法規資訊

法規名稱 證券商辦理資通系統資通安全評估作業程序
發佈日期 民國114年7月3日
沿革資訊 中華民國114年7月3日臺灣證券交易所股份有限公司臺證輔字第1140011618號函訂定全文8點,自即日起實施(中華民國114年6月23日金融監督管理委員會金管證券字第1140346201號函同意照辦)

所有條文

  1. 評估單位資格與義務
    1. 一、評估單位可委由外部專業機構或由公司內部單位進行。如為外部專業機構,該機構應與資安評估標的無利害關係,若為內部單位,應獨立於原電腦系統開發與維護等相關單位。
    2. 二、辦理第一類資通系統資通安全評估作業之評估單位應具備下列各款資格條件;辦理第二類及第三類資通系統資通安全評估作業者,依評估作業項目需要,具備下列相關資格條件之一:
      1. 1.具備資通安全管理知識,如持有國際資通安全經理人(Certified Information Security Manager, CISM)證書或通過國際資安管理系統主導稽核員(Information Security Management System Lead Auditor, ISO 27001 LA)考試合格等。
      2. 2.具備資通安全技術能力,如國際資通安全系統專家(Certified Information Systems Security Professional, CISSP)證書等。
      3. 3.具備模擬駭客攻擊能力,如滲透專家(Certified Ethical Hacking, CEH)證書或事件處理專家(Certified Incident Handler, CIH)證書等。
      4. 4.熟悉金融領域載具應用、系統開發或稽核經驗。
    3. 三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料等與本案相關之全部資料,評估單位應簽立保密切結書並提供適當保護措施,以防止資料外洩。
    4. 四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情事。
回上方