法規資訊
| 法規名稱 | 證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引 |
| 發佈日期 | 民國113年11月7日 |
| 沿革資訊 | 中華民國113年11月7日臺灣集中保管結算所股份有限公司保結數安字第1130024386號函修正第1條至第4條、第6條至第8條、第11條、第12條條文,並自即日起實施(中華民國113年10月25日金融監督管理委員會證券期貨局證期(資)字第1130359938號函) |
所有條文
-
第10條 (安全管理)
-
組織於專案進行中應注意下列事項:
-
一、資訊服務供應商集中度過高者,應確認其執行資安事件識別、回應和緩解風險之機制。
-
二、外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理者(以下稱受委託機構),應依以下辦理:
-
(一)組織應充分瞭解及掌握受委託機構對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形。
-
(二)組織提供予受委託機構之客戶資訊僅限與受託事項直接相關之必要資訊。
-
(三)組織應要求受委託機構確實遵守以下事項:
-
1.組織之客戶資訊僅限由受委託機構之獲授權人員於受託事項範圍內使用及處理。
-
2.組織之客戶資訊應與受委託機構及其處理其他機構之資料有明確區隔。
-
3.受委託機構處理之組織客戶資訊應能及時提供予組織。
-
-
(四)如有國際傳輸機敏資料,組織應建立加密傳輸機制且應就受委託機構對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反主管機關對國際傳輸之限制,並留存完整稽核紀錄。
-
-
三、組織應管理並定期(至少每半年一次)檢視資訊服務供應商之駐點作業、實體與邏輯存取權限,包含作業地點的配置、網路設備及主機連線、電腦與電話的使用、電腦機房的進出、門禁臨時卡的申請等。
-
四、組織應將進駐於組織內之資訊服務供應商人員納入組織安全管理,如欲使用內部網路資源時,應有安全管制措施(如透過轉接方式或另建網路者,應與內部網路作實體隔離)。
-
五、組織應要求資訊服務供應商提供駐點人員清單。
-