為強化投信投顧事業管理及應用新興科技，特訂定本自律規範。

一、雲端運算服務：透過網路技術達成共享運算資源之前提下，提供使用
    者具備彈性、可擴展及可自助之服務（如：IaaS（基礎架構即服務）
    、PaaS（平台即服務）、SaaS（軟體即服務））。惟本自律規範定義
    之雲端運算服務不包含建置組織內部且僅對內提供服務之私有雲。
二、社群媒體：一種結合科技、社交互動與內容創造之網路應用，允許創
    造或交換使用者產出內容；且透過此高度互動的平台，個人及群體可
    以分享、共創、討論並修改使用者產出內容，惟本自律規範定義之社
    群媒體不含組織內部溝通使用之社群媒體或平台。
三、行動裝置：一種具有資料運算處理、儲存與網路連線功能之可攜式設
    備，包括但不限於智慧型手機、筆記型電腦、平板電腦與 PDA等裝置
    ，惟本自律規範定義之行動裝置僅限可用於處理組織內部定義之敏感
    性事務且可直接連接組織網路設備、服務之行動裝置。
四、員工自攜行動裝置（BYOD）：非屬組織行動裝置用於處理組織事務、
    直接連接組織網路設備或服務。
五、物聯網設備：指具網路連線功能之嵌入式系統設備及其周邊連網之裝
    置（如：感測器）。
六、電子式交易驗證：指以組織同意之電子式委託買賣前對使用者身分驗
    證資訊進行確認。惟本自律規範定義之電子式交易驗證僅適用透過網
    際網路交易之系統，不包含電話語音、電子式專屬線路下單（Direct
     Market Access，簡稱DMA）、主機共置（Co-Location）等服務型態
    。
七、深度偽造（Deepfake）：指使用電腦合成或其他科技方法製作或散布
    涉及真實人物實際未發生的行為舉止影像紀錄、動態圖像、錄音、電
    子圖像、照片及任何言語或行為等技術表現形式。
八、視訊會議軟體：可透過網路與設備裝置傳輸視訊、聲音或文字訊號的
    會議軟體（如Teams、Webex、Googlemeet等，包含利用各式瀏覽器連
    結之會議）。

公司管理及應用新興科技除應遵循主管機關金融監督管理委員會「指定非
公務機關個人資料檔案安全維護辦法」、本公會「投信投顧事業資訊安全
內部控制制度範本」等相關規範外，並應依本自律規範辦理。
外資集團在台子公司或分公司如有標準較佳之規範則從其規範；若無，則
應遵守本國的規範。

公司應事先評估使用雲端運算服務之風險，若雲端運算服務涉及關鍵性系
統、資料或服務者，應訂定雲端運算服務相關運作安全規範，其內容包含
下列項目：
一、公司為使用者時應訂定雲端運算服務提供者之遴選機制及查核措施。
二、公司為提供者時應訂定雲端運算服務安全控管措施。
三、就雲端服務中斷及終止應訂立管理措施。

公司應訂定社群媒體相關資訊安全規範，其內容包含下列項目：
一、訂定公司運用社群媒體管理辦法，以規範員工使用社群媒體之行為。
二、就開放員工使用之社群媒體類型評估其風險程度（例如資料外洩、社
    交工程、惡意程式攻擊等），並就高風險部分採適當的安全控管措施
    。
三、經營官方社群媒體之資訊安全控管辦法：
    （一）檢視所經營之社群媒體隱私政策及標明其風險。
    （二）標示公司名稱、地址、電話及許可證字號。
    （三）建立帳號權限管理機制，並對發布內容進行控管。
四、制定異常通報及申訴處理機制：
    （一）經營官方社群媒體之管理單位，宜不定時監看該社群媒體之討
          論內容，並針對不適當言論或異常事件，進行必要之通報或處
          置。
    （二）官方社群媒體應標示客戶申訴聯繫方式及處理窗口。

