法規資訊

1. 第2條

1. 名詞定義
   1. 一、資訊作業韌性：資訊作業面臨損害、異常或中斷服務時的處理能力與應變彈性。
   2. 二、核心業務：係指直接提供客戶交易或支持交易業務持續運作之必要業務。
   3. 三、核心系統：係指直接提供客戶交易或支持交易業務持續運作之必要系統，其餘皆為非核心系統。
   4. 四、營運衝擊分析(Business Impact Analysis, BIA)：評估核心系統中斷時可能對組織造成之衝擊。
   5. 五、復原時間目標(Recovery Time Objective, RTO)：中斷事故發生後，核心系統從中斷事故發生到回復至最小可接受服務水準之目標時間。
   6. 六、資料復原點目標(Recovery Point Objective, RPO)：中斷事故發生時，核心系統可承受之資料損失量所訂之值。
   7. 七、最小可接受服務水準：核心業務於復原時間目標(RTO)內回復之最低限度運作水準。
   8. 八、第一類期貨商：係指依「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十六條之二條文指派資訊安全長之期貨商。
   9. 九、第二類期貨商：係指非屬第一類期貨商之期貨商。
   10. 十、外國期貨商：係指外資集團在台子公司或分公司。外國期貨商如有標準較佳之規範則從其規範；若無，則應遵守本國的規範。

1. 第3條

1. 營運持續管理及營運持續計畫演練
   1. 一、期貨業營運持續管理應參考期交所「建立期貨商資通安全檢查機制」之營運持續管理相關規定辦理。
   2. 二、期貨業應針對各情境、各業務狀況進行演練並可參考「核心系統備援演練參考程序」(附件)，進行事前準備、演練實施及演練後檢討之各階段檢核作業，以確認演練及測試程序之有效運作，並依據「建立期貨商資通安全檢查機制－分級防護應辦事項附表」第十四項所規定之業務持續運作演練辦理。

      1. (一)應針對已辨識可能造成核心業務中斷之風險情境(包含天然災害、人為災害與資通訊安全事件)設計演練情境並宜規劃針對所有情境或輪流針對部分情境進行演練。
      2. (二)應進行模擬災害或意外發生時之情境操作，考量納入核心系統復原負責人員、核心業務執行人員與復原所需供應商；並規劃演練之系統相關資訊。
      3. (三)應於演練前辨識可能造成之風險，並事先擬定保護措施。
      4. (四)演練內容應驗證各項核心系統所制定之標準作業程序。
      5. (五)應定期演練並驗證其核心系統可用性，依需求規劃為同異地系統備援演練或同異地資料備份回存測試，以確保人員熟悉程度與程序有效性，並應留存相關演練紀錄。
      6. (六)第一類期貨商應於異地系統備援演練時，納入實際業務運作驗證，以實證最小可接受服務水準所仰賴之內部資源配置及人力調度、外部夥伴之協同作業及資訊網路調整介接等作業，於關鍵時刻皆能有效運作。並鼓勵第二類期貨商執行。
      7. (七)應於演練後召開檢討會議確認復原機制與演練結果是否符合所制定的復原時間目標(RTO)及資料復原點目標(RPO)要求，並檢視核心系統現有同異地系統備援機制與同異地資料備份機制是否符合核心業務之需求。

1. 第5條

1. 備份備援機制
   1. 一、制定資料備份機制時，宜考量「3-2-1備份原則」。

      1. (一)至少製作三份備份。
      2. (二)將備份分別存放在兩種不同儲存媒體。
      3. (三)至少一份放在異地保存。
   2. 二、依據核心系統特性、業務單位需求與復原時間目標(RTO)，制定適當之系統備援架構。
   3. 三、應針對機密與敏感性資料，實施妥善之防護措施。

1. 第9條

1. 核心系統委外之管理
   1. 一、核心系統委外時，期貨業應依委外服務範圍及特性確保供應商因下列原因而造成營運中斷後，核心系統之復原水準可滿足系統復原時間目標(RTO)及資料復原點目標(RPO)，以支持核心業務回復至最小可接受服務水準，並要求供應商配合期貨業或自行辦理演練以驗證核心系統可用性。

      1. (一)因天然災害、人為災害與資通訊安全事件而中斷。
      2. (二)未預期之設備故障或變更。
      3. (三)系統功能調整或重大性架構變更。
      4. (四)產品生命週期結束且不再提供技術協助服務，或不具可用性。
   2. 二、期貨業應將上述營運持續管理相關要求納入委外契約。

1. 第10條 施行程序

1. 本自律規範經本公會理事會會議通過，並報奉主管機關備查後實施，修正時亦同。