法規資訊

1. 第2條 (適用範圍與對象)

1. 本指引適用之組織包括證券商、期貨商、證券投資信託事業及證券投資顧問事業。適用對象分為以下兩類說明：
1. 一、第一類：
   依「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十六條之二條文指派資訊安全長之組織。
2. 二、第二類：
   非屬第一類範圍之組織。
3. 三、外資集團在台子公司或分公司，其資安管理政策由外國母公司或總公司控制與建置者，如其母公司或總公司已建置或設立相關控制措施，且有較佳之規範，則從其規範；若無，則應遵循本國法令法規規範。
4. 四、以下參考指引如無特別說明，皆為第一類及第二類組織應遵循之事項。

1. 第3條 (名詞定義)

1. 一、資通系統：
   係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
2. 二、存取：
   係指存取資訊資產的各種方式，包含取得、使用、保管、查詢、修改、調整、銷毀等。
3. 三、網路設備：
   係指傳輸資料、應用程式、服務和多媒體所需的網路通訊元件，如防火牆、路由器、交換器…等，亦為組織的網路架構圖包含的項目。
4. 四、資通安全事件：
   係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生，影響資通系統機能運作，構成資通安全政策之威脅。
5. 五、資訊資產：
   係指與資訊處理相關之資產，包括硬體、軟體、資料、文件及人員等(如：伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊)。
6. 六、資訊服務供應商係指符合「證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引」遴選條件之廠商。

1. 第5條 (網路區域劃分)

1. 一、為確保網路架構安全，應獨立劃分各工作區域並落實網段隔離。
2. 二、網段應以維持業務運作劃分區域：如非軍事區(Demilitarized Zone, DMZ)、營運區(Production, Prod.)、測試區(Unit Test, UT或User Acceptance Test, UAT)及其他等網段。
3. 三、組織應定義外部網路與內部網路，外部網路連接網際網路，內部網路區域為組織人員與內部服務的伺服器配置區域。由外部網路到內部網路的流量需要經過存取控制，僅限於組織內人員公務用或資訊服務供應商申請核准後使用，避免非允許的服務進入。
4. 四、組織之內部網段宜規劃以虛擬區域網路(Virtual Local Area Network, VLAN)區隔，區域劃分方式可依據組織內部單位、部門、業務性質等，並限制不同VLAN間的存取。
5. 五、組織應使用適當方式隔離限制存取與特定服務，且資訊人員應視區隔方式，定期檢視防火牆規則或存取控制清單(Access Control List, ACL)。

1. 第7條 (無線網路)

1. 一、組織如有提供內部無線網路使用，其存取保護應採用現行公開資訊已認可且無弱點之安全協定，並比照組織內部網路管理程序，僅限於組織內人員公務用或資訊服務供應商申請核准後使用。
2. 二、組織如有提供外部無線網路使用，其存取保護應採用現行公開資訊已認可且無弱點之安全協定。
3. 三、組織應建立無線網路密碼原則，以降低密碼破解之風險。

1. 第8條 (外部設備存取內部網路)

1. 組織如允許組織人員或資訊服務供應商使用外部設備存取內部網路，應提出申請並檢視設備安全性與相關授權，並限制存取範圍。

1. 第12條 (網路設備委外管理)

1. 組織所有網路設備若委由資訊服務供應商維運或管理應依「證券暨期貨市場各服務事業資通系統與服務供應鏈風險管理參考指引」。

1. 第16條 (網路攻擊防護機制)

1. 一、第一類組織應建立維持業務運作之網路攻擊防護機制，如：入侵偵測及防禦機制。第二類組織應評估建立維持業務運作之網路攻擊防護機制。
2. 二、具網路下單服務或設有官方網站之證券業者及期貨業者應建立分散式阻斷服務之防護機制。
3. 三、具有對外服務之資通系統者，應建置應用程式防火牆。