法規資訊
| 法規名稱 | 證券投資信託事業證券投資顧問事業資通系統與服務供應鏈風險管理自律規範 |
| 發佈日期 | 民國114年2月8日 |
| 沿革資訊 | 中華民國114年2月8日中華民國證券投資信託暨顧問商業同業公會中信顧字第1140050616號函修正名稱及第2條至第4條、第7條條文;增訂第3條附件(原名稱:證券投資信託事業證券投資顧問事業供應鏈風險管理自律規範)(中華民國114年2月8日依金融監督管理委員會金管證投字第1130153183號函同意備查) |
所有條文
-
第4條 (公司與資訊服務供應商之合約)
-
一、公司與資訊服務供應商之合約內容應依服務範圍的不同,宜包含下列各項:
-
(一)基本要求
-
1.合約期限。
-
2.服務範圍。
-
3.服務交付日期。
-
4.服務水準要求(如為一年期以上提供性質者,如:軟硬體維護合約、系統委外管理等,資訊服務供應商應依合約要求,定期提交服務水準報告)。
-
5.服務變更規範。
-
6.服務驗收之標準。
-
7.資通安全事件通報及應變處理作業程序。
-
8.對資訊服務供應商之稽核權條款。
-
9.合約轉讓或同意分包之規範。
-
10.保密義務條款。
-
11.罰則與損害賠償條款。
-
12.爭議處理程序。
-
13.違約處理條款。
-
14.合約終止規範。
-
15.合約終止後之處理。
-
16.保固。
-
17.權利及責任。
-
-
(二)公司與資訊服務供應商之服務與產品應載明事項:
-
1.載明資訊委外服務或產品之智慧財產權及其授權範圍。
-
2.資訊服務供應商如分包予其他供應商應載明(異動亦同)。
-
3.第一類投信投顧業者應載明採購之服務與產品於規劃設計時納入服務與產品之機敏資料保護、授權與認證、安全性更新等。
-
4.第一類投信投顧業者應載明採購之服務與產品於規劃設計時納入隱私保護機制(Privacy by design)之要求。
-
-
(三)資訊服務供應商服務範圍涉及資通系統開發、維護與監控,應遵循「證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範」。
-
(四)服務範圍涉及使用雲端運算服務,資訊服務供應商應遵循「證券投資信託事業證券投資顧問事業新興科技資通安全自律規範」。
-
(五)資訊服務供應商之資安應符合下列要求:
-
1.資訊服務供應商應遵循之資安要求事項、個人資料保護法與其他相關法規遵循與保密義務。
-
2.資訊服務供應商應於系統交付時提供安全性檢測證明(如行動應用程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統或程式無惡意程式及後門程式,其放置於網際網路之程式應通過程式碼掃描或黑箱測試。
-
3.資訊服務供應商揭露第三方程式元件之來源與授權證明。
-
4.資訊服務供應商處理公司委託服務各項範圍資訊,能於公司要求期限內提供。
-
5.資通(訊)服務供應商於處理公司資料應有明確區隔,並應予以加密保護。
-
6.公司應載明要求資訊服務供應商於知悉存有任何潛在問題和危害(如:於其他客戶端發生重大系統異常),且其可能影響受託業務時,應立即通知公司並採取相關補救措施。
-
7.第一類投信投顧業者之資訊服務供應商應提供取得之資安及品質證照。
-
-
-
二、公司應於簽約程序中確認資訊服務供應商保密切結事宜。
-
三、資訊服務供應商發生資安事件致公司受到影響時,資訊服務供應商的處置程序及責任。