中華民國票券金融商業同業公會（以下簡稱本公會）為督促會員公司資訊
業務與相關資訊資產之安全，發揚自律精神，防範資訊處理作業過程發生
影響資訊及系統機密性、完整性及可用性之安全事件，確保資訊處理作業
能安全有效地運作，特訂定本自律規範。

用詞定義
一、資訊資產：包含軟體、硬體、環境、文件、通訊、資料、人員等。
二、行動裝置（ Mobile device）：係指連接於公司內部網路之裝置，亦
    稱為移動裝置或手持裝置（ handheld device）等，典型的行動裝置
    如智慧型手機、平板電腦與筆記型電腦等。
三、員工自攜裝置 （Bring Your Own Device, BYOD）：係指非屬公司資
    產，員工透過該裝置以無線或有線通訊方式連接至公司內部網路，存
    取作業系統或檔案服務。
四、雲端服務（Cloud Services）：係指服務提供者以租借方式提供個人
    或企業得承租其網路、伺服器、儲存空間、基礎設施、資安設備、系
    統軟體、應用程式、分析與計算等資源，以達資源共享之服務。
五、物聯網設備 （Internet of Things, IoT）：係指具網路連線功能並
    連線於Internet或Intranet之崁入式系統（具有小型作業系統）設備
    ，包含自動化辦公設備（如數位錄影機、電話交換機、傳真機、錄音
    設備、影印機等）及不具備遠端操控介面功能之感測器。

保密切結
各會員公司辦理資訊安全規範，應至少遵循下列規定：
一、要求所聘任之員工簽署保密切結書，遵守資訊安全保密協定。
二、有委外業務者，於委外契約中明訂資訊安全保密協定。
三、透過定期、適當之教育訓練或宣導，告知內部人員遵循資訊安全相關
　　規範。
四、管理階層應督導員工遵循公司之資訊安全相關規範。
五、員工職務異動時，依既定程序辦理資訊資產退回與存取權限之變更或
　　取消。
六、設備（含行動裝置）報廢時，實施安全性覆寫或實體破壞，以確保報
　　廢之電腦硬碟及儲存媒體中儲存之資料不可還原，並留存銷毀紀錄，
　　若委託第三者銷毀時，應簽訂保密合約。

行動裝置管理
各會員公司若允許員工使用行動裝置（含BYOD）應訂相關規範，並至少每
年檢視一次。其內容應至少包含下列項目：
一、行動裝置及使用人員管理。
二、行動裝置之安全控管。
　　1.使用者必須透過事先申請審核後，行動裝置始可連接公司內部網路
　　　。
　　2.訂定行動裝置連網安全規範。
　　3.針對客戶或機敏性資料應考量以加密存取管制。
　　4.使用行動裝置時須遵守公司相關規範。
　　5.訂定遺失處理程序。

雲端服務管理
各會員公司若使用雲端服務前應訂定使用雲端服務之相關規範，並至少每
年檢視一次。其內容應至少包含下列項目：
一、雲端服務安全管理。
二、訂定雲端服務提供者遴選機制。
三、雲端服務持續營運管理。
四、使用雲端服務時，客戶或機敏性資料須建置加密等適當存取管制。

資訊安全檢視作業
各會員公司應建立資安防禦機制，並定期辦理下列資訊安全檢視作業項目
，以改善並提升網路與資訊系統安全防護能力。
一、資訊架構檢視：
　　檢視網路架構之配置及資訊設備安全管理規範。
二、網路活動檢視：
　　1.檢視資安設備（如：防火牆、防毒軟體等）之監控紀錄，識別異常
      記錄與確認警示機制。
　　2.檢視網路是否存在異常連線或異常網域名稱解析伺服器（Domain N
      ame System Server,DNS Server）查詢，並以比對是否為已知惡意
      IP.中繼站或有符合網路惡意行為的特徵。
三、網路設備、伺服器及終端設備等檢測：
　　1.檢測網路設備、伺服器及終端設備是否存在惡意程式並辦理弱點掃
　　　描與修補作業。
　　2.檢測系統帳號登入密碼複雜度；檢視外部連接密碼（如檔案傳輸（ 
　　　File Transfer Protocol,FTP）連線、資料庫連線等）之儲存保護
      機制與存取控制。
四、對外網站安全檢測：
　　1.針對網站進行滲透測試及弱點掃描。
　　2.檢視網站目錄及網頁之存取權限。
五、安全設定檢視：
　　1.檢視伺服器（如網域服務Active Directory）有關「密碼設定原則
　　　」與「帳號鎖定原則」設定。
　　2.檢視應用系統存取權限及特權帳號管理。
　　3.檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定及更
　　　新狀態，以符合弱點掃描之要求。
　　4.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠，連
　　　線設定是否有安全性弱點。

一、參考銀行公會「金融機構辦理電腦系統資訊安全評估辦法」之內容，
    對於本條文內容增加明確之執行檢視項目。
二、為避免混淆將第四款外部網站安全檢測修正為對外網站安全檢測。

資訊系統災害備援因應對策
各會員公司應研擬資訊系統災害備援能力相關對策，以降低資訊系統發生
災害事故造成營運之影響，其內容應至少包含下列項目：
一、資訊系統災害事前管理措施：
　　1.對於重要資訊系統之資料檔案，應定期進行資料備份及還原測試。
　　2.應進行資訊系統災害備援因應措施之文件製作。
　　3.針對重要資訊系統應定期擇項辦理備援演練。
二、資訊系統災害發生時之因應及通報：
　　1.資訊系統發生事故時，應參考災害備援因應措施相關文件進行事故
　　　排除。
　　2.災害事故發生若造成公司無法正常營運時，除進行內部通報外，亦
　　　依各主管機關相關規定進行通報。
　　3.災害事故排除後，應記錄事故狀況及處理情形，並檢討事故發生之
　　　原因，以防止事故重複發生。

社交工程演練
各會員公司每年應至少一次針對使用電腦系統人員，於安全監控範圍內，
寄發演練郵件，加強資通安全教育，以期防範惡意程式透過社交方式入侵
。

物聯網設備管理
各會員公司使用物聯網設備應訂相關規範，並至少每年檢視一次。其內容
應至少包含下列項目：
一、建立物聯網設備管理清冊並至少每年更新一次，以識別設備用途、網
　　段、存放位置與管理人員，評估適當之實體環境控管措施及存取權限
　　管制。
二、設備應具備安全性更新機制，以維持設備之整體安全性。
三、設備及無線連接網路者，應採用具加密協定之無線存取點連接網路，
　　並以網路卡卡號白名單等機制進行設備綁定。
四、設備應關閉不必要之網路連線及服務，並避免使用對外公開之網際網
　　路位置，如設備採用公開的網際網路位置，應於設備前端設置防火牆
　　以防護，並採用白名單方式進行存取過濾。
五、設備存在已知弱點且無法修補、更新，或無法落實本條款第二、三、
　　四項之安全控管規範，應限制網際網路連線能力，並視需要訂定汰換
　　期程。
六、設備於採購或租賃前，應與廠商簽訂資訊安全協議明確約定相關責任
　　，並評估設備是否滿足本條款，若無法滿足，應依本條款第五項辦理
　　。

資訊安全事件通報
各會員公司若發生資訊安全事件時，應依相關規定通報主管機關，並採取
適當處理措施，以控制資安事件影響之範圍。

本自律規範經本公會理事會議通過，並報奉主管機關備查後施行，修正時
亦同。