法規資訊

法規名稱	建立證券商資通安全檢查機制 (非現行法規) EN
發佈日期	民國107年11月30日
沿革資訊	中華民國107年11月30日臺灣證券交易所股份有限公司臺證輔字第1070023 227號函修正發布第 2點、第3點；增訂第12點，原地12點順移至第13點，並自即日起實施(中華民國107年11月26日金融監督管理委員會金管證券字第1070339223號函同意照辦)

異動條文

資訊安全政策(CC-12000，年度查核)(1)公司應依據相關法令規定及公司業務需求，訂定資訊安全政策、資訊作業之安全水準。
1. (2)制訂資訊安全政策，應包括下列事項：
  1. a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
  2. b.資訊安全政策之解釋及說明，資訊安全之原則、標準以及員工應遵守之相關規定。
  3. c.推行資訊安全工作之組織、權責及分工。
  4. d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明。
2. (3)公司所訂定之資訊安全政策，應經管理階層核准，並應正式發布要求所有員工共同遵守，並轉知與公司連線作業之公私機關(構)、提供資訊服務之廠商共同遵行。
3. (4)公司訂定之資訊安全政策，應至少每年評估一次，以反映法令規章、技術及業務等最新發展現況，確保資訊安全實務作業之有效性，前開之評估工作應留存相關紀錄。
4. (5)資訊安全政策之評估，應以獨立及客觀之方式進行，並由內部或委託外部專業機構辦理。
5. (6)公司每年應將前一年度資訊安全整體執行情形，由負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行情形聲明書，並提報董事會通過，於會計年度終了後三個月內將該聲明書內容揭露於公開資訊觀測站。

安全組織(CC-13000，年度查核)
1. (1)公司應依規定配置適當人力資源及設備負責資訊安全制度之規劃、監控及執行資訊安全管理作業，且相關人員之工作職掌與兼辦業務情形應符合規定。
2. (2)公司應指定副總經理或高層主管人員，負責資訊安全管理事項之協調及推動，並得視需要，成立跨部門之「資訊安全推行小組」，統籌資訊安全政策、計畫、資源調度等事項之協調、研議。
3. (3)公司應視資訊安全管理需要，指定專人或專責單位負責規劃與執行資訊安全工作，且每年應定期參加十五小時以上資訊安全專業課程訓練或職能訓練並通過評量。其他使用資訊系統之從業人員，每年應至少接受三小時以上資訊安全宣導課程。
4. (4)公司資訊安全人力、能力及經驗，如有不足之處，得委請外界的學者專家或民間專業組織及團體，提供資訊安全顧問諮詢服務。
5. (5)資訊處理部門與業務單位之權責，應明確劃分。

新興科技應用(CC-21100，年度查核)(1)雲端服務：
1. (2)社群媒體：
  1. a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法，應包含以下內容：
    
    (a)界定可於公務用社群媒體上分享之業務相關資料。
    
    (b)私人與公務用社群媒體之區別與應注意事項。
  2. b.應針對開放員工使用社群媒體評估其風險程度，包含：資料外洩、社交工程、惡意程式攻擊等，並採行適當的安全控管措施。
  3. c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法，並包含以下內容：
    
    (a)應事先了解所經營之社群媒體隱私政策，並定期(每年一次)檢視其隱私政策之異動及評估其風險。
    
    (b)於官方網站提供連結供使用者連至公司外之社群媒體時，應出現提示視窗告知使用者該連結非公司本身之網站。
    
    (c)對經營之社群媒體應標示證券商名稱、聯絡方式，以區別為官方經營之社群媒體。
    
    (d)應建立帳號權限管理機制，對發布內容進行控管與監視，並針對不適當言論及異常事件，進行通報或處置。
2. (3)行動裝置：
  1. a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法，須包含以下項目：
    
    (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核應訂有相關規範。
    
    (b)人員異動時，行動裝置應進行重新配置或清除配置程序，以確保行動裝置環境安全性。
    
    (c)行動裝置應避免安裝非官方發佈之行動應用程式，或僅安裝由公司列出通過檢測可安裝之行動應用程式。
  2. b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法，須包含以下項目：
    
