問答集
檢索手冊
懶人包
系統簡介
相關網站
電子郵件
English
證券暨期貨法令判解查詢系統
查詢
即時法規訊息
法規體系查詢
法規名稱查詢
綜合查詢
詞彙查詢
中英法規對照表
問答集
檢索手冊
懶人包
系統簡介
相關網站
電子郵件
English
查詢
中文首頁
法規資訊
小
中
大
法規資訊
法規名稱
建立證券商資通安全檢查機制
(非現行法規)
發佈日期
民國113年2月5日
沿革資訊
中華民國113年2月5日臺灣證券交易所股份有限公司臺證輔字第1130002083號函修正發布第1點及第2點附表,自公布日起實施(中華民國113年1月31日金融監督管理委員會金管證券字第1120365337號函同意照辦)
所有條文
編章節
條號查詢
關鍵字查詢
法規沿革
歷史法規
附件下載
英文版
異動條文
友善列印
轉存 Word
1
風險評鑑與管理(CC–11000,適用網際網路下單證券商,不適用語音下單及傳統下單之證券商,年度查核)
(1)應鑑別公司適用資訊安全風險範圍內之所有資訊資產以及其擁有者。
(2)應確定公司各作業可接受之資訊安全風險等級。
(3)公司應有書面的資訊安全風險評估報告,每年至少評估一次,並留存相關紀錄。
(4)應評估核心系統可容忍中斷時間、復原時間目標(RTO)、資料復原點目標(RPO),並依經紀業務規模市占率暨自然人客戶數比率分級,訂定核心系統可容忍中斷時間。
2
資訊安全政策(CC–12000,年度查核)
(1)公司應依據相關法令規定及公司業務需求,訂定資訊安全政策、資訊作業之安全水準。
(2)制訂資訊安全政策,應包括下列事項:
a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
b.資訊安全政策之解釋及說明,資訊安全之原則、標準以及員工應遵守之相關規定。
c.推行資訊安全工作之組織、權責及分工。
d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明。
(3)公司所訂定之資訊安全政策,應經管理階層核准,並應正式發布要求所有員工共同遵守,並轉知與公司連線作業之公私機關(構)、提供資訊服務之廠商共同遵行。
(4)公司訂定之資訊安全政策,應至少每年評估一次,以反映法令規章、技術及業務等最新發展現況,確保資訊安全實務作業之有效性,前開之評估工作應留存相關紀錄。
(5)資訊安全政策之評估,應以獨立及客觀之方式進行,並由內部或委託外部專業機構辦理。
(6)公司每年應將前一年度資訊安全整體執行情形,由資訊安全長或負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具「證券暨期貨市場各服務事業建立內部控制制度處理準則」第二十四條規定之內部控制制度聲明書,於會計年度終了後三個月內提報董事會通過,並將該聲明書內容揭露於主管機關指定之申報網站。
(7)公司應參考「建立證券商資通安全檢查機制–分級防護應辦事項附表」辦理資訊安全分級防護應辦事項。
(8)公司應依其所屬資安分級辦理核心系統導入資訊安全管理系統,並通過公正第三方之驗證,且持續維持驗證有效性。
附表-建立證券商資通安全檢查機制-分級防護應辦事項附表
回上方