第一類證券商應依公司規定之情況及條件使用核心系統,逾越所定之許可閒置時間或可使用期限時,系統宜自動將使用者帳號登出。
-
六、提供網際網路下單服務之證券商,應每日針對核心系統帳號、非客戶帳號登入嘗試紀錄等進行監控及分析,如發現帳號違常使用時回報管理者並進行後續處理。
-
七、不得使用客戶之顯性資料(如統一編號、身分證號、手機號碼、電子郵件帳號、信用卡號、存款帳號等)作為唯一之識別,否則應另行增設使用者代號以資識別。
-
八、資通系統帳號應定義人員角色及責任,授權應採最小權限原則,僅允許使用者(或代表使用者行為之程序)依公司部門權責及業務功能,完成作業所需之授權存取。
-
九、應訂定遠端連線管理辦法,建立使用限制、組態需求、連線需求及文件化,對於任一允許之遠端存取類型,均應先取得授權,並留存相關紀錄。外國證券商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。
-
十、應於伺服器端完成資通系統帳號權限登入驗證作業。外國證券商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。
-
十一、組織應監控使用外部網路遠端連線存取組織內部網段之連線。外國證券商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。
-
十二、資通系統之遠端存取應採用連線加密機制。外國證券商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。
-
十三、資通系統遠端存取之來源應為公司已核准之存取控制點。外國證券商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。