中華民國銀行商業同業公會全國聯合會（以下簡稱本會）為確保金融機構
使用物聯網（Internet of Things,IoT）設備之安全性，降低相關作業風
險，特訂定本規範。

本規範所稱物聯網設備係指具網路連線功能並連線於Internet或Intranet
之崁入式系統（具有小型作業系統）設備（以下簡稱設備），包含自動化
辦公設備（如數位錄影機、電話交換機、傳真機、錄音設備、影印機等）
及不具備遠端操控介面功能之感測器。

應建立物聯網設備管理清冊並至少每年更新一次，以識別設備用途、網段
、存放位置與管理人員，評估適當之實體環境控管措施及存取權限管制。

設備應具備安全性更新機制，以維持設備之整體安全性。

為確保經授權之使用者始得進行資料存取、設備管理及安全性更新等操作
，設備應具備身分驗證機制，並應進行初始密碼變更，密碼長度不應少於
六位，建議採英數字混合使用，且宜包含大小寫英文字母或符號，並以最
小權限原則針對不同的使用者身分進行授權。

設備以無線連接網路者，應採用具加密協定之無線存取點連接網路，並以
網路卡卡號白名單等機制進行設備綁定。

設備應關閉不必要之網路連線及服務，並避免使用對外公開之網際網路位
置，如設備採用公開的網際網路位置，應於設備前端設置防火牆以防護，
並採用白名單方式進行存取過濾。

應與設備供應商簽訂資訊安全相關協議，以明確約定相關責任。

設備無法落實本規範第四、五、六、七條之安全控管規範，應限制網際網
路連線能力，加強存取控制或進行網路連線行為監控。

設備存在已知弱點且無法修補或更新，應依本規範第九條辦理，並視需要
訂定汰換期程。

設備於採購前應依據本規範進行評估及測試，若因業務發展需求選用無法
滿足本規範要求之設備，應依本規範第九條辦理。

針對不具備遠端操控介面功能之感測器，仍應遵循本規範第三、七、八、
九、十、十一條之要求辦理。

本規範經本會理事會通過並函報金融監督管理委員會核備後實施，修正時
亦同。