法規資訊

法規資訊
法規名稱: 建立證券商資通安全檢查機制
時間: 中華民國109年2月10日
立法沿革: 中華民國109年2月10日臺灣證券交易所股份有限公司臺證輔字第10905002 68號函修正發布第9點、第12點,並自即日起實施 (中華民國109年2月3日 金融監督管理委員會金管證券字第1080339154號函同意照辦)
法規體系: / 行政 / 金融監督管理委員會 / 證券期貨

歷史沿革

1. 中華民國91年2月8日財政部證券暨期貨管理委員會(91)臺財證(二)字第10 3334號函准予備查(中華民國91年2月21日臺灣證券交易所股份有限公司 (91)臺證稽字第003551號函訂定發布全文6點;並自91年4月1日起實施)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
2. 中華民國92年2月19日財政部證券暨期貨管理委員會臺財證二字第0920103 074號函准予備查(中華民國92年 3月31日臺灣證券交易所股份有限公司 臺證稽字第0920300133號函修正發布全文7點;並自92年5月1日起實施)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
3. 中華民國93年2月25日臺灣證券交易所股份有限公司臺證稽字第093030007 0號公告修正發布第6點、第7點(中華民國93年1月7日財政部證券暨期貨 管理委員會臺財證二字第0920162279號函及93年1月27日臺財證資字第0 920159865號函)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
4. 中華民國94年3月4日臺灣證券交易所股份有限公司臺證稽字第0940300134 號函修正發布全文7點;並自94年5月1日起實施(中華民國94年 1月27日 行政院金融監督管理委員會證券期貨局證期二字第0940102768號函辦理 )
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
5. 中華民國95年5月26日臺灣證券交易所股份有限公司臺證稽字第095030027 0 號公告修正發布全文12點;並自公告日起實施(中華民國95年3月29日 行政院金融監督管理委員會金管證二字第0950109289號函)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
6. 中華民國96年2月16日臺灣證券交易所股份有限公司臺證稽字第096000392 3號公告修正發布全文12點;並自即日起實施(中華民國96年2月8日行政 院金融監督管理委員會金管證二字第0960002026號函准予備查)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
7. 中華民國100年4月8日臺灣證券交易所股份有限公司臺證稽字第100001057 8號函修正發布第6點、第8點、第9點;並自即日起實施(中華民國100年 4月7日行政院金融監督管理委員會金管證券字第1000012220號函准予備 查)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
8. 中華民國100年12月2日臺灣證券交易所股份有限公司臺證稽字第10000377 89號函修正發布第 8點;並自即日起實施(中華民國100年11月30日行政 院金融監督管理委員會金管證券字第1000058143號函准予備查)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
9. 中華民國101年7月23日臺灣證券交易所股份有限公司臺證稽字第10100167 35號函修正發布第6點、第7點、第8點,並自即日起實施 (中華民國101 年7月20日金融監督管理委員會金管證券字第1010030847號函同意備查)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
10. 中華民國102年5月9日臺灣證券交易所股份有限公司臺證稽字第102000852 3 號函修正發布第2點、第7點、第8點、第11點,並自即日起實施(中華 民國102年 5月7日金融監督管理委員會金管證券字第1020014446號函同 意備查)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
11. 中華民國105年5月16日臺灣證券交易所股份有限公司臺證輔字第10500087 62號函修正發布第7點、第8點、第10點,自即日起實施(中華民國105年 5月13日金融監督管理委員會金管證券字第1050014652號函同意備查)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
12. 中華民國106年3月24日臺灣證券交易所股份有限公司臺證輔字第10600049 97號函修正發布第7點、第10點,自即日起實施(中華民國106年3月13日 金融監督管理委員會金管證券字第1060004710號函同意備查)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
13. 中華民國107年2月8日臺灣證券交易所股份有限公司臺證輔字第107000282 0號函修正發布第3點、第7點、第8點 (中華民國107年1月26日金融監督管 理委員會金管證券字第 1060048460號及107年2月7日金融監督管理委員會 金管證券字第1070303592號函辦理)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
14. 中華民國107年11月30日臺灣證券交易所股份有限公司臺證輔字第1070023 227號函修正發布第 2點、第3點;增訂第12點,原地12點順移至第13點, 並自即日起實施(中華民國107年11月26日金融監督管理委員會金管證券字 第1070339223號函同意照辦)
本資料僅供會員查閱,若您尚未加入會員,請加入會員。
15. 中華民國109年2月10日臺灣證券交易所股份有限公司臺證輔字第10905002 68號函修正發布第9點、第12點,並自即日起實施 (中華民國109年2月3日 金融監督管理委員會金管證券字第1080339154號函同意照辦)

