法規資訊
| 法規名稱 | 中華民國證券商業同業公會證券商資通系統與服務供應鏈風險管理自律規範 |
| 發佈日期 | 民國113年11月27日 |
| 沿革資訊 | 中華民國113年11月27日中華民國證券商業同業公會中證商業一字第1130006165號函修正第2條至第4條條文;增訂第3條附件,自即日起施行(中華民國113年11月22日金融監督管理委員會金管證券字第1130361930號函辦理) |
所有條文
-
第4條 (證券商與資訊服務供應商之合約)
-
一、證券商與資訊服務供應商之合約內容應依服務範圍的不同,宜包含下列各項:
-
(一)基本要求
-
1.合約期限。
-
2.服務範圍。
-
3.服務交付日期。
-
4.服務水準要求(如為一年期以上提供性質者,如:軟硬體維護合約、系統委外管理等,資訊服務供應商應依合約要求,定期提交服務水準報告)。
-
5.服務變更規範。
-
6.服務驗收之標準。
-
7.資通安全事件通報及應變處理作業程序。
-
8.對資訊服務供應商之稽核權條款。
-
9.合約轉讓或同意分包之規範。
-
10.保密義務條款。
-
11.罰則與損害賠償條款。
-
12.爭議處理程序。
-
13.違約處理條款。
-
14.合約終止規範。
-
15.合約終止後之處理。
-
16.保固。
-
17.權利及責任。
-
-
(二)證券商與資訊服務供應商之服務與產品應載明事項:
-
1.載明資訊委外服務或產品之智慧財產權及其授權範圍。
-
2.資訊服務供應商如分包予其他供應商應載明(異動亦同)。
-
3.第一類證券商應載明採購之服務與產品於規劃設計時納入服務與產品之機敏資料保護、授權與認證、安全性更新等。
-
4.第一類證券商應載明採購之服務與產品於規劃設計時納入隱私保護機制(Privacy by design)之要求。
-
-
(三)資訊服務供應商服務範圍涉及資通系統開發、維護與監控,應遵循「本公會資通系統安全防護基準自律規範」。
-
(四)服務範圍涉及使用雲端運算服務,資訊服務供應商應遵循「本公會新興科技資通安全自律規範」。
-
(五)資訊服務供應商之資安應符合下列要求:
-
1.資訊服務供應商應遵循之資安要求事項、個人資料保護法與其他相關法規遵循與保密義務。
-
2.資訊服務供應商應提供安全性檢測證明(如行動應用程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統或程式無惡意程式及後門程式,其放置於網際網路之程式應通過程式碼掃描或黑箱測試。
-
3.資訊服務供應商揭露第三方程式元件之來源與授權證明。
-
4.資訊服務供應商處理證券商委託服務各項範圍資訊,能於證券商要求期限內提供。
-
5.資通(訊)服務供應商於處理證券商資料應有明確區隔,並應予以加密保護。
-
6.證券商應載明要求資訊服務供應商於知悉存有任何潛在問題和危害(如:於其他客戶端發生重大系統異常),且其可能影響受託業務時,立即通知證券商並採取相關補救措施。
-
7.證券商電子交易之即時報價,如採用不同資訊服務供應商互為備援外,與資訊服務供應商之契約,應要求提供備援主機與備援系統相關證明文件,每年應與證券商進行一次主備援切換測試演練並保存相關演練記錄文件。
-
8.第一類證券商之資訊服務供應商應提供取得之資安及品質證照。
-
-
-
二、證券商應於簽約程序中確認資訊服務供應商保密切結事宜。
-
三、資訊服務供應商發生資安事件致證券商受到影響時,資訊服務供應商的處置程序及責任。