法規資訊

法規名稱 證券投資信託事業證券投資顧問事業資通系統與服務供應鏈風險管理自律規範 (現行法規)
發佈日期 民國114年2月8日
沿革資訊 中華民國114年2月8日中華民國證券投資信託暨顧問商業同業公會中信顧字第1140050616號函修正名稱及第2條至第4條、第7條條文;增訂第3條附件(原名稱:證券投資信託事業證券投資顧問事業供應鏈風險管理自律規範)(中華民國114年2月8日依金融監督管理委員會金管證投字第1130153183號函同意備查)

異動條文

  1. 第2條 (名詞定義)
  1. 一、資訊委外:係指公司將部分或全部之資通服務由公司外之軟硬體供應與維運商、跨機構合作夥伴提供。
  2. 二、資訊資產:係指與資訊處理相關之資產,包括硬體、軟體、資料、文件及人員等。
  3. 三、資通系統:係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
  4. 四、資通服務:係指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務。
  5. 五、資訊服務:指提供與系統軟體或硬體有關之服務形態,包含系統發展類、維運管理類及雲端服務類。
  6. 六、雲端運算服務:透過網路技術達成共享運算資源之前提下,提供使用者具備彈性、可擴展及可自助之服務。
  7. 七、營業秘密:係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合下列要件者:
    1. (一)非一般涉及該類資訊之人所知者。
    2. (二)因其秘密性而具有實際或潛在之經濟價值者。
    3. (三)所有人已採取合理之保密措施者。
  8. 八、存取:係指存取資訊資產的各種方式,包含取得、使用、保管、查詢、修改、調整、銷毀等。
  9. 九、專案負責人:係指專案經理或該項業務權責部門主管或其指派之人員。
  10. 十、隱私保護機制(Privacy by design):係指服務與產品規劃設計時即融入隱私保護機制的概念,於開發流程中的設計階段,列出隱私保護需求、辨識相關風險及套用控制措施,以作為後續安全功能驗證的基礎。
  11. 十一、資通安全事件:係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
  12. 十二、第一類投信投顧業者:係指依「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十六條之二條文指派資訊安全長之公司。
  13. 十三、第二類投信投顧業者:係指非屬第一類投信投顧業者之公司。
  1. 第3條 (資訊服務供應商遴選原則)
  1. 一、公司應評估資訊委外業務項目之資通安全可行性,及資訊服務供應商之集中度,包括評估資訊服務供應商作業能力,採取適當風險管控措施,確保業務項目委外處理之品質,並應注意委託資訊服務供應商之適度分散以控管作業風險,相關事項請參閱附件:「證券投資信託事業證券投資顧問事業資訊委外之資安應注意事項檢查表」進行檢核。資訊服務供應商選定之評估結果送交該資訊服務專案負責人核可,並依公司分層負責核決權限處理。
  2. 二、公司評選資訊服務供應商之原則如下,並應留存相關文件紀錄:
    1. (一)資訊服務供應商之維運能力(如財務能力、專業能力及經驗實績等)。
    2. (二)雲端運算服務供應商應具備完善之雲端運算資通安全管理措施或通過第三方驗證。
    3. (三)第一類投信投顧業者之資訊服務供應商應具備完善之資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證。
  3. 三、選商過程中如存在資訊資產交換,公司應備妥保密協議書,並於交換與採購產品或服務相關之機敏性資訊前簽署。
  4. 四、第一類投信投顧業者之資訊服務供應商提供之建議書應包含下列項目
    1. (一)公司採購需求產品/服務。
    2. (二)資訊服務供應商應符合之資安要求(例如:公司資安政策、證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範)。
    3. (三)資訊服務供應商之專案管理能力(例如,具有至少一張有效期間內之專案管理相關證照或相關成功專案簡述)。
  1. 第4條 (公司與資訊服務供應商之合約)
  1. 一、公司與資訊服務供應商之合約內容應依服務範圍的不同,宜包含下列各項:
    1. (一)基本要求
      1. 1.合約期限。
      2. 2.服務範圍。
      3. 3.服務交付日期。
      4. 4.服務水準要求(如為一年期以上提供性質者,如:軟硬體維護合約、系統委外管理等,資訊服務供應商應依合約要求,定期提交服務水準報告)。
      5. 5.服務變更規範。
      6. 6.服務驗收之標準。
      7. 7.資通安全事件通報及應變處理作業程序。
      8. 8.對資訊服務供應商之稽核權條款。
      9. 9.合約轉讓或同意分包之規範。
      10. 10.保密義務條款。
      11. 11.罰則與損害賠償條款。
      12. 12.爭議處理程序。
      13. 13.違約處理條款。
      14. 14.合約終止規範。
      15. 15.合約終止後之處理。
      16. 16.保固。
      17. 17.權利及責任。
    2. (二)公司與資訊服務供應商之服務與產品應載明事項:
      1. 1.載明資訊委外服務或產品之智慧財產權及其授權範圍。
      2. 2.資訊服務供應商如分包予其他供應商應載明(異動亦同)。
      3. 3.第一類投信投顧業者應載明採購之服務與產品於規劃設計時納入服務與產品之機敏資料保護、授權與認證、安全性更新等。
      4. 4.第一類投信投顧業者應載明採購之服務與產品於規劃設計時納入隱私保護機制(Privacy by design)之要求。
    3. (三)資訊服務供應商服務範圍涉及資通系統開發、維護與監控,應遵循「證券投資信託事業證券投資顧問事業資通系統安全防護基準自律規範」。
    4. (四)服務範圍涉及使用雲端運算服務,資訊服務供應商應遵循「證券投資信託事業證券投資顧問事業新興科技資通安全自律規範」。
    5. (五)資訊服務供應商之資安應符合下列要求:
      1. 1.資訊服務供應商應遵循之資安要求事項、個人資料保護法與其他相關法規遵循與保密義務。
      2. 2.資訊服務供應商應於系統交付時提供安全性檢測證明(如行動應用程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統或程式無惡意程式及後門程式,其放置於網際網路之程式應通過程式碼掃描或黑箱測試。
      3. 3.資訊服務供應商揭露第三方程式元件之來源與授權證明。
      4. 4.資訊服務供應商處理公司委託服務各項範圍資訊,能於公司要求期限內提供。
      5. 5.資通(訊)服務供應商於處理公司資料應有明確區隔,並應予以加密保護。
      6. 6.公司應載明要求資訊服務供應商於知悉存有任何潛在問題和危害(如:於其他客戶端發生重大系統異常),且其可能影響受託業務時,應立即通知公司並採取相關補救措施。
      7. 7.第一類投信投顧業者之資訊服務供應商應提供取得之資安及品質證照。
  2. 二、公司應於簽約程序中確認資訊服務供應商保密切結事宜。
  3. 三、資訊服務供應商發生資安事件致公司受到影響時,資訊服務供應商的處置程序及責任。
  1. 第7條 (審核資訊服務供應商服務)
  1. 一、公司於資訊委外期間宜每年至少一次與認為有稽核之必要時,公司得自行或授權第三方得對資訊服務供應商進行稽核或盡職審查(Due Diligence)。
  2. 二、公司資訊委外作業如為一年期以上,公司應定期評量資訊服務供應商之服務水準,於評估有必要之情形下,資訊服務供應商應定期或每年至少一次提交服務水準報告,交由公司審核備查。
  3. 三、公司資訊委外作業如影響核心資通系統與資通服務之營運持續作業,資訊服務供應商應定期提供資通系統與資通服務之回復計畫,回復計畫可以災難復原計畫、備援演練、營運持續計畫等形式呈現。
回上方