法規資訊

一、證券商應評估資訊委外業務項目之資通安全可行性，及資訊服務供應商作業能力，採取適當風險管控措施，確保業務項目委外處理之品質，並應注意委託資訊服務供應商之適度分散以控管作業風險，相關事項請參閱附件：「證券商資訊委外之資安應注意事項檢查表」進行檢核；倘集中度過高疑慮者(包括單一資訊服務供應商對組織或單一資訊服務供應商於市場整體之集中度)，資訊服務供應商選定，應由相關資訊單位共同執行風險評估，評估結果應提報適當管理層級並取得同意。

二、證券商評選資訊服務供應商之原則如下，並應留存相關文件紀錄：

1. (一)資訊服務供應商之維運能力(如財務能力、專業能力及經驗實績等)。
2. (二)雲端運算服務供應商應具備完善之雲端運算資通安全管理措施或通過第三方驗證。
3. (三)第一類證券商之資訊服務供應商應具備完善之資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證。

三、選商過程中如存在資訊資產交換，證券商應備妥保密協議書，並於交換與採購產品或服務相關之機敏性資訊前簽署。

四、第一類證券商之資訊服務供應商提供之建議書應包含下列項目

1. (一)證券商採購需求產品/服務。
2. (二)資訊服務供應商應符合之資安要求(例如：證券商資安政策、本公會資通系統安全防護基準自律規範)。
3. (三)資訊服務供應商之專案管理能力(例如，具有至少一張有效期間內之專案管理相關證照或相關成功專案簡述)。