法規資訊

法規名稱 證券商辦理資通系統資通安全評估作業程序
發佈日期 民國114年7月3日
沿革資訊 中華民國114年7月3日臺灣證券交易所股份有限公司臺證輔字第1140011618號函訂定全文8點,自即日起實施(中華民國114年6月23日金融監督管理委員會金管證券字第1140346201號函同意照辦)

所有條文

  1. 資通安全評估作業
    1. 一、資訊架構檢視
      1. 1.檢視網路架構之配置、資訊設備安全管理規則之妥適性等,以評估可能之風險,採取必要因應措施。
      2. 2.檢視單點故障最大衝擊與風險承擔能力。
      3. 3.檢視對於持續營運所採取相關措施之妥適性。
      4. 4.適時參考金融資安資訊分享與分析中心(F-ISAC)所發布之資安威脅情資及資安防護建議,並採取相關措施。
      5. 5.檢視伺服器應依資通系統分類或系統功能或服務特性進行網段區隔。
      6. 6.檢視邊界防護設備(包含閘道器、路由器、防火牆、防護裝置等設備)與外部網路連接之網點,是否設立防火牆控管內外部網路資料傳輸及資源存取,並限制非必要之連線對象與服務。
    2. 二、網路活動檢視
      1. 1.檢視網路設備、伺服器及物聯網設備之存取紀錄及帳號權限,識別異常紀錄與確認警示機制。
      2. 2.檢視資安設備(如:防火牆、入侵偵測或防禦、惡意軟體防護、資料外洩防護、垃圾郵件過濾、網路釣魚偵測、網頁防護等)之監控紀錄,識別異常紀錄與確認警示機制。
      3. 3.檢視網路是否存在異常連線或異常網域名稱解析伺服器(Domain Name System Server, DNS Server)查詢或監控進出之通訊流量,並比對是否為已知惡意IP、中繼站或有符合網路惡意行為的特徵。
      4. 4.檢視是否訂定偵測偽冒網站之處理措施。
    3. 三、網路設備、伺服器、終端設備及物聯網設備等設備檢測
      1. 1.辦理網路設備、伺服器、終端設備及物聯網設備等設備的弱點掃描與修補作業。
      2. 2.檢測終端機及伺服器是否存在惡意程式。
      3. 3.檢測系統帳號登入密碼複雜度;檢視外部連接密碼(如檔案傳輸(File Transfer Protocol, FTP)連線、資料庫連線等)之儲存保護機制與存取控制。
      4. 4.辦理物聯網設備檢測作業時,依據「建立證券商資通安全檢查機制」辦理。
    4. 四、可由外部Internet直接連線之網路設備、伺服器及物聯網等設備,應辦理下列事項:
      1. 1.進行滲透測試。
      2. 2.進行伺服器應用系統之程式原始碼掃描或黑箱測試。
      3. 3.檢視伺服器目錄及網頁之存取權限
      4. 4.檢視是否建立對外網站網頁防竄改機制。
      5. 5.檢視系統是否有異常的授權連線、CPU資源異常耗用及異常之資料庫存取行為等情況。
    5. 五、客戶端應用程式檢測
      證券商與客戶端之應用程式應採加密連線,並針對證券商交付給客戶之應用程式進行下列檢測:
      1. 1.提供https、SFTP者應進行弱點掃描。
      2. 2.程式原始碼掃描或滲透測試。
      3. 3.敏感性資料保護檢測(如記憶體、儲存媒體)。
      4. 4.金鑰保護檢測。
      5. 5.採最小權限原則,僅允許使用者依任務及業務功能所需完成指派之授權存取控管。
    6. 六、安全設定檢視
      1. 1.檢視伺服器(如網域服務Active Directory)有關「密碼設定原則」與「帳號鎖定原則」設定。
      2. 2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠,連線設定是否有安全性弱點。
      3. 3.檢視系統存取限制(如存取控制清單Access Control List)及特權帳號管理。
      4. 4.檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更新狀態。
      5. 5.檢視金鑰之儲存保護機制與存取控制等安全措施。
      6. 6.檢視從外部網路連線至公司內部網路時需確認使用者身分。
    7. 七、資通系統可靠性與安全性侵害之對策
      1. 1.公司應就提升資通系統可靠性研擬相關對策,其內容包括:
        1. (1)提升硬體設備之可靠性:包含預防硬體設備故障與備用硬體設備設置之對策。
        2. (2)提升軟體系統之可靠性:包含提升軟體開發品質與提升軟體維護品質對策。
        3. (3)提升營運可靠性之對策。
        4. (4)故障之早期發現與早期復原對策。
        5. (5)災變對策。
        6. (6)備份之系統備份媒體,須擬定驗證計畫,並驗證備份媒體之可靠性及資訊之完整性。
      2. 2.公司應就資通安全性侵害,研擬相關對策,其內容包括:
        1. (1)資料保護:包含防止洩漏、防止破壞篡改與相對應檢測之對策。
        2. (2)防止非法使用:包含存取權限確認、應用範圍限制、防止非法偽造、限制外部網路存取及偵測與因應之對策。
        3. (3)防止非法程式:包含防禦、偵測與復原對策。
      3. 3.檢視資通系統是否符合「建立證券商資通安全檢查機制」及主管機關相關函文之要求。
      4. 4.檢視資通系統之SWIFT系統是否符合SWIFT公布之Customer Security Programme(CSP)規範與臺灣證券交易所及中華民國證券商業同業公會相關函文之要求,若與本辦法資通安全評估作業衝突,依SWIFT公布為主。
  2. 第一類、第二類及第三類資通系統應依前項評估項目全部納入資通安全評估作業以確保評估作業之有效性。
回上方