法規資訊
| 法規名稱 | 證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引 |
| 發佈日期 | 民國112年11月13日 |
| 沿革資訊 | 中華民國112年11月13日臺灣集中保管結算所股份有限公司保結數安字第1120022408號函修正發布名稱及第4條、第7條、第10條條文,並自即日起實施(原名稱:證券暨期貨市場各服務事業供應鏈風險管理參考指引)(中華民國112年4月14日金融監督管理委員會證券期貨局證期(資)字第1120381495號函)(中華民國112年6月29日金融監督管理委員會證券期貨局證期(資)字第1110347640號函)(中華民國112年10月31日金融監督管理委員會證券期貨局證期(資)字第1120357155號函) |
所有條文
-
第4條 (資訊服務供應商評選)
-
一、組織應評估資訊委外業務項目之資通安全可行性,及資訊服務供應商作業能力,採取適當風險管控措施,確保業務項目委外處理之品質,並應注意委託資訊服務供應商之適度分散以控管作業風險,相關事項請參閱附件:「資訊委外之資安應注意事項檢查表」;倘集中度過高疑慮者(包括單一資訊服務供應商對組織或單一資訊服務供應商於市場整體之集中度),資訊服務供應商選定,應執行風險評估,評估結果應提報適當管理層級並取得同意。
-
二、組織評選資訊服務供應商之準則應包含下列各項,並留存相關文件紀錄備查:
-
(一)資訊服務供應商之財務能力、管理能力、專業能力、維運能力及經驗實績。
-
(二)雲端運算服務供應商應具備完善之雲端運算資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證(例如:CSA STAR、ISO 27017、ISO 27018)。
-
(三)第一類組織之資訊服務供應商應具備完善之資通安全管理措施(提供管理措施與執行情形說明)或通過第三方驗證(例如:ISO 27001)。
-