2、資訊安全政策（CC-12000，年度查核）
   （1）公司應依據相關法令規定及公司業務需求，訂定資訊安全政策、
        資訊作業之安全水準。
   （2）制訂資訊安全政策，應包括下列事項：
        a.資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
        b.資訊安全政策之解釋及說明，資訊安全之原則、標準以及員工
          應遵守之相關規定。
        c.推行資訊安全工作之組織、權責及分工。
        d.發生資訊安全事件之緊急通報程序、處理流程、相關規定及說
          明。
   （3）公司所訂定之資訊安全政策，應經管理階層核准，並應正式發布
        要求所有員工共同遵守，並轉知與公司合作之公私機關（構）、
        提供資訊服務之廠商共同遵行。
   （4）公司訂定之資訊安全政策，應至少每年評估一次，以反映法令規
        章、技術及業務等最新發展現況，確保資訊安全實務作業之有效
        性，前開之評估工作應留存相關紀錄。
   （5）資訊安全政策之評估，應以獨立及客觀之方式進行，並由內部或
        委託外部專業機構辦理。
   （6）公司每年應將前一年度資訊安全整體執行情形，由資訊安全長或
        負責資訊安全之最高主管與董事長、總經理、稽核主管聯名出具
        「證券暨期貨市場各服務事業建立內部控制制度處理準則」第二
        十四條規定之內部控制制度聲明書，於會計年度終了後三個月內
        提報董事會通過，並將該聲明書內容揭露於主管機關指定之申報
        網站。
   （7）公司應參考「建立證券商資通安全檢查機制–分級防護應辦事項
        附表」辦理資訊安全分級防護應辦事項。
   （8）公司應依其所屬資安分級辦理核心系統導入資訊安全管理系統，
        並通過公正第三方之驗證，且持續維持驗證有效性。

7、通訊與作業管理（CC-17000）
   （1）網路安全管理（CC-17010，適用網際網路下單證券商，另a、b、
        f、m項並適用於所有證券商，每月查核）
        a.網路系統安全評估：
         (a)應定期評估自身網路系統安全（例如：作業系統、網站伺服
            器、瀏覽器、防火牆及防毒版本等），並留存相關紀錄。
         (b)定期或適時修補網路運作環境及作業系統之安全漏洞（含伺
            服器、攜帶型、個人端及營業處所內供投資人共用之電腦等
            ），並留存相關文件。
         (c)有關電腦網路安全（如資訊安全政策宣導、防範網路駭客入
            侵事件、電腦防毒等）之事項應隨時對內部公告。
         (d)各電腦主機、重要軟硬體設備應有專人負責。
         (e)公司網路應依用途區分為 DMZ、營運環境、測試環境及其他
            環境，並有適當區隔機制（如防火牆、虛擬區域網路、實體
            隔離等）。
         (f)個人資料及機敏資料應存放於安全的網路區域，不得存放於
            網際網路等區域。
         (g)系統應僅開啟必要之服務及程式，未使用之服務功能應關閉
            。
         (h)公司應建立遠端連線管理辦法，對使用外部網路遠端連線至
            公司內部作業進行控管及多因子身分認證，並留存相關維護
            紀錄並由權責主管定期覆核。
         (i)公司應防止未經授權設備使用內部網路。
         (j)應避免使用生命週期終止（ End of Service, EOS／End of
             Life, EOL）之軟體及網路設備，且於到期前擬定汰除計畫
            ，並視情況建立補償性措施。
        b.網路設備之安全管理：
         (a)應建立防火牆。
         (b)防火牆應有專人管理。
         (c)防火牆進出紀錄及其備份應至少保存三年。
         (d)重要網站及伺服器系統（如網路下單系統等）應以防火牆與
            外部網際網路隔離。
         (e)防火牆系統之設定應經權責主管之核准。
         (f)公司應每年定期檢視並維護防火牆存取控管設定，每半年檢
            視 DMZ區之防火牆規則，包含評估高風險設定及六個月內無
            流量之防火牆之必要性，及針對已下線資通系統於六個月內
            調整或停用該規則，並留存相關檢視紀錄。
         (g)公司建立網路設備規則應以最小授權及正面表列為原則。
         (h)公司應至少每年檢視一次對外網路設備規則，並留存相關紀
            錄。
        c.網路傳輸及連線安全管理：
         (a)網路下單畫面應採加密方式（例如：SSL）處理。
         (b)公司應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號
            嘗試登入紀錄等進行監控及分析，發現有帳號登入異常情事