    (a)公司應要求員工自攜行動裝置使用用途。
    
    (b)公司應與持有人簽署員工自攜行動裝置使用協議，含：使用限制及雙方責任等。
    
    (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際網路(Internet)之行為。
  3. c.公司應訂定行動應用程式之發佈規範與管理辦法，須包含以下內容：
    
    (a)應用程式發佈前，應確認程式碼或程序庫通過內容安全或驗證程序，如：程式原始碼檢測或掃描，確認未含惡意程式碼與有敏感性資料。
    
    (b)行動應用程式宜完整定義特殊符號篩選機制。
    
    (c)無法取得行動應用程式原始碼時，應要求行動應用程式提供者符合前項安全事項。
  4. d.公司應訂定行動應用程式安全控管規範與管理辦法，須包含以下內容：
    
    (a)應針對交易或帳務等敏感性資料設計行動應用程式存取驗證機制，並僅供經授權之行動應用程式使用該敏感性資料。
    
    (b)透過行動應用程式發送簡訊或其他訊息通知方式告知使用者敏感性資料時，應進行適當去識別化。
    
    (c)透過行動應用程式傳送帳號、密碼及其他敏感性資料時，應以憑證驗證或加密機制確保傳送安全。
    
    (d)透過行動應用程式儲存密碼、憑證、交易或帳務等敏感性資料時，應對儲存之資料進行雜湊(Hash)或加密控管保護。
    
    (e)透過行動應用程式處理交易或金流作業時，宜留存存取日誌，且存取日誌應予以保護以防止未經授權存取。
3. (4)物聯網：應訂定物聯網相關資訊安全規範與管理辦法，須包含下列項目：
  1. a.應建立物聯網設備管理清冊並至少每年更新一次，且應變更前開設備之初始密碼。
  2. b.物聯網設備應具備安全性更新機制且定期(每年一次)更新，如存在已知弱點無法更新時，應建立補償性管控機制。
  3. c.應關閉物聯網設備不必要之網路連線及服務，避免使用對外公開的網際網路位置。
  4. d.如與物聯網設備供應商簽定採購合約時，其內容宜包含資訊安全相關協議，明確約定相關責任(如：服務承諾、安全性更新年限、主動通報設備已知資安漏洞並提出相關應變處置方案)，確保設備不存在已知安全性漏洞。
4. a.公司為雲端服務使用者時，應訂定雲端運算服務運作安全規範內含雲端提供者之遴選機制、查核措施、備援機制、服務水準(含資訊安全防護)與復原時間要求等，如有不符需求之處，需有其它補償性措施。
5. b.公司為雲端服務提供者時，應訂定雲端運算服務安全控管措施，應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。如涉及敏感性資料之傳遞，應使用超文字傳輸安全協定 (HTTPS)、安全檔案傳輸協定(SFTP)等加密之網路協定。

其他(CC-22000，半年查核)
資訊提供作業(CC-22010)
1. a.各種重要法令規章及通知應立即張貼於公佈欄。
2. b.上市公司之營運資料、公開說明書應陳列於證券投資資料櫃供客戶閱覽。
3. c.營業廳內應裝置「公開資訊觀測站」，供客戶自行操作使用。
4. d.資訊閱覽室應未限定對象並且無收費行為。
5. e.資訊閱覽室不得裝設專用競價用終端機。
6. f.不得於資訊閱覽室從事與客戶簽定開戶契約、接受買賣有價證券之委託交割及其他類似證券商業務行為。
7. g.於所設網站上提供股市即時交易資訊，應經由與證交所簽約之資訊公司提供。
8. h.應定期檢查網站內對外提供之資訊，對具機密性、敏感性之資訊內容，應立即移除；並應遵守證券商推介客戶買賣有價證券作業辦法規定，且不得以公司名義將屬於證券投資顧問事業範圍之資訊代為公開。
9. i.證券商若於網站平台上進行推介，應設有密碼以控管得閱覽個股研究報告之客戶；且客戶應與證券商簽訂推介契約(國內機構投資人及外國機構投資人得免簽)。