法規異動

修正

9.系統開發及維護(CC-19000,半年查核)
 (1)應用系統在規劃分析時應將資訊安全需求納入分析及規格。
 (2)輸入資料是否有作檢查,以確認其正確性。
 (3)應使用具有合法版權之軟體。
 (4)委外作業應簽訂契約,委外作業契約內容應包含資訊安全協定與對委
    外廠商資安稽核權等條款。
 (5)已完成之程式因故需維護時,應依據經過正式核准之程序辦理。
 (6)各項文件與手冊應經適當維護與控制。
 (7)應用系統之維護應指派專人負責。
 (8)應用系統異動管理:
    a.正式作業與測試作業之程式、資料、工作控制指令等檔案應分開存
      放。
    b.程式經修改其相關文件應及時更新。
 (9)公司應定期(至少每半年乙次)辦理資訊系統弱點掃描作業,針對所
    辨識出之潛在系統弱點,宜評估其相關風險或安裝修補程式,並留存
    紀錄(適用網際網路下單證券商,不適用語音下單及傳統下單之證券
    商)。
(10)程式原始碼安全規範(適用網際網路下單證券商,不適用語音下單及
    傳統下單之證券商):
    a.程式應避免含有惡意程式等資訊安全漏洞。
    b.程式應使用適當且有效之完整性驗證機制,以確保其完整性。
    c.程式於引用之函式庫有更新時,應備妥對應之更新版本。
    d.程式應針對使用者輸入之字串,進行安全檢查並提供相關注入攻擊
      防護機制。
    e.無法取得程式原始碼時,應要求程式提供者符合上開前四項(a、b
      、c、d)安全事項。
(11)行動應用程式安全管理(適用網際網路下單證券商,不適用語音下單
    及傳統下單之證券商):
    a.行動應用程式發布:
     (a)行動應用程式應於可信任來源之行動應用程式商店或網站發布,
        且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣告之
        權限用途。
     (b)應於官網上提供行動應用程式之名稱、版本與下載位置。
     (c)應建立偽冒行動應用程式偵測機制,以維護客戶權益。
     (d)應於發布前檢視行動應用程式所需權限應與提供服務相當,首次
        發布或權限變動應經資安、法遵單位同意,並留有紀錄,以利綜
        合評估是否符合個人資料保護法之告知義務」。
    b.敏感性資料保護:
     (a)行動應用程式傳送及儲存敏感性資料時應透過憑證、雜湊(Hash
        )或加密等機制以確保資料傳送及儲存安全,並於使用時應進行
        適當去識別化,相關存取日誌應予以保護以防止未經授權存取。
     (b)啟動行動應用程式時,如偵測行動裝置疑似遭破解(如root、ja
        ilbreak、USB debugging 等),應提示使用者注意風險。
    c.行動應用程式檢測:
     (a)涉及投資人使用之行動應用程式於初次上架前及每年應委由經財
        團法人全國認證基金會 (TAF)認證合格之第三方檢測實驗室進
        行並完成通過資安檢測,檢測範圍以經濟部工業局委託執行單位
        「行動應用資安聯盟」公布之行動應用程式基本資安檢測基準項
        目進行檢測。如通過實驗室檢測後一年內有更新上架之需要,應
        於每次上架前就重大更新項目進行委外或自行檢測;所謂重大更
        新項目為與「下單交易」、「帳務查詢」、「身份辨識」及「客
        戶權益有重大相關項目」有關之功能異動。檢測範圍以OWASP MO
        BILE TOP 10之標準為依據,並留存相關檢測紀錄。
     (b)公司對第三方檢測實驗室所提交之檢測報告,應建立覆核機制,
        以確保檢測項目及內容一致,並留存覆核紀錄。