            （如密碼輸入錯誤達三次、一定時間內大量帳號登入失敗、
            帳戶申請或更新憑證下載異常），應即時了解異常原因，並
            留存相關紀錄。
         (c)公司提供網路下單服務，應於網路下單登入時採多因子認證
            方式（例如：固定密碼、圖形鎖、下單憑證、綁定裝置、OT
            P、生物辨識等機制），以確保為客戶本人登入。
         (d)公司加密機制應優先考慮使用公開、國際機構驗證且未遭破
            解之演算法。
        d.多因子驗證：
          公司使用多因子驗證應具下列三項之任兩項技術：
         (a)公司所約定之資訊，且無第三人知悉（如固定密碼、圖形鎖
            或手勢等）。
         (b)客戶所持有之實體設備（如密碼產生器、密碼卡、晶片卡、
            電腦、行動裝置、憑證載具等），公司應確認該設備為客戶
            與公司所約定持有之設備。
         (c)客戶提供給公司其所擁有之生物特徵（如指紋、臉部、虹膜
            、聲音、掌紋、靜脈、簽名等），公司應直接或間接驗證該
            生物特徵。
        e.身分認證與憑證管理
         (a)網路下單證券商應訂定憑證交付程序，避免非本人取得憑證
            。客戶申請或更新憑證下載，必須採用多因子（如：下單憑
            證、綁定裝置、OTP、生物辨識及SIM認證等）驗證方式，且
            與登入帳戶時使用之因子不同，確實辨認客戶身分並留存紀
            錄。
         (b)網路下單證券商應全面使用認證機制。
         (c)公司應於伺服器端驗證客戶交易身分及使用者帳號。
         (d)公司對電子交易身分之申請、交付、使用、更新與驗證應訂
            定相關規範。
        f.電腦病毒及惡意軟體之防範：
         (a)應安裝防毒軟體，並及時更新程式及病毒碼。
         (b)應定期對資通系統及資料儲存媒體進行病毒掃描（含電子郵
            件）。
         (c)防毒應涵蓋個人端（含攜帶型及營業處所內供投資人共用之
            電腦等）及網路伺服器端電腦。
         (d)勿開啟來歷不明之電子郵件，對於電子郵件中帶有執行檔之
            附件，尤應特別小心開啟。
         (e)為防範電腦病毒擴散，影響電腦安全，公司應訂定電子郵件
            使用安全相關規定及建立郵件過濾機制。
         (f)公司應建立軟體白名單控管機制。
         (g)公司應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣
            魚。
         (h)公司應每年定期辦理社交工程演練，並對誤開啟信件或連結
            之人員進行教育訓練，並留存相關紀錄。
        g.網路系統功能檢查：
         (a)應定期檢查網路下單系統提供之功能，並留存紀錄。
         (b)應就提供外部連線使用網路系統偵測網頁與程式異動、記錄
            並通知相關人員處理。
        h.公司提供API服務規範：公司提供客戶使用應用程式介面（API
          ）服務之申請流程、核可標準及相關控管配套措施相關作業，
          應依「證券商受理客戶使用應用程式介面（ API）服務作業規
          範」辦理。
        i.網際網路下單服務品質相關標準：
          公司提供網際網路下單業務時，兼顧客戶服務品質，應訂定網
          際網路下單服務品質相關標準，並應包含下列重點如：交易之
          安全性、交易之穩定及系統可用性、提供客戶服務。
        j.網路攻擊防護機制導入及安全性檢測
         (a)公司應依其所屬資安分級定期對提供網際網路服務之核心系
            統辦理滲透測試，並依測試結果進行改善。
         (b)公司應依「證券商辦理資通系統資訊安全評估作業程序」並
            就其所屬資安分級定期辦理資通安全健診作業。
         (c)公司應依其所屬資安分級建立資通安全威脅偵測管理機制（
            應含括事件收集、異常分析、偵測攻擊並判斷攻擊行為）
         (d)公司應依其所屬資安分級建立入侵偵測及防禦機制。
         (e)公司應依其所屬資安分級設置應用程式防火牆。
         (f)公司應依其所屬資安分級辦理進階持續性威脅攻擊防禦措施
            。
         (g)核心系統身分驗證機制應防範自動化程式之登入或密碼更換
            嘗試，非核心系統宜防範自動化程式之登入或密碼更換嘗試
            。
        k.帳號登入或異常態樣通知：
          公司對於客戶帳號登入時宜進行通知，如有符合以下異常態樣
          應即通知客戶，並留存紀錄，避免非客戶本人登入情事：
