法規資訊
| 法規名稱 | 證券期貨市場相關公會新興科技資通安全管控指引 EN |
| 發佈日期 | 民國113年12月27日 |
| 沿革資訊 | 中華民國113年12月27日臺灣證券交易所股份有限公司臺證輔字第1130504647號函修正全文54條(中華民國113年12月17日金融監督管理委員會證券期貨局證期(資)字第1130361536號函辦理) |
所有條文
-
第8條 (雲端服務資安控管)
-
組織使用雲端服務應依風險基礎方法採取適當之控管措施,如:僅開放必要連接埠(Port)、通訊協定(Protocols)與服務(Service)、病毒防護、安全漏洞評估機制、檔案完整性監控等。
-
一、加密與金鑰管理
-
(一)傳輸及儲存客戶資料至雲端服務提供者時,應採行客戶資料加密或代碼化等有效保護措施,並訂定妥適之加密金鑰管理機制。
-
-
二、身分識別與存取控制
-
(一)雲端服務存取權限管理應採權限最小化原則,輔以適當安全控管措施,如:透過多因子認證、稽核軌跡、IP地址過濾、防火牆,以及傳輸層安全性(TLS)封裝的通訊管理。
-
(二)若透過網際網路直接存取雲端服務者,應強化身分、設備與來源IP識別等存取控制措施。
-
(三)應針對特權帳號實施多因子身份驗證機制,如:具備調整雲端服務組態設定權限之帳號。
-
-
三、稽核軌跡與監控
-
(一)應留存雲端服務平台操作之稽核軌跡與監控資料。
-
(二)應有威脅與弱點檢測及管理流程,持續關注雲端服務相關威脅與弱點,定期評估相關威脅與弱點對雲端服務使用之影響及網路安全防禦措施之有效性。
-
(三)宜針對雲端安全事件場景制定監控與分析之關聯規則,以即早發現潛在資安風險。
-
(四)宜考量集中管理稽核軌跡與監控資料。
-
(五)應避免雲端平台之稽核軌跡內容含有未加密之營運或客戶重要資料。
-
(六)如組織之雲端服務係採與其地端資訊環境介接之雲地混合模式,宜考量雲地間邊際防護,並建立日誌與監控分析相關機制。
-
-
四、基礎架構安全
-
(一)應確保採用可信任來源之映像檔,管理映像檔之完整性,並保留映像檔異動紀錄。
-
(二)應確保採取適當措施管理使用中的虛擬機和容器。
-
(三)應確保雲端服務提供者依據需求,提供虛擬機隔離性(isolation)說明,隔離性失效時應立即通知組織。
-
(四)應實施資料外洩、跨服務攻擊防護及持續性威脅防護等進階威脅防禦策略,以保護對雲端環境的存取。
-
-
五、組態安全
應實施雲端服務組態管理機制,妥善管制對雲端服務組態之變更紀錄。 -
六、資料安全
-
(一)涉及組織資料(含客戶資料)之登錄、處理、輸出或儲存時,組織應確認雲端服務提供者辦理設備維護更換時(如硬碟更換),具備相關機制可確保資料遷移過程安全性及完整性,且須對汰換設備內之組織資料進行全數刪除或銷毀,並留存刪除或銷毀之紀錄。
-
(二)涉及個人資料跨境傳輸之雲端服務,組織應建立加密傳輸機制且應就雲端服務提供者對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反主管機關對國際傳輸之限制,並留存完整稽核紀錄。
-
(三)涉及委託雲端服務提供者處理之客戶資料及其儲存地應依下列規定辦理:
-
1、組織須保有其指定資料處理及儲存地之權力。
-
2、境外當地資料保護法規不得低於我國要求。
-
3、涉及重大性自然人客戶業務資訊系統之客戶資料儲存地以位於我國境內為原則。如位於境外,除經主管機關核准者外,客戶重要資料應在我國留存備份。
-
-
(四)宜依據雲端服務使用之目的控管雲端服務存取方式。
-
-
七、涉及重大性之雲端委外作業,組織宜評估採行以下資安控管措施:
-
(一)使用標準化的網路協定,如涉及敏感性資料之傳遞,宜使用超文字傳輸安全協定(HTTPS)、安全檔案傳輸協定(SFTP)等加密之網路協定。
-
(二)定期評估雲端服務之基礎架構安全管理機制,以確保使用雲端服務符合組織資訊安全政策等相關規範要求。
-
(三)使用自行管理之加密金鑰,以提升對金鑰的控制權。
-
(四)加密工具及金鑰儲存於隔離且安全的網路環境,並限制存取來源。
-
(五)避免使用營運資料執行雲端服務測試與驗證。
-
(六)監控與定期查核雲端資料使用情形,預防客戶隱私及營運機密外洩。
-
-