12.新興科技應用(CC-21100,年度查核)
 (1)雲端服務:
    a.公司為雲端服務使用者時,應訂定雲端運算服務運作安全規範內含
      雲端提供者之遴選機制、查核措施、備援機制、服務水準(含資訊
      安全防護)與復原時間要求等,如有不符需求之處,需有其它補償
      性措施。
    b.公司為雲端服務提供者時,應訂定雲端運算服務安全控管措施,應
      包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。如涉
      及敏感性資料之傳遞,應使用超文字傳輸安全協定 (HTTPS)、安
      全檔案傳輸協定(SFTP)等加密之網路協定。
 (2)社群媒體:
    a.公司應訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法,
      應包含以下內容:
     (a)界定可於公務用社群媒體上分享之業務相關資料。
     (b)私人與公務用社群媒體之區別與應注意事項。
    b.應針對開放員工使用社群媒體評估其風險程度,包含:資料外洩、
      社交工程、惡意程式攻擊等,並採行適當的安全控管措施。
    c.公司應訂定經營官方社群媒體資訊安全規範與管理辦法,並包含以
      下內容:
     (a)應事先了解所經營之社群媒體隱私政策,並定期(每年一次)檢
        視其隱私政策之異動及評估其風險。
     (b)於官方網站提供連結供使用者連至公司外之社群媒體時,應出現
        提示視窗告知使用者該連結非公司本身之網站。
     (c)對經營之社群媒體應標示證券商名稱、聯絡方式,以區別為官方
        經營之社群媒體。
     (d)應建立帳號權限管理機制,對發布內容進行控管與監視,並針對
        不適當言論及異常事件,進行通報或處置。
 (3)行動裝置:
    a.公司應訂定公務用行動裝置之資訊安全規範與管理辦法,須包含以
      下項目:
     (a)行動裝置設備管理辦法應對於申請、使用、更新、繳回與審核應
        訂有相關規範。
     (b)人員異動時,行動裝置應進行重新配置或清除配置程序,以確保
        行動裝置環境安全性。
     (c)行動裝置應避免安裝非官方發佈之行動應用程式,或僅安裝由公
        司列出通過檢測可安裝之行動應用程式。
    b.公司應訂定員工自攜行動裝置之資訊安全規範與管理辦法,須包含
      以下項目:
     (a)公司應要求員工自攜行動裝置使用用途。
     (b)公司應與持有人簽署員工自攜行動裝置使用協議,含:使用限制
        及雙方責任等。
     (c)公司應限制內部資訊設備透過員工自攜行動裝置私接存取網際網
        路(Internet)之行為。
 (4)物聯網:
    應訂定物聯網相關資訊安全規範與管理辦法,須包含下列項目:
    a.應建立物聯網設備管理清冊並至少每年更新一次,且應變更前開設
      備之初始密碼。
    b.物聯網設備應具備安全性更新機制且定期(每年一次)更新,如存
      在已知弱點無法更新時,應建立補償性管控機制。
    c.應關閉物聯網設備不必要之網路連線及服務,避免使用對外公開的
      網際網路位置。
    d.如與物聯網設備供應商簽定採購合約時,其內容宜包含資訊安全相
      關協議,明確約定相關責任(如:服務承諾、安全性更新年限、主
      動通報設備已知資安漏洞並提出相關應變處置方案),確保設備不
      存在已知安全性漏洞。