法規資訊

1. 第1條 (目的)

1. 為協助證券商、期貨商及投信投顧業者安全有效的管理資訊服務供應鏈風險，依據金融監督管理委員會(以下稱金管會)「金融資安行動方案」強化金融業資通系統供應商及跨機構資訊服務之風險評估及稽核等管理機制之議題，特針對資通系統之資訊服務供應商遴選、資訊服務供應商管理以及資訊服務供應商終止與解除等議題，擬定供應鏈風險管理參考指引。

1. 第2條 (適用範圍與對象)

1. 本指引適用對象包含證券商、期貨商、證券投資信託事業及證券投資顧問事業。適用對象分為以下兩類說明：
   1. 一、第一類：
      「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十六條之二條文指派資訊安全長之組織。
   2. 二、第二類：
      非屬第一類範圍之組織。
   3. 三、外資集團在台子公司或分公司，其資安管理政策由外國母公司或總公司控制與建置者，如其母公司或總公司已建置或設立相關控制措施，且有較佳之規範，則從其規範；若無，則應遵循本國法令法規規範。
   4. 四、金管會周邊相關單位提供之資訊服務與受相關主管機關監督之金融資訊交換基礎設施(如SWIFT)非屬適用範圍。
   5. 五、以下參考指引如無特別說明，皆為第一類及第二類組織應遵循之事項。

1. 第3條 (名詞定義)

1. 一、資訊委外：
   係指組織將部分或全部之資通服務由組織外之軟硬體供應與維運商、跨機構合作夥伴提供。
2. 二、資訊資產：
   係指與資訊處理相關之資產，包括硬體、軟體、資料、文件及人員等(如：伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊)。
3. 三、資通系統：
   係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
4. 四、核心業務：
   係指直接提供客戶交易或支持交易業務持續運作之必要業務。
5. 五、核心系統：
   係指直接提供客戶交易或支持交易業務持續運作之必要系統，其餘皆為非核心系統。
6. 六、資通服務：
   係指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
7. 七、雲端服務：
   透過網路技術達成共享運算資源之前提下，提供使用者具備彈性、可擴展及可自助之服務，如下列雲端服務模式：

   1. (一)基礎架構即服務(Infrastructure as a Service，簡稱IaaS)：雲端服務提供者通過網路向雲端服務使用者提供資訊科技基礎設施。
   2. (二)平台即服務(Platform as a Service，簡稱PaaS)：雲端服務提供者向雲端服務使用者提供平台工具。
   3. (三)軟體即服務(Software as a Service，簡稱SaaS)：雲端服務提供者利用網際網路向雲端服務使用者提供應用程式服務。
8. 八、營業秘密：係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊，而符合下列要件者：

   1. (一)非一般涉及該類資訊之人所知者。
   2. (二)因其秘密性而具有實際或潛在之經濟價值者。
   3. (三)所有人已採取合理之保密措施者。
9. 九、存取：
   係指存取資訊資產的各種方式，包含取得、使用、保管、查詢、修改、調整、銷毀等。
10. 十、專案負責人：
    係指專案經理或該項業務權責部門主管或其指派之人員。
11. 十一、資通安全機制(Security by design)：
    係指服務與產品規劃設計時即融入資通安全的概念，於開發流程中的設計階段，列出安全需求、辨識安全風險及套用控制措施，以作為後續安全功能驗證的基礎，落實安全的軟體生命週期。
12. 十二、隱私保護機制(Privacy by design)：
    係指服務與產品規劃設計時即融入隱私保護機制的概念，於開發流程中的設計階段，列出隱私保護需求、辨識相關風險及套用控制措施，以作為後續安全功能驗證的基礎。
13. 十三、資通安全事件：
    係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅。

1. 第4條 (資訊服務供應商評選)

