法規資訊

1. 第1條

1. 為協助上市、上櫃公司(以下簡稱公司)強化資通安全防護及管理機制，並符合「公開發行公司建立內部控制制度處理準則」第九條使用電腦化資訊系統處理者相關控制作業，特訂定本資通安全管控指引。

1. 第23條

1. 建立資通系統及相關設備適當之監控措施，包含身分驗證存取紀錄(如：失敗登入、非作業時間登入、多位使用者使用同一來源IP登入成功等)、存取資源紀錄、重要行為、重要資料異動、偵測攻擊與未授權之連線、功能錯誤及管理者行為等，並針對日誌建立適當之保護機制。

1. 第24條

1. 建立遠端存取資通系統之管控機制，如：建立安全的遠距連線機制(如：VPN、VDI)、採多重身分驗證、採加密連線、採最小授權原則、留存完整使用者操作稽核軌跡、監控與警示異常操作行為、執行安全性漏洞更新等安控措施，並教育居家辦公者應對網路風險保持警覺等。

1. 第25條

1. 針對提供公眾活動或使用之場地，宜強化告示牌、電子看板等傳播影像或聲音功能設備之管理。

1. 第26條

1. 針對電腦機房及重要區域之安全控制、人員進出管控、環境維護(如溫溼度控制)等項目建立適當之管理措施。

1. 第27條

1. 留意安全漏洞通告，即時修補高風險漏洞，定期評估辦理設備、系統元件、資料庫系統及軟體安全性漏洞修補。

1. 第28條

1. 訂定資通設備回收再使用及汰除之安全控制作業程序，以確保機敏性資料確實刪除。

1. 第29條

1. 訂定人員裝置使用管理規範，如：軟體安裝、電子郵件、即時通訊軟體、個人行動裝置及可攜式媒體等管控使用規則。

1. 第30條

1. 每年定期辦理電子郵件社交工程演練，並對誤開啟信件或連結之人員進行教育訓練，並留存相關紀錄。

1. 第31條

1. 訂定資訊作業委外安全管理程序，包含委外選商、監督管理(如：對供應商與合作夥伴進行稽核)及委外關係終止之相關規定，確保委外廠商執行委外作業時，具備完善之資通安全管理措施。

1. 第32條

1. 訂定委外廠商之資通安全責任及保密規定，於採購文件中載明服務水準協議(SLA)、資安要求及對委外廠商資安稽核權。

1. 第33條

1. 公司於委外關係終止或解除時，確認委外廠商返還、移交、刪除或銷毀履行契約而持有之資料。

1. 第34條

1. 訂定資安事件應變處置及通報作業程序，包含判定事件影響及損害評估、內外部通報流程、通知其他受影響機關之方式、通報窗口及聯繫方式，得參考臺灣電腦網路危機處理暨協調中心(TWCERT／CC)「企業資安事件應變處理指南」。

1. 第35條

1. 加入資安情資分享組織，取得資安預警情資、資安威脅與弱點資訊，如：所屬產業資安資訊分享與分析中心(ISAC)、臺灣電腦網路危機處理暨協調中心(TWCERT／CC)。

1. 第36條

1. 發生符合「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」或「財團法人中華民國證券櫃檯買賣中心對有價證券上櫃公司重大訊息之查證暨公開處理程序」規範之重大資安事件，應依相關規定辦理。

1. 第37條

1. 資通安全推動組織定期向董事會或管理階層報告資通安全執行情形，確保運作之適切性及有效性。

1. 第38條

1. 定期辦理內部及委外廠商之資安稽核，並就發現事項擬訂改善措施，且定期追蹤改善情形。

1. 第39條

1. 應於年報敘明資安政策、具體管理方案、投入資安管理之資源、重大資安事件之損失與可能影響及因應措施等資訊。

1. 第40條

1. 評估導入ISO 27001、CNS 27001等資訊安全管理系統標準，或其他具有同等或以上效果之系統或標準，取得第三方驗證，並持續維持其驗證有效性，亦或評估通過美國註冊會計師協會(AICPA)發展之SOC 2服務組織之Type 2合規標準認證，以維持公司穩健之資訊安全。

1. 第41條

1. 除法令、臺灣證券交易所股份有限公司及財團法人中華民國證券櫃檯買賣中心相關章則另有規定外，本指引條文，上市、上櫃公司可衡諸產業特性、規模大小及資安風險適度採行之。