法規資訊

(a)應定期評估自身網路系統安全(例如：作業系統、網站伺服器、瀏覽器、防火牆及防毒版本等)，並留存相關紀錄。

(b)定期或適時修補網路運作環境及作業系統之安全漏洞(含伺服器、攜帶型、個人端及營業處所內供交易人共用之電腦等)，並留存相關文件。

(c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵事件、電腦防毒等)之事項應隨時對內部公告。

(d)各電腦主機、重要軟硬體設備應有專人負責。

(e)應定期(至少每半年乙次)辦理資訊系統弱點掃描作業，針對所辨識出之潛在系統弱點，應評估其相關風險或安裝修補程式，並留存紀錄。

(f)網路應依用途區分為DMZ、營運環境、測試環境及其他環境，並有適當區隔機制(如防火牆、虛擬區域網路、實體隔離等)。

(g)個人資料及機敏資料應存放於安全的網路區域，不得存放於網際網路等區域。

(h)系統應僅開啟必要之服務及程式，未使用之服務功能應關閉。

(i)應建立遠端連線管理辦法，對使用外部網路遠端連線至公司內部作業系統維護作業進行控管(如連線IP位址、安全網路連線及定期權限審查等)及身分認證，留存相關維護紀錄並由權責主管定期覆核。

(j)應防止未經授權設備使用內部網路。

(a)應建立防火牆。

(b)防火牆應有專人管理。

(c)防火牆進出紀錄及其備份應至少保存三年。

(d)重要網站及伺服器系統應以防火牆與外部網際網路隔離。

(e)防火牆系統之設定應經權責主管之核准。

(f)應每年定期檢視並維護防火牆存取控管設定，並留存相關檢視紀錄。

(g)公司交易相關網路直接連線之設備不得使用危害國家資通安全產品。

(h)公司建立網路設備規則應以最小授權及正面表列為原則。

(i)公司應至少每年檢視一次對外網路設備規則，並留存相關紀錄。

(a)網路下單畫面應採加密方式(例如：SSL)處理。

(b)公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號嘗試登入紀錄等進行監控及分析，發現有帳號登入異常情事(如密碼輸入錯誤達三次、一定時間內大量帳號登入失敗、帳戶申請或更新憑證下載異常)，應即時了解異常原因，並留存相關紀錄。

(c)公司提供網路下單服務，應於網路下單登入時採多因子認證方式(例如：固定密碼、圖形鎖、下單憑證、綁定裝置、OTP、生物辨識等機制)，以確保為客戶本人登入。

(a)公司所約定之資訊，且無第三人知悉(如固定密碼、圖形鎖或手勢等)。

(b)客戶所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電腦、行動裝置、憑證載具等)，公司應確認該設備為客戶與公司所約定持有之設備。

(c)客戶提供給公司其所擁有之生物特徵(如指紋、臉部、虹膜、聲音、掌紋、靜脈、簽名等)，公司應直接或間接驗證該生物特徵。

(a)網路下單期貨商應訂定憑證交付程序，避免非本人取得憑證。客戶申請或更新憑證下載，必須採用多因子(如：下單憑證、綁定裝置、OTP、生物辨識及SIM認證等)驗證方式，且與登入帳戶時使用之因子不同，確實辨認客戶身分並留存紀錄。

