法規資訊

法規名稱 建立期貨商資通安全檢查機制 (非現行法規) EN
發佈日期 民國111年11月23日
沿革資訊 中華民國111年11月23日臺灣期貨交易所股份有限公司台期輔字第1110003869號函修正發布第12點,並自即日起實施(中華民國111年11月17日金融監督管理委員會金管證期字第1110357403號函辦理)

異動條文

  1. 7
  1. 通訊與作業管理
    1. (1)網路安全管理(適用提供網際網路下單之期貨商,另a、b、e項適用於全體期貨商)
      1. a.網路系統安全評估:
        1. (a)應定期評估自身網路系統安全(例如:作業系統、網站伺服器、瀏覽器、防火牆及防毒版本等),並留存相關紀錄。
        2. (b)定期或適時修補網路運作環境及作業系統之安全漏洞(含伺服器、攜帶型、個人端及營業處所內供投資人共用之電腦等),並留存相關文件。
        3. (c)有關電腦網路安全(如資訊安全政策宣導、防範網路駭客入侵事件、電腦防毒等)之事項應隨時對內部公告。
        4. (d)各電腦主機、重要軟硬體設備應有專人負責。
        5. (e)應定期(至少每半年乙次)辦理資訊系統弱點掃描作業,針對所辨識出之潛在系統弱點,應評估其相關風險或安裝修補程式,並留存紀錄。
        6. (f)網路應依用途區分為DMZ、營運環境、測試環境及其他環境,並有適當區隔機制(如防火牆、虛擬區域網路、實體隔離等)。
        7. (g)個人資料及機敏資料應存放於安全的網路區域,不得存放於網際網路等區域。
        8. (h)系統應僅開啟必要之服務及程式,未使用之服務功能應關閉。
        9. (i)應建立遠端連線管理辦法,對使用外部網路遠端連線至公司內部作業系統維護作業進行控管(如連線IP位址、安全網路連線及定期權限審查等),留存相關維護紀錄並由權責主管定期覆核。
        10. (j)應防止未經授權設備使用內部網路。
      2. b.防火牆之安全管理:
        1. (a)應建立防火牆。
        2. (b)防火牆應有專人管理。
        3. (c)防火牆進出紀錄及其備份應至少保存三年。
        4. (d)重要網站及伺服器系統應以防火牆與外部網際網路隔離。
        5. (e)防火牆系統之設定應經權責主管之核准。
        6. (f)應每年定期檢視並維護防火牆存取控管設定,並留存相關檢視紀錄。
        7. (g)公司交易相關網路直接連線之設備不得使用危害國家資通安全產品。
      3. c.網路傳輸及連線安全管理:
        1. (a)網路下單畫面應採加密方式(例如:SSL)處理。
        2. (b)公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號嘗試登入紀錄等進行監控及分析,發現有帳號登入異常情事(如密碼輸入錯誤達三次、一定時間內大量帳號登入失敗、帳戶申請或更新憑證下載異常),應即時了解異常原因,並留存相關紀錄。
        3. (c)公司提供網路下單服務,應於網路下單登入時採多因子認證方式(例如:下單憑證、綁定裝置、OTP、生物辨識等機制,以確保為客戶本人登入。
      4. d.CA認證與憑證管理:
        1. (a)網路下單期貨商應訂定憑證交付程序,避免非本人取得憑證。客戶申請或更新憑證下載,必須採用多因子(如:下單憑證、綁定裝置、OTP、生物辨識及SIM認證等)驗證方式,且與登入帳戶時使用之因子不同,確實辨認客戶身分並留存紀錄。
        2. (b)網路下單期貨商應全面使用認證機制。
      5. e.電腦病毒及惡意軟體之防範:
        1. (a)應安裝防毒軟體,並及時更新程式及病毒碼。
        2. (b)應定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件)。
        3. (c)防毒應涵蓋個人端(含攜帶型及營業處所內供交易人共用之電腦等)及網路伺服器端電腦。
        4. (d)勿開啟來歷不明之電子郵件,對於電子郵件中帶有執行檔之附件,尤應特別小心開啟。
        5. (e)為防範電腦病毒擴散,影響電腦安全,公司應訂定電子郵件使用安全相關規定及建立郵件過濾機制。
        6. (f)應建立上網管制措施,以避免下載惡意程式。
        7. (g)應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣魚。
        8. (h)宜每年定期辦理社交工程演練,並對誤開啟信件或連結之人員進行教育訓練,並留存相關紀錄。
      6. f.網路下單系統功能檢查:
        1. (a)應定期檢查網路下單系統提供之功能,並留存紀錄。
        2. (b)應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員處理。
