查詢結果

行政函釋

發文單位
發文單位 中華民國證券投資信託暨顧問商業同業公會
發文字號
發文字號 中信顧字第1130055276號函
發文日期
發文日期 民國113年11月25日
相關法條
相關法條 證券暨期貨市場各服務事業資訊作業韌性參考指引 第1條
證券投資信託事業證券投資顧問事業網路安全防護自律規範 第1條
證券投資信託事業證券投資顧問事業供應鏈風險管理自律規範 第1條
證券投資信託事業證券投資顧問事業資訊作業韌性自律規範 第1條
證券投資信託事業證券投資顧問事業新興科技資通安全自律規範 第1條
證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範 第6條
資料來源
資料來源 中華民國證券投資信託暨顧問商業同業公會
要  旨
要  旨 檢送中華民國證券投資信託暨顧問商業同業公會「證券投資信託事業證券投資顧問事業資訊安全內部控制制度」、「證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範」部分條文修正對照表及修正後全文,請配合修正內部控制制度或作業規範,並落實資訊安全控管作業
全文內容
全文內容

主旨:檢送本公會「證券投資信託事業證券投資顧問事業資訊安全內部控制制度」、「證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範」部分條文修正對照表及修正後全文,請配合修正內部控制制度或作業規範,並落實資訊安全控管作業,請查照。

說明:

  • 一、依據金融監督管理委員會113年11月22日金管證投字第1130145275號函辦理。
  • 二、為完備資訊安全內部控制制度、強化本、異地及離線備份基本規範及納入適用金融Fast–ID機制,將「證券投資信託事業證券投資顧問事業新興科技資通安全自律規範」、「證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範」、「證券投資信託事業證券投資顧問事業網路安全防護自律規範」、「證券投資信託事業證券投資顧問事業供應鏈風險管理自律規範」、「證券投資信託事業證券投資顧問事業資訊作業韌性自律規範」、以及「證券暨期貨市場各服務事業資訊作業韌性參考指引」等相關重點措施納入「證券投資信託事業證券投資顧問事業資訊安全內部控制制度」。
  • 三、依據行政院資通系統防護基準,修訂「證券投資信託事業證券投資顧問事業資訊安全內部控制制度」18000存取控制及「證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範」第六條身分驗證管理之相關條文。

正本:本公會各投信會員公司、本公會各投顧會員公司

副本:法源資訊股份有限公司、植根國際資訊股份有限公司
證券投資信託事業證券投資顧問事業資訊安全內部控制制度 證券投資信託事業證券投資顧問事業資訊安全內部控制制度:10000 證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範部分條文修正對照表 證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範

相關法條

證券暨期貨市場各服務事業資訊作業韌性參考指引 民國111年8月10日 (歷史版次)
  1. 第1條 (目的)
  1. 依據金融監督管理委員會「金融資安行動方案」,為強化證券商、期貨商及投信投顧業者之資訊作業韌性,確保組織於核心系統遭受中斷事故,可有效執行應變措施、將損害降低至可承受範圍,擬定資訊作業韌性參考指引。
證券投資信託事業證券投資顧問事業網路安全防護自律規範 民國112年1月10日 (歷史版次)
  1. 第1條 (目的)
  1. 依據金融監督管理委員會「金融資安行動方案」為強化投信投顧業者網路安全,併參考證券暨期貨市場各服務事業網路安全防護參考指引,特訂定本自律規範。
  2. 外資集團在台子公司或分公司其資安管理政策由外國母公司或總公司控制與建置者,如其母公司或總公司已建置或設立相關控制措施,且有較佳之規範,則從其規範;若無,則應遵守本國的規範。
證券投資信託事業證券投資顧問事業供應鏈風險管理自律規範 民國112年1月10日 (歷史版次)
  1. 第1條 (目的)
  1. 依據金融監督管理委員會「金融資安行動方案」為強化投信投顧業者對資通系統之資訊服務供應商遴選、管理、終止與解除之風險管理,併參考證券暨期貨市場各服務事業供應鏈風險管理參考指引,特定本自律規範。
  2. 外資集團在台子公司或分公司其管理政策由外國母公司或總公司控制與建置者,如其母公司或總公司已建置或設立相關控制措施,且有較佳之規範,則從其規範;若無,則應遵守本國的規範。
證券投資信託事業證券投資顧問事業資訊作業韌性自律規範 民國112年8月30日 (現行法規)
  1. 第1條 目的
  1. 為協助投信投顧業者於核心系統遭受中斷事故時,能有效執行應變措施並將損害降低至可承受範圍,爰訂定本自律規範。
  2. 外資集團在台子公司或分公司其管理政策由外國母公司或總公司控制與建置者,如其母公司或總公司已建置或設立相關控制措施,且有較佳之規範,則從其規範;若無,則應遵守本國的規範。
證券投資信託事業證券投資顧問事業新興科技資通安全自律規範 民國113年1月10日 (歷史版次)
  1. 第1條 (規範目的)
  1. 為強化投信投顧事業管理及應用新興科技,特訂定本自律規範。
證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範 民國112年11月25日 (歷史版次)
  1. 第6條 (身分驗證管理)
  1. 一、資通系統應具備唯一識別及鑑別公司內部、外部使用者(或代表公司使用者行為之程序)之功能,禁止使用共用帳號。
  2. 二、使用者使用預設密碼登入資通系統時,應於登入後要求立即變更預設密碼後方可繼續作業。
  3. 三、資通系統不以明文傳輸身分驗證相關資訊。
  4. 四、資通系統具備帳戶鎖定機制,帳號登入進行身分驗證失敗達五次後,至少十五分鐘內不允許該帳號繼續嘗試登入。
  5. 五、屬電子式交易資通系統,使用者密碼輸入錯誤次數達一定次數者,應記錄登入失敗事件、鎖定該登入帳號;受理解除鎖定之申請時,應確實辨認身分,並留存相關紀錄後,始得解除鎖定。
  6. 六、資通系統如使用密碼進行驗證時,應採用優質密碼設定,設定密碼最長使用期限為三個月,檢核密碼最短使用期限及密碼歷程記錄為三代,如為客戶帳號者,除優質密碼設定外,其餘密碼設定可依公司自行規範辦理。
  7. 七、網際網路交易服務系統身分驗證機制應防範自動化程式之登入或密碼更換嘗試,其餘系統宜防範自動化程式之登入或密碼更換嘗試。
  8. 八、提供對外服務之核心系統密碼重設機制對使用者重新身分確認後,發送一次性及具有時效性符記(如:網站連結或一次性密碼One-time password,OTP,至使用者登記之電子信箱或手機)或其他驗證身分方式,其餘系統密碼重設後宜有驗證身分方式。
  9. 九、應遮蔽資通系統鑑別過程中之資訊。
  10. 十、資通系統如以密碼進行資通系統鑑別時,該密碼應加密或經雜湊處理後儲存。
回上方