公司應訂定行動裝置相關資訊安全規範，其內容包含下列項目：
一、公務用行動裝置設備管理辦法。
二、員工自攜行動裝置管理辦法。
三、行動應用程式安全管理（適用具開辦電子交易投信投顧公司）：
    （一）行動應用程式發布：
          1.行動應用程式應於可信任來源之行動應用程式商店或網站發
            布，且應於發布時說明欲存取之敏感性資料、行動裝置資源
            及宣告之權限用途。
          2.應於官網上提供行動應用程式之名稱、版本與下載位置。
          3.應建立偽冒行動應用程式定期偵測機制，以維護客戶權益。
          4.應於發布前檢視行動應用程式所需權限應與提供服務相當，
            首次發布或權限變動應經資安、法遵單位同意，並留有紀錄
            ，以利綜合評估是否符合個人資料保護法之告知義務。
    （二）敏感性資料保護：
          1.行動應用程式傳送及儲存敏感性資料時應透過有效憑證、雜
            湊（Hash）或加密等機制以確保資料傳送及儲存安全，並於
            使用時應進行適當去識別化，相關存取日誌應予以保護以防
            止未經授權存取。
          2.啟動行動應用程式時，如偵測行動裝置疑似遭破解（如root
            、jailbreak、USB debugging等），應提示使用者注意風險
            。
    （三）行動應用程式檢測：
          1.涉及投資人使用之行動應用程式於初次上架前及有重大更新
            項目時應委由經財團法人全國認證基金會（ TAF）認證合格
            之第三方檢測實驗室進行並完成通過資安檢測，檢測範圍以
            經濟部工業局委託執行單位「行動應用資安聯盟」公布之行
            動應用程式基本資安檢測基準項目進行檢測。
          2.如通過實驗室檢測後一年內有更新上架之需要，應於每次上
            架前就重大更新項目進行委外或自行檢測；上架一年後若無
            重大更新項目時，應委外或自行檢測；所謂重大更新項目為
            與「下單交易」、「帳務查詢」、「身份辨識」及「客戶權
            益有重大相關項目」有關之功能異動。檢測範圍以OWASP MO
            BILE TOP 10之標準為依據，並留存相關檢測紀錄。
          3.公司對第三方檢測實驗室所提交之檢測報告，應依附錄所列
            檢測項目建立覆核機制，以確保檢測項目及內容一致，並留
            存覆核紀錄。