法規資訊
| 法規名稱 | 中華民國期貨業商業同業公會「期貨業資通系統與服務供應鏈風險管理自律規範」 |
| 發佈日期 | 民國114年3月14日 |
| 沿革資訊 | 中華民國114年3月14日中華民國期貨業商業同業公會中期商字第1140001132號函修正第2條至第5條、第7條條文,自即日起施行(中華民國114年3月12日金融監督管理委員會金管證期字第1140334351號函辦理) |
所有條文
-
第3條 (資訊服務供應商遴選原則)
-
一、期貨業應針對資訊委外業務項目之資通安全風險與委外作業可行性,及資訊服務供應商作業能力及集中度,由相關資訊單位共同執行風險評估,評估結果應提報適當管理層級並取得同意,內容應包含:
-
(一)分析資訊委外業務項目受影響之範圍(如:可能受影響之資訊資產、流程及作業環境)。
-
(二)將資訊委外業務項目之資通安全要求列入成本估算(如:安全性檢測行動應用程式資安檢測、源碼檢測、弱點掃描等)。
-
(三)資訊服務供應商對資訊委外業務項目之資通安全管控機制(如:資料管理、權限控管、設備管理等)。
-
(四)資訊服務供應商之服務集中度(包括單一資訊服務供應商對組織或單一資訊服務供應商於市場整體之集中度)。
-
(五)資訊服務供應商與其提供產品或服務位置。
-
(六)資訊委外業務項目屬核心系統或跨機構資訊服務,應分析資訊服務供應商配合組織營運持續與資通安全事件處理之目標與要求。
-
-
二、期貨業應依前項風險評估結果採取適當風險管控措施,確保業務項目委外處理之品質,並應注意委託資訊服務供應商之適度分散以控管作業風險,相關事項請參閱附件:「期貨業資訊委外之資安應注意事項檢查表」進行檢核。
-
三、資訊委外業務項目屬核心系統,組織與資訊服務供應商應有資訊安全人員參與,以協助管理資訊安全風險。
-
四、期貨業評選資訊服務供應商之原則如下,並應留存相關文件紀錄:
-
(一)資訊服務供應商之維運能力(如財務能力、專業能力及經驗實績等)。
-
(二)雲端服務供應商應具備完善之雲端資通安全管理措施或通過第三方驗證。
-
(三)第一類期貨商之資訊服務供應商應具備完善之資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證。
-
-
五、選商過程中如存在資訊資產交換,期貨業應備妥保密協議書,並於交換與採購產品或服務相關之機敏性資訊前簽署。
-
六、第一類期貨商之資訊服務供應商提供之建議書應包含下列項目:
-
(一)期貨商採購需求產品/服務。
-
(二)資訊服務供應商應符合期貨商資安要求與服務水準要求(例如:期貨商資安政策、本公會資通系統安全防護基準自律規範)。
-
(三)資訊服務供應商之專案管理能力(例如,具有至少一張有效期間內之專案管理相關證照或相關成功專案簡述)。
-