1. 一、組織應針對資訊委外業務項目之資通安全風險與委外作業可行性，及資訊服務供應商作業能力執行風險評估，評估結果應提報適當管理層級並取得同意，內容應包含：

   1. (一)分析資訊委外業務項目受影響之範圍(如：可能受影響之資訊資產、流程及作業環境)。
   2. (二)將資訊委外業務項目之資通安全要求列入成本估算(如：安全性檢測行動應用程式資安檢測、源碼檢測、弱點掃描等)。
   3. (三)資訊服務供應商對資訊委外業務項目之資通安全管控機制(如：資料管理、權限控管、設備管理等)。
   4. (四)資訊服務供應商之服務集中度(包括單一資訊服務供應商對組織或單一資訊服務供應商於市場整體之集中度)。
   5. (五)資訊服務供應商與其提供產品或服務位置。
   6. (六)資訊委外業務項目屬核心系統或跨機構資訊服務，應分析資訊服務供應商配合組織營運持續與資通安全事件處理之目標與要求。
2. 二、組織應依前項風險評估結果採取適當風險管控措施，確保業務項目委外處理之品質，相關事項請參閱附件：「資訊委外之資安應注意事項檢查表」。
3. 三、組織資訊委外業務項目屬核心系統，組織與資訊服務供應商應有資訊安全人員參與，以協助管理資訊安全風險。
4. 四、組織評選資訊服務供應商之準則應包含下列各項，並留存相關文件紀錄備查：

   1. (一)資訊服務供應商之財務能力、管理能力、專業能力、維運能力及經驗實績。
   2. (二)雲端服務供應商應具備完善之雲端資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證(例如：CSA STAR、ISO 27017、ISO 27018)。
   3. (三)第一類組織之資訊服務供應商應具備完善之資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證(例如：ISO 27001)。

1. 第6條 (建議書徵求文件)

1. 第一類組織對其所規定之大型採購案應要求資訊服務供應商提供建議書，並確認建議書內容是否符合採購需求。建議書中應包含下列項目：
   1. 一、組織採購需求產品／服務。
   2. 二、資訊服務供應商應符合之組織資安要求與服務水準要求(例如：組織資安政策)。
   3. 三、資訊服務供應商之專案管理能力。

1. 第7條 (資訊服務供應商合約安全控管)

1. 一、組織與資訊服務供應商，雙方應協議並確定合約內容。合約應包含下列各項：

   1. (一)合約基本要求

      1. 1.合約期限。
      2. 2.服務範圍。
      3. 3.服務交付日期。
      4. 4.服務水準要求(如為一年期以上提供性質者，如：軟硬體維護合約、系統委外管理等，資訊服務供應商應依合約要求，定期提交服務水準報告)
      5. 5.服務變更規範。
      6. 6.服務驗收之標準。
      7. 7.資通安全事件處置程序(含當發生資安事故時，受託廠商應主動、即時或於時限要求內通知委託人)。
      8. 8.對資訊服務供應商之稽核權條款(含受委託機構就受託事項範圍，同意主管機關及中央銀行得取得相關資料或報告，及進行金融檢查，或得命令其於限期內提供相關資料或報告)。
      9. 9.合約轉讓或同意分包之規範。
      10. 10.保密義務條款。
      11. 11.罰則與損害賠償條款。
      12. 12.爭議處理程序。
      13. 13.違約處理條款。
      14. 14.合約終止規範(含合約終止之重大事由，應包括主管機關通知依契約終止或解約之條款)。
      15. 15.合約終止後之處理。
      16. 16.保固。
      17. 17.權利及責任。
   2. (二)資訊服務供應商服務與產品要求