(b)網路下單期貨商應全面使用認證機制。

(c)公司應於伺服器端驗證客戶交易身分及使用者帳號。

(d)公司對電子交易身分之申請、交付、使用、更新與驗證應訂定相關規範。

(a)應安裝防毒軟體，並及時更新程式及病毒碼。

(b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件)。

(c)防毒應涵蓋個人端(含攜帶型及營業處所內供交易人共用之電腦等)及網路伺服器端電腦。

(d)勿開啟來歷不明之電子郵件，對於電子郵件中帶有執行檔之附件，尤應特別小心開啟。

(e)為防範電腦病毒擴散，影響電腦安全，公司應訂定電子郵件使用安全相關規定及建立郵件過濾機制。

(f)應建立上網管制措施，以避免下載惡意程式。

(g)應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣魚。

(h)宜每年定期辦理社交工程演練，並對誤開啟信件或連結之人員進行教育訓練，並留存相關紀錄。

(a)應定期檢查網路下單系統提供之功能，並留存紀錄。

(b)應就提供外部連線使用網路系統偵測網頁與程式異動、記錄並通知相關人員處理。

(a)公司應依其所屬資安分級定期對提供網際網路服務之核心系統辦理滲透測試，並依測試結果進行改善。

(b)公司應依其所屬資安分級定期辦理資通安全健診(應含網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視)。

(c)公司應依其所屬資安分級建立資通安全威脅偵測管理機制(應含括事件收集、異常分析、偵測攻擊並判斷攻擊行為)。

(e)公司應依其所屬資安分級設置應用程式防火牆。

(d)公司應依其所屬資安分級建立入侵偵測及防禦機制。

(f)公司應依其所屬資安分級辦理進階持續性威脅攻擊防禦措施。

(g)核心系統身分驗證機制應防範自動化程式之登入或密碼更換嘗試，非核心系統宜防範自動化程式之登入或密碼更換嘗試。

(a)密碼輸入錯誤或帳戶被鎖定。

(b)申請或更新憑證。

(c)變更基本資料。

(d)異常來源或行為嘗試登入等。

(e)密碼申請異動或補發時。

(a)為確定電腦設備維護內容，應與廠商訂有書面維護契約，完成維護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢查。

(b)因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用，應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。

(a)電腦作業系統環境設定及使用權限設定應經有關主管核示，並由系統管理人員執行。

(b)電腦系統檔案異動前後皆有完善之備份處理措施。

(c)應建立系統最高權限帳號管理辦法(含作業系統及應用系統)，如需使用最高權限帳號時須取得權責主管同意，並留存相關紀錄。

(d)應建立並落實個人電腦、伺服器及網路通訊設備之安全性組態基準(如密碼長度、更新期限等)。

(e)透過網際網路使用帳號登入系統時，應採用多因子認證機制。

(f)資通系統內部時鐘應定期與基準時間源進行同步。

(g)公司應依其所屬資安分級對核心系統重要組態設定檔案及其他具保護需求之資訊進行加密或以其他適當方式儲存。

(h)公司應依其所屬資安分級訂定對核心系統之閒置時間或可使用期限與核心系統之使用情況及條件(如：帳號類型與功能限制、操作時段限制、來源位址限制、連線數量及可存取資源等)。

(a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。

(b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內，應鎖存於防火之房間或防火且防震之防火櫃中。

(c)存放備份資料之儲存媒體，應於其標籤上註明存放資料之名稱及保存期限。

(d)應建立機密性及敏感性資料媒體之相關處理程序，防止資料洩露或不當使用。

(e)應建立回存測試機制，以驗證備份之完整性及儲存環境的適當性。

(f)公司應依據系統特性與資料復原點目標(RPO)，考量備份頻率、儲存媒體類型(光碟、外接硬碟、磁帶)、資料類型(虛擬機映像檔、系統源碼、資料庫與組態設定檔等)、備份類型(完整備份、增量備份與差異備份)、備份方式(網路同步寫入、網路非同步寫入與離線備份)等，制定適當之資料備份機制，如採離線備份應依備份類型建立適當的備份基準(baseline)，以確保資料可正確回存。

(g)公司制定資料備份機制時，宜考量「3-2-1備份原則」，至少製作三份備份；將備份分別存放在兩套獨立不同儲存設備；至少一份放在異地保存。

(a)操作人員應確實依規定操作程序執行。

(b)操作日誌應詳實記載並逐日經主管核驗，操作人員不可與主管為同一人。

(c)系統主控台所留存之紀錄，應經專人檢查訊息內容且定期送主管核驗。