銀行業應指派副總經理以上或職責相當之人兼任資訊安全長，綜理資訊安
全政策推動及資源調度事務。設置資訊安全專責單位及主管，不得兼辦資
訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備。但主管
機關對信用合作社及票券金融公司另有規定者，依其規定。
銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應
設置具職權行使獨立性之資訊安全專責單位，並指派協理以上或職責相當
之人擔任資訊安全專責單位主管。
銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業，每年
應將前一年度資訊安全整體執行情形，依第二十七條第一項規定辦理內部
控制制度聲明書之出具、揭露及公告申報，並由資訊安全長聯名出具。
銀行業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專
業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管
單位及其他管理單位之人員，每年至少須接受三小時以上資訊安全宣導課
程。
中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯
合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規
範。
適用第二項規定之銀行業，應於符合適用條件起六個月內調整。

一、為進一步推動本會一零九年八月六日發布「金融資安行動方案」所訂
    「型塑金融機構重視資安的組織文化」措施，提升銀行業對資安議題
    之執行能力，爰修正第一項，增訂銀行業應指派副總經理以上或職責
    相當之人兼任資訊安全長，統籌資訊安全政策推動及資源調度事務。
    另銀行業若已指派專任資訊安全長有益於所任職務之有效執行，亦未
    違本項之立法目的。
二、考量資訊安全管理作業屬於內部控制制度之一環，允宜將銀行業資訊
    安全整體執行情形整併於第二十七條第一項所定附表之內部控制制度
    聲明書應聲明事項，以及依該規定辦理出具、揭露及公告申報事宜，
    並由資訊安全長聯名出具，爰修正第三項規定及刪除附表二。