法規資訊

法規名稱 中華民國證券商業同業公會網路安全防護自律規範 (現行法規)
發佈日期 民國113年10月30日
沿革資訊 中華民國113年10月30日中華民國證券商業同業公會中證商業一字第1130005594號函修正第2條至第4條條文,自即日起實施(中華民國113年10月25日金融監督管理委員會金管證券第1130355487號函辦理)

異動條文

  1. 第2條 (名詞定義)
  1. 一、資通系統:係指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。
  2. 二、存取:係指存取資訊資產的各種方式,包含取得、使用、保管、查詢、修改、調整、銷毀等。
  3. 三、網路設備:係指傳輸資料、應用程式、服務和多媒體所需的網路通訊元件,如防火牆、路由器、交換器…等,亦為組織的網路架構圖包含的項目。
  4. 四、資通安全事件:係指系統、服務或網路狀態經鑑別而顯示可能有違反資通安全政策或保護措施失效之狀態發生,影響資通系統機能運作,構成資通安全政策之威脅。
  5. 五、資訊資產:係指與資訊處理相關之資產,包括硬體、軟體、資料、文件及人員等(如:伺服器主機及使用者電腦之作業系統及應用程式等軟體資訊)。
  6. 六、資訊服務供應商:係指符合「本公會證券商資通系統與服務供應鏈風險管理自律規範」遴選條件之廠商。
  7. 七、第一類證券商:係指依「證券暨期貨市場各服務事業建立內部控制制度處理準則」第三十六條之二條文指派資訊安全長之證券商。
  8. 八、第二類證券商:係指非屬第一類證券商之證券商。
  9. 九、外國證券商:係指外資集團在台子公司或分公司。外國證券商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。
  1. 第3條 (網路架構與網路安全管理)
  1. 一、網路架構圖
    應呈現證券商維持業務運作之必要網路環境設備(如:防火牆、路由器、交換器、系統設備、線路配置、伺服器與服務、無線網路),另針對網段、路由規劃、主機IP位址、備援線路應有相關檔案紀錄。
  2. 二、網路區域劃分
    1. (一)為確保網路架構安全,應獨立劃分各工作區域並落實網段隔離。
    2. (二)網段應以維持業務運作劃分區域:如隔離區(非軍事區,Demilitarized Zone, DMZ)、營運區(Production, Prod.)、測試區(Unit Test, UT或User Acceptance Test, UAT)及其他等網段。證券商應每半年檢視DMZ區之防火牆規則,並留存相關檢視紀錄。
    3. (三)證券商應定義外部網路與內部網路,外部網路連接網際網路,內部網路區域為組織人員與內部服務的伺服器配置區域。由外部網路到內部網路的流量需要經過存取控制,僅限於內部人員公務用或資訊服務供應商申請核准後使用,避免非允許的服務進入。
    4. (四)證券商之內部網段區域劃分方式可依據組織內部單位、部門、業務性質等,並規範不同網段(VLAN)間的存取。
    5. (五)證券商應使用適當方式隔離限制存取與特定服務,且應視區隔方式,定期檢視防火牆規則或存取控制清單(Access Control List, ACL)。
  3. 三、內部網路與外部網路管理
    1. (一)證券商如有提供內部無線網路使用,其存取保護應採用現行公開資訊已認可且無弱點之安全協定,並比照內部網路管理程序,僅限於內部人員公務用或資訊服務供應商申請核准後使用。
    2. (二)證券商如有提供無線網路供內/外部人員使用,無線網路存取保護應採用現行公開資訊已認可且無弱點之安全協定。
    3. (三)證券商應建立無線網路密碼原則,以降低密碼破解之風險。
    4. (四)證券商如允許內/外部人員使用外部設備存取內部網路,應提出申請並檢視設備安全性與相關授權,並限制存取範圍。
  1. 第4條 (網路設備安全管理)
  1. 一、網路設備管理
    1. (一)證券商應避免使用生命週期終止(End of Service, EOS/End of Life, EOL)之網路設備,並針對EOS/EOL之網路設備擬定汰除相關計畫。
    2. (二)證券商應定期檢視官方發布之軟體、韌體、弱點修補程式之更新,將網路設備更新至最新版本或廠商建議版本。
    3. (三)證券商經由網際網路連線至內部網路進行遠距之系統維護,應落實身份認證機制。
    4. (四)網路設備管理人員之管理帳號應僅限管理人員使用且不得共用帳號,管理帳號之密碼設定原則應遵循證券商之身份驗證管理規範。
    5. (五)證券商應限制網路設備管理使用之人員、設備、IP、網段,或採用一次性密碼(One-time password, OTP)、短暫性存取(Temporary Privileged Access)等措施,並留存使用人員操作紀錄。
    6. (六)證券商所有網路設備之防護基準應依「本公會資通系統安全防護基準自律規範」。
  2. 二、網路設備規則管理
    1. (一)網路存取規則、防火牆規則等新增、異動、刪除應審核使用者需求,經評估資通安全風險程度後進行規則變更,並保留相關紀錄備查。
    2. (二)網路設備規則設立應以使用者角色最小授權及正面表列為原則。
    3. (三)證券商應至少每年檢視一次網路設備規則。
  3. 三、網路設備日誌
    證券商應留存網路設備存取日誌並至少保留三年,供留存備查。另應防止未經授權存取,並定期檢視以確保可用性。
  4. 四、網路設備委外
    證券商所有網路設備若委由資訊服務供應商維運或管理應依「本公會證券商資通系統與服務供應鏈風險管理自律規範」。
回上方