      7. g.網路攻擊防護機制導入及安全性檢測
        1. (a)公司應依其所屬資安分級定期對提供網際網路服務之核心系統辦理滲透測試,並依測試結果進行改善。
        2. (b)公司應依其所屬資安分級定期辦理資通安全健診(應含網路架構檢視、網路惡意活動檢視、使用者端電腦惡意活動檢視、伺服器主機惡意活動檢視、目錄伺服器設定及防火牆連線設定檢視)。
        3. (c)公司應依其所屬資安分級建立資通安全威脅偵測管理機制(應含括事件收集、異常分析、偵測攻擊並判斷攻擊行為)。
        4. (d)公司應依其所屬資安分級建立入侵偵測及防禦機制。
        5. (e)公司應依其所屬資安分級設置應用程式防火牆。
        6. (f)公司應依其所屬資安分級辦理進階持續性威脅攻擊防禦措施。
      8. h.網際網路下單服務品質相關標準:
        公司提供網際網路下單業務時,為兼顧客戶服務品質,應訂定網際網路下單服務品質相關標準,並包含下列重點如:交易之安全性、交易之穩定性及系統可用性。
      9. i.帳號登入或異常態樣通知:(112年2月28日生效)
        公司對於客戶帳號登入時宜進行通知,如有符合以下異常態樣應即通知客戶,並留存紀錄,避免非客戶本人登入情事:
        1. (a)密碼輸入錯誤或帳戶被鎖定。
        2. (b)申請或更新憑證。
        3. (c)變更基本資料。
        4. (d)異常來源或行為嘗試登入等。
        5. (e)密碼申請異動或補發時。
      10. j.異常IP登入之監控與預警:(111年10月31日生效)
        公司應依其所屬資安分級對異常及不明來源IP連線進行監控分析及留存紀錄,如有發現下列情形,應設有警示機制,並定期檢視以確認機制有效運作:
        1. (a)同一來源IP登入不同帳號達一定次數以上。
        2. (b)同一帳號在一定時間內由不同國家登入。
        3. (c)發現異常來源(如金融資安資訊分享與分析中心F-ISAC公布之黑名單或國外IP)嘗試登入。
    2. (2)電腦系統及作業安全管理
      1. a.電腦設備之管理:
        1. (a)為確定電腦設備維護內容,應與廠商訂有書面維護契約,完成維護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共同檢查。
        2. (b)因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用,應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。
      2. b.電腦作業系統環境設定及使用權限設定:
        1. (a)電腦作業系統環境設定及使用權限設定應經有關主管核示,並由系統管理人員執行。
        2. (b)電腦系統檔案異動前後皆有完善之備份處理措施。
        3. (c)應建立系統最高權限帳號管理辦法(含作業系統及應用系統),如需使用最高權限帳號時須取得權責主管同意,並留存相關紀錄。
        4. (d)應建立並落實個人電腦、伺服器及網路通訊設備之安全性組態基準(如密碼長度、更新期限等)。
        5. (e)透過網際網路使用管理帳號登入重要系統時,應採用多因子認證機制。
      3. c.電腦媒體之安全管理:
        1. (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
        2. (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內,應鎖存於防火之房間或防火且防震之防火櫃中。
        3. (c)存放備份資料之儲存媒體,應於其標籤上註明存放資料之名稱及保存期限。
        4. (d)應建立機密性及敏感性資料媒體之相關處理程序,防止資料洩露或不當使用。
        5. (e)應建立回存測試機制,以驗證備份之完整性及儲存環境的適當性。
      4. d.電腦操作管理:
        1. (a)操作人員應確實依規定操作程序執行。
        2. (b)操作日誌應詳實記載並逐日經主管核驗,操作人員不可與主管為同一人。
        3. (c)系統主控台所留存之紀錄,應經專人檢查訊息內容且定期送主管核驗。
      5. e.期貨經紀商應配備經營業務所需、且有適足容量之電腦系統。
      6. f.期貨經紀商之電腦系統應訂定定期(每年至少一次)由內部或委託外部專業機構評估電腦系統容量及安全措施之機制與程序,定期對系統容量進行壓力測試,並留存紀錄。
  1. 12
  1. 新興科技應用
    1. (1)雲端服務:
      1. a.公司為雲端服務使用者時,應訂定雲端運算服務運作安全規範,內含雲端提供者之遴選機制、查核措施、備援機制、服務水準(含資訊安全防護)與復原時間要求等,如有不符需求之虞,需有其他補償性措施。
