法規資訊

法規名稱 中華民國證券商業同業公會證券商資通系統與服務供應鏈風險管理自律規範 (非現行法規)
發佈日期 民國113年11月27日
沿革資訊 中華民國113年11月27日中華民國證券商業同業公會中證商業一字第1130006165號函修正第2條至第4條條文;增訂第3條附件,自即日起施行(中華民國113年11月22日金融監督管理委員會金管證券字第1130361930號函辦理)

異動條文

  1. 第2條 (名詞定義)
  1. 一、資訊委外:係指證券商將部分或全部之資通服務由組織外之軟硬體供應與維運商、跨機構合作夥伴提供。
  2. 二、資訊資產:係指與資訊處理相關之資產,包括硬體、軟體、資料、文件及人員等。
  3. 三、資通系統:係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
  4. 四、資通服務:係指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
  5. 五、資訊服務:指提供與系統軟體或硬體有關之服務形態,包含系統發展類、維運管理類及雲端服務類。
  6. 六、雲端運算服務:透過網路技術達成共享運算資源之前提下,提供使用者具備彈性、可擴展及可自助之服務。
  7. 七、營業秘密:係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合下列要件者:
    1. (一)非一般涉及該類資訊之人所知者。
    2. (二)因其秘密性而具有實際或潛在之經濟價值者。
    3. (三)所有人已採取合理之保密措施者。
  8. 八、存取:係指存取資訊資產的各種方式,包含取得、使用、保管、查詢、修改、調整、銷毀等。
  9. 九、專案負責人:係指專案經理或該項業務權責部門主管或其指派之人員。
  10. 十、資通安全機制(Security by design):係指服務與產品規劃設計時即融入資通安全的概念,於開發流程中的設計階段,列出安全需求、辨識安全風險及套用控制措施,以作為後續安全功能驗證的基礎,落實安全的軟體生命週期。
  11. 十一、隱私保護機制(Privacy by design):係指服務與產品規劃設計時即融入隱私保護機制的概念,於開發流程中的設計階段,列出隱私保護需求、辨識相關風險及套用控制措施,以作為後續安全功能驗證的基礎。
  12. 十二、資通安全事件:係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
  13. 十三、第一類證券商:係指依「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十六條之二條文指派資訊安全長之證券商。
  14. 十四、第二類證券商:係指非屬第一類證券商之證券商。
  15. 十五、外國證券商:係指外資集團在台子公司或分公司。外國證券商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。
  1. 第3條 (資訊服務供應商遴選原則)
  1. 一、證券商應評估資訊委外業務項目之資通安全可行性,及資訊服務供應商作業能力,採取適當風險管控措施,確保業務項目委外處理之品質,並應注意委託資訊服務供應商之適度分散以控管作業風險,相關事項請參閱附件:「證券商資訊委外之資安應注意事項檢查表」進行檢核;倘集中度過高疑慮者(包括單一資訊服務供應商對組織或單一資訊服務供應商於市場整體之集中度),資訊服務供應商選定,應由相關資訊單位共同執行風險評估,評估結果應提報適當管理層級並取得同意。
  2. 二、證券商評選資訊服務供應商之原則如下,並應留存相關文件紀錄:
    1. (一)資訊服務供應商之維運能力(如財務能力、專業能力及經驗實績等)。
    2. (二)雲端運算服務供應商應具備完善之雲端運算資通安全管理措施或通過第三方驗證。
    3. (三)第一類證券商之資訊服務供應商應具備完善之資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證。
  3. 三、選商過程中如存在資訊資產交換,證券商應備妥保密協議書,並於交換與採購產品或服務相關之機敏性資訊前簽署。
  4. 四、第一類證券商之資訊服務供應商提供之建議書應包含下列項目
    1. (一)證券商採購需求產品/服務。
    2. (二)資訊服務供應商應符合之資安要求(例如:證券商資安政策、本公會資通系統安全防護基準自律規範)。
    3. (三)資訊服務供應商之專案管理能力(例如,具有至少一張有效期間內之專案管理相關證照或相關成功專案簡述)。
  1. 第4條 (證券商與資訊服務供應商之合約)
  1. 一、證券商與資訊服務供應商之合約內容應依服務範圍的不同,宜包含下列各項:
    1. (一)基本要求
      1. 1.合約期限。
      2. 2.服務範圍。
      3. 3.服務交付日期。
      4. 4.服務水準要求(如為一年期以上提供性質者,如:軟硬體維護合約、系統委外管理等,資訊服務供應商應依合約要求,定期提交服務水準報告)。
      5. 5.服務變更規範。
      6. 6.服務驗收之標準。
      7. 7.資通安全事件通報及應變處理作業程序。
      8. 8.對資訊服務供應商之稽核權條款。
      9. 9.合約轉讓或同意分包之規範。
      10. 10.保密義務條款。
      11. 11.罰則與損害賠償條款。
      12. 12.爭議處理程序。
      13. 13.違約處理條款。
      14. 14.合約終止規範。
      15. 15.合約終止後之處理。
      16. 16.保固。
      17. 17.權利及責任。
    2. (二)證券商與資訊服務供應商之服務與產品應載明事項:
      1. 1.載明資訊委外服務或產品之智慧財產權及其授權範圍。
      2. 2.資訊服務供應商如分包予其他供應商應載明(異動亦同)。
      3. 3.第一類證券商應載明採購之服務與產品於規劃設計時納入服務與產品之機敏資料保護、授權與認證、安全性更新等。
      4. 4.第一類證券商應載明採購之服務與產品於規劃設計時納入隱私保護機制(Privacy by design)之要求。
    3. (三)資訊服務供應商服務範圍涉及資通系統開發、維護與監控,應遵循「本公會資通系統安全防護基準自律規範」。
    4. (四)服務範圍涉及使用雲端運算服務,資訊服務供應商應遵循「本公會新興科技資通安全自律規範」。
    5. (五)資訊服務供應商之資安應符合下列要求:
      1. 1.資訊服務供應商應遵循之資安要求事項、個人資料保護法與其他相關法規遵循與保密義務。
      2. 2.資訊服務供應商應提供安全性檢測證明(如行動應用程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統或程式無惡意程式及後門程式,其放置於網際網路之程式應通過程式碼掃描或黑箱測試。
      3. 3.資訊服務供應商揭露第三方程式元件之來源與授權證明。
      4. 4.資訊服務供應商處理證券商委託服務各項範圍資訊,能於證券商要求期限內提供。
      5. 5.資通(訊)服務供應商於處理證券商資料應有明確區隔,並應予以加密保護。
      6. 6.證券商應載明要求資訊服務供應商於知悉存有任何潛在問題和危害(如:於其他客戶端發生重大系統異常),且其可能影響受託業務時,立即通知證券商並採取相關補救措施。
      7. 7.證券商電子交易之即時報價,如採用不同資訊服務供應商互為備援外,與資訊服務供應商之契約,應要求提供備援主機與備援系統相關證明文件,每年應與證券商進行一次主備援切換測試演練並保存相關演練記錄文件。
      8. 8.第一類證券商之資訊服務供應商應提供取得之資安及品質證照。
  2. 二、證券商應於簽約程序中確認資訊服務供應商保密切結事宜。
  3. 三、資訊服務供應商發生資安事件致證券商受到影響時,資訊服務供應商的處置程序及責任。
回上方