法規資訊
| 法規名稱 | 中華民國證券商業同業公會證券商資通系統與服務供應鏈風險管理自律規範 |
| 發佈日期 | 民國113年10月7日 |
| 沿革資訊 | 中華民國113年10月7日中華民國證券商業同業公會中證商業一字第1130005103號函修正名稱及第2條、第7條條文,自即日起實施(原名稱:中華民國證券商業同業公會供應鏈風險管理自律規範)(中華民國113年10月1日金融監督管理委員會金管證券字第1130355627號函辦理) |
所有條文
-
第3條 (資訊服務供應商遴選原則)
-
一、證券商應評估資訊服務供應商之集中度,包括評估資訊服務供應商作業能力,採取適當風險管控措施,確保作業委外處理之品質,並應注意作業委託資訊服務供應商之適度分散以控管作業風險。資訊服務供應商選定之評估結果送交資訊部門主管核可,並依公司分層負責核決權限處理。
-
二、證券商評選資訊服務供應商之原則如下,並應留存相關文件紀錄:
-
(一)資訊服務供應商之維運能力(如財務能力、專業能力及經驗實績等)。
-
(二)雲端運算服務供應商應具備完善之雲端運算資通安全管理措施或通過第三方驗證。
-
(三)第一類證券商之資訊服務供應商應具備完善之資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證。
-
-
三、選商過程中如存在資訊資產交換,證券商應備妥保密協議書,並於交換與採購產品或服務相關之機敏性資訊前簽署。
-
四、第一類證券商之資訊服務供應商提供之建議書應包含下列項目
-
(一)證券商採購需求產品/服務。
-
(二)資訊服務供應商應符合之資安要求(例如:證券商資安政策、本公會資通系統安全防護基準自律規範)。
-
(三)資訊服務供應商之專案管理能力(例如,具有至少一張有效期間內之專案管理相關證照或相關成功專案簡述)。
-