         (a)密碼輸入錯誤或帳戶被鎖定。
         (b)申請或更新憑證。
         (c)變更基本資料。
         (d)異常來源或行為嘗試登入等
         (e)密碼申請異動或補發時。
        l.異常IP登入之監控與預警：
          公司應對異常及不明來源IP連線進行監控分析及留存紀錄，如
          有發現下列情形，應設有警示機制，並定期檢視以確認機制有
          效運作：
         (a)同一來源IP登入不同帳號達一定次數以上。
         (b)同一帳號在一定時間內由不同國家登入。
         (c)發現異常來源（如金融資安資訊分享與分析中心 F–ISAC公
            布之黑名單或國外IP）嘗試登入。
        m.無線網路管理：
         (a)公司設置無線網路應採用現行公開資訊已認可且無弱點之安
            全協定。
         (b)公司提供內部無線網路使用應限內部人員公務用或資訊服務
            供應商申請核准後使用。
   （2）電腦系統及作業安全管理（CC–17020，半年查核）
        a.電腦設備之管理：
          為確定電腦設備維護內容，應與廠商訂有書面維護契約，做完
          維護時應留存維護紀錄並由資訊單位派人會同廠商維護人員共
          同檢查。
        b.電腦作業系統環境設定及使用權限設定：
         (a)電腦作業系統環境設定及使用權限設定應經有關主管核示，
            並由系統管理人員執行。
         (b)電腦系統檔案異動前後皆有完善之備份處理措施。
         (c)公司應建立系統最高權限帳號管理辦法（含作業系統及應用
            系統），如需使用最高權限帳號時須取得權責主管同意，並
            留存相關紀錄。
         (d)公司應建立並落實個人電腦、伺服器及網路通訊設備之安全
            性組態基準（如密碼長度、更新期限等）。
         (e)公司透過網際網路使用帳號登入系統時，應採用多因子認證
            機制。
         (f)資通系統內部時鐘應定期與基準時間源進行同步。
         (g)公司應依其所屬資安分級對核心系統重要組態設定檔案及其
            他具保護需求之資訊進行加密或以其他適當方式儲存。
         (h)公司應依其所屬資安分級訂定對核心系統之閒置時間或可使
            用期限與核心系統之使用情況及條件（如：帳號類型與功能
            限制、操作時段限制、來源位址限制、連線數量及可存取資
            源等）。
        c.電腦媒體之安全管理：
         (a)重要軟體及其文件、清冊應抄錄備份存於另一安全處所。
         (b)重要之備份檔案及軟體若儲存於與電腦中心同一建築物內，
            應鎖存於防火之房間或防火且防震之防火櫃中。
         (c)存放備份資料之儲存媒體，應於其標籤上註明存放資料之名
            稱及保存期限。
         (d)應建立機密性及敏感性資料媒體之相關處理程序，防止資料
            洩露或不當使用。
         (e)應建立回存測試機制，以驗證備份之完整性及儲存環境的適
            當性。
         (f)公司應依據系統特性與資料復原點目標（ RPO），考量備份
            頻率、儲存媒體類型（光碟、外接硬碟、磁帶）、資料類型
            （虛擬機映像檔、系統源碼、資料庫與組態設定檔等）、備
            份類型（完整備份、增量備份與差異備份）、備份方式（網
            路同步寫入、網路非同步寫入與離線備份）等，制定適當之
            資料備份機制，如採離線備份應依備份類型建立適當的備份
            基準（baseline），以確保資料可正確回存。
         (g)公司制定資料備份機制時，宜考量「 3–2–1備份原則」，
            至少製作三份備份；將備份分別存放在兩套獨立不同儲存設
            備；至少一份放在異地保存。
        d.電腦操作管理：
         (a)操作人員應確實依規定操作程序執行。
         (b)操作日誌應詳實記載並逐日經主管核驗，操作人員不可與主
            管為同一人。
         (c)系統主控台所留存之紀錄，應經專人檢查訊息內容且定期送
            主管核驗。
        e.證券經紀商應配備經營業務所需、且有適足容量之電腦系統。
        f.證券經紀商之電腦系統應訂定定期（每年至少一次）由內部或
          委託外部專業機構評估電腦系統容量及安全措施之機制與程序
          ，定期對系統容量進行壓力測試，並留存紀錄。

CC–17010已詳列j項為網際網路下單證券商適用。
本項修改係為證券商辦理資安健診應依「證券商辦理資通系統資訊安全評
估作業程序」及所屬資安分級定期辦理相關作業。