      2. b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。如涉及敏感性資料之傳遞,應使用超文字傳輸安全協定(HTTPS)、安全檔案傳輸協定(SFTP)等加密之網路協定。
    2. (2)社群媒體:
      1. a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法,應包含以下內容:
        1. (a)界定可於公務用社群媒體上分享之業務相關資料。
        2. (b)界定私人與公務用社群媒體之區別與應注意事項。
      2. b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩、社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
      3. c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含以下內容:
        1. (a)應事先了解所經營之社群媒體隱私政策,並定期(每年一次)檢視其隱私政策之異動及評估其風險。
        2. (b)於官方網站提供連結供使用者連至公司外之社群媒體時,應出現提示視窗告知使用者該連結非公司本身之網站。
        3. (c)對經營之社群媒體應標示期貨商名稱、聯絡方式,以區別為官方經營之社群媒體。
        4. (d)應建立帳號權限管理機制,對發布內容進行控管與監視,並針對不適當言論及異常事件,進行通報或處置。
    3. (3)行動裝置:
      1. a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含以下項目:
        1. (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核應訂有相關規範。
        2. (b)人員異動時,行動裝置應進行重新配置或清除配置程序,以確保行動裝置環境安全性。
        3. (c)行動裝置應避免安裝非官方發布之行動應用程式,或僅安裝由公司列出通過檢測可安裝之行動應用程式。
      2. b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包含以下項目:
        1. (a)公司應要求員工自攜行動裝置使用用途。
        2. (b)公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限制及雙方責任等。
        3. (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際網路(Internet)之行為。
    4. (4)物聯網:
      應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
      1. a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開設備之初始密碼。
      2. b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如存在已知弱點無法更新時,應建立補償性管控機制。
      3. c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開的網際網路位置。
      4. d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全相關協議,明確約定相關責任(如:服務承諾、安全性更新年限、主動通報設備已知資安漏洞並提出相關應變處置方案),確保設備不存在已知安全性漏洞。
      5. e.公司採購物聯網設備時,宜優先採購取得資安標章之物聯網設備。
      6. f.公司應定期辦理物聯網設備使用及管理人員資安教育訓練。
    5. (5)遠距辦公:
      1. a.公司應對使用遠距辦公之設備安裝資訊安全相關軟體,控管應用程式存取權限,以降低資訊外流風險。
      2. b.公司應依業務範圍及控管權限設定居家辦公員工之系統功能權限。
      3. c.公司應依員工執行業務內容訂定連線時段限制及相關規範。
      4. d.公司應留存遠距辦公員工使用者登入系統、電腦設備操作及交易紀錄應留存軌跡。
      5. e.公司應採多因子驗證機制(員工帳號密碼、動態密碼、一次性帳密)及建立安全的遠距網路通道,降低相關帳號密碼遭假冒或竊用之風險。
      6. f.公司應阻擋惡意或未經授權之連線,並採用最小權限原則設定遠距帳號存取規則。
      7. g.公司應定時更新VPN連線和其他遠端連結系統之安控措施。
      8. h.公司應對客戶隱私、資料及紀錄之安全性建立保護措施。
      9. i.公司應加強宣導資訊安全,教育遠距辦公員工應對網路風險保持警覺等資訊安全機制。
回上方