      1. 1.組織應載明資訊委外服務或產品之智慧財產權。
      2. 2.組織應載明是否允許資訊委外服務或產品分包予其他供應商，如允許，資訊服務供應商應提供分包計畫並經組織同意後始可進行。
      3. 3.組織應載明資訊服務供應商配合進行壓力測試及調整服務負載量之義務，並於市場交易量、業務變化及客戶屬性等發生顯著異動時發動辦理，俾憑評估系統資源調配或擴增。
      4. 4.第一類組織應載明採購之服務與產品於規劃設計時納入資通安全機制(Security by design)之要求。資通安全機制設計應包含服務與產品之機敏資料保護、授權與認證、安全性更新等。
      5. 5.第一類組織應載明採購之服務與產品於規劃設計時納入隱私保護機制(Privacy by design)之要求。
   3. (三)服務範圍涉及資通系統開發、維護與監控，組織應載明要求資訊服務供應商應遵循「證券暨期貨市場各服務事業資通系統安全防護基準參考指引」辦理。
   4. (四)服務範圍涉及使用雲端服務，組織應載明要求資訊服務供應商應遵循「證券期貨市場相關公會新興科技資訊安全管控指引」辦理。
   5. (五)資訊服務供應商資安要求

      1. 1.組織應載明資訊服務供應商應遵循之資安要求事項、個人資料保護法與其他相關法規遵循與保密義務。
      2. 2.組織應載明資訊委外作業範圍內，組織與資訊服務供應商雙方之資安角色與責任。
      3. 3.組織應載明資訊服務供應商應提供安全性檢測證明(如行動應用程式資安檢測、源碼檢測、弱點掃描等)，並應確保交付之系統或程式無惡意程式及後門程式，其放置於網際網路之程式應通過程式碼掃描或黑箱測試。
      4. 4.組織應載明要求資訊服務供應商揭露第三方程式元件之來源與授權證明。
      5. 5.組織應載明要求資訊服務供應商處理之組織委託服務各項範圍資訊，能於組織要求期限內提供。
      6. 6.組織應載明服務變更或資通安全事件之資訊服務供應商處置程序。
      7. 7.組織應載明要求資訊服務供應商於知悉存有任何潛在問題和危害(如：於其他客戶端發生重大系統異常)，且其可能影響受託業務時，立即通知組織並採取相關補救措施。
      8. 8.組織應載明資訊服務供應商在應用程式上線前應完整測試。交易主機應設立備援機制，並禁止於開盤前及開盤期間進行系統更新及下載，避免客戶端發生重大系統異常。
      9. 9.第一類組織應載明資訊委外作業範圍內，組織之資訊應與資訊服務供應商及其處理其他組織之資料有明確區隔，並應予以加密保護。
      10. 10.第一類組織應載明資訊服務供應商應取得之資安及品質證照。
2. 二、組織應於簽約程序中確認資訊服務供應商保密切結事宜之完成度。

1. 第8條 (資訊服務供應商存取管理)

1. 一、組織之專案負責人應向資訊服務供應商告知組織之資通安全相關規範，並經組織權限申請程序申請，始可賦予資訊服務供應商存取組織之資訊資產權限，以保護組織資訊資產。
2. 二、組織應對資訊服務供應商人員電腦通行使用權利進行適當控管；組織應於委外期間結束後立即收回該項權利。

1. 第11條 (服務變更管理)

1. 資訊服務供應商服務內容變更若對資通安全有所衝擊時，組織專案負責人應重新對資訊服務供應商變更之服務內容進行風險評估。(例如：機密性、完整性、可用性之衝擊分析、ISO 27001風險評鑑)

1. 第12條 (資訊服務供應商服務審核與稽核)

1. 一、組織資訊委外作業如為一年期以上提供性質者，如：軟硬體維護合約、系統委外管理等，資訊服務供應商應依合約要求，定期提交服務水準報告，交由組織審核備查。
2. 二、組織應建立對資訊服務供應商之資訊委外服務資通安全監督之程序；倘資訊委外作業屬核心系統，應明訂資通安全稽核之方式、頻率，與稽核結果之改善追蹤機制。
3. 三、組織於資訊委外期間應定期或於知悉資訊服務供應商發生可能影響受託業務之資通安全事件時，組織或組織授權之第三方以稽核或其他適當方式確認受託業務之執行情形。