法規資訊
法規名稱 | 中華民國期貨業商業同業公會網路安全防護自律規範 |
發佈日期 | 民國114年1月3日 |
沿革資訊 | 中華民國114年1月3日中華民國期貨業商業同業公會中期商字第1130006256號函修正第2條至第4條條文,並自即日起實施(中華民國113年12月30日金融監督管理委員會金管證期字第1130361464號函辦理) |
所有條文
-
第4條 (網路設備安全管理)
-
一、網路設備管理
-
(一)期貨業應避免使用生命週期終止(End of Service, EOS/End of Life, EOL)之網路設備,並針對EOS/EOL之網路設備擬定汰除相關計畫。
-
(二)期貨業應定期檢視官方發布之軟體、韌體、弱點修補程式之更新,將網路設備更新至最新版本或廠商建議版本。
-
(三)期貨業經由網際網路連線至內部網路進行遠距之系統維護,應落實身份認證機制。
-
(四)網路設備管理人員之管理帳號應僅限管理人員使用且不得共用帳號,管理帳號之密碼設定原則應遵循期貨業之身份驗證管理規範。
-
(五)期貨業應限制網路設備管理使用之人員、設備、IP、網段,或採用一次性密碼(One-time password, OTP)、短暫性存取(Temporary Privileged Access)等措施,並留存使用人員操作紀錄。
-
(六)期貨業所有網路設備之防護基準應依「本公會資通系統安全防護自律規範」。
-
-
二、網路設備規則管理
-
(一)網路存取規則、防火牆規則等新增、異動、刪除應審核使用者需求,經評估資通安全風險程度後進行規則變更,並保留相關紀錄備查。
-
(二)網路設備規則設立應以使用者角色最小授權及正面表列為原則。
-
(三)期貨業應至少每年檢視一次網路設備規則。
-
-
三、網路設備日誌
期貨業應留存網路設備存取日誌並至少保留三年,供留存備查。另應防止未經授權存取,並定期檢視以確保可用性。 -
四、網路設備委外
期貨業所有網路設備若委由資訊服務供應商維運或管理應依「本公會期貨業資通系統與服務供應鏈風險管理自律規範」。