公司應訂定行動裝置相關資訊安全規範，其內容包含下列項目：
一、公務用行動裝置設備管理辦法。
二、員工自攜行動裝置管理辦法。
三、行動應用程式安全管理（適用具開辦電子交易投信投顧公司）：
    （一）行動應用程式發布：
          1.行動應用程式應於可信任來源之行動應用程式商店或網站發
            布，且應於發布時說明欲存取之敏感性資料、行動裝置資源
            及宣告之權限用途。
          2.應於官網上提供行動應用程式之名稱、版本與下載位置。
          3.應建立偽冒行動應用程式定期偵測機制，以維護客戶權益。
          4.應於發布前檢視行動應用程式所需權限應與提供服務相當，
            首次發布或權限變動應經資安、法遵單位同意，並留有紀錄
            ，以利綜合評估是否符合個人資料保護法之告知義務。
    （二）敏感性資料保護：
          1.行動應用程式傳送及儲存敏感性資料時應透過有效憑證、雜
            湊（Hash）或加密等機制以確保資料傳送及儲存安全，並於
            使用時應進行適當去識別化，相關存取日誌應予以保護以防
            止未經授權存取。
          2.啟動行動應用程式時，如偵測行動裝置疑似遭破解（如root
            、jailbreak、USB debugging等），應提示使用者注意風險
            。
    （三）行動應用程式檢測：
          1.涉及投資人使用之行動應用程式於初次上架前及有重大更新
            項目時應委由經財團法人全國認證基金會（ TAF）認證合格
            之第三方檢測實驗室進行並完成通過資安檢測，檢測範圍以
            經濟部工業局委託執行單位「行動應用資安聯盟」公布之行
            動應用程式基本資安檢測基準項目進行檢測。
          2.如通過實驗室檢測後一年內有更新上架之需要，應於每次上
            架前就重大更新項目進行委外或自行檢測；上架一年後若無
            重大更新項目時，應委外或自行檢測；所謂重大更新項目為
            與「下單交易」、「帳務查詢」、「身份辨識」及「客戶權
            益有重大相關項目」有關之功能異動。檢測範圍以OWASP MO
            BILE TOP 10之標準為依據，並留存相關檢測紀錄。
          3.公司對第三方檢測實驗室所提交之檢測報告，應依附錄所列
            檢測項目建立覆核機制，以確保檢測項目及內容一致，並留
            存覆核紀錄。

公司就具備網路連線功能且有連接外部或內部網路之自動化辦公（OA）設
備，應訂定物聯網設備資訊安全辦法，其內容包含下列項目：
一、設備盤點評估作業。
二、設備軟體控管措施。
三、設備權限控管措施。
四、設備連線控管措施。
五、供應商管理。
六、例外控管措施：物聯網設備存在已知弱點且無法更新，或因設備功能
    限制無法落實本條第二、三、四款規範之例外控管措施。
七、不具備管理功能之感測器仍應依本條第一、四、五、六款辦理。
前項評估作業及控管措施應定期更新。
公司採購物聯網設備時，宜優先採購取得資安標章之物聯網設備。
公司應定期辦理物聯網設備使用及管理人員資安教育訓練。

投信投顧業者應定期偵測釣魚網站，提醒客戶防範網路釣魚。

公司對於電子式交易身分的申請、交付、使用、更新與驗證應訂有相關控
管措施。
公司應就帳號登入失敗、非客戶帳號登入嘗試紀錄留存相關監控及分析紀
錄。
公司對電子式交易身分的驗證資訊於網際網路傳輸時應全程加密。
公司對電子式交易身分的驗證資訊應進行雜湊或加密儲存。
公司應於伺服器端驗證客戶電子式交易身分。
公司應使用優質密碼設定並進行管控，確實執行客戶密碼輸入錯誤次數達
一定次數者應予帳號鎖定。
公司應提供客戶定期更新密碼之機制並使用優質密碼。

公司使用影像視訊方式進行身分驗證應強化驗證。
公司宜定期辦理涵蓋深度偽造認知及防範議題資訊安全教育訓練。

公司應就全權委託投資業務投資經理人、基金經理人及依其權責執行公司
所發行基金或全權委託帳戶投資決策或執行公司有關投資交易行為者（以
下簡稱基金（全委）經理人及相關人員）使用視訊會議軟體訂定相關規範
以防範利益衝突，其內容應包含但不限以下項目：
一、訂定公司使用視訊軟體辦法，以規範基金（全委）經理人及相關人員
    使用視訊軟體之行為。
    （一）公司使用視訊會議軟體，應注意軟體版本適時更新，並避免使
          用有資安漏洞或疑慮之軟體。
    （二）基金（全委）經理人及相關人員召開之視訊會議，應直接提供
          與會者連結資訊、使用複雜性密碼，或建立核准機制，並視情
          況監看與會者身份，避免不相關人員參加會議。
    （三）視訊會議之網路傳輸連線應有安全加密機制。
二、評估基金（全委）經理人及相關人員使用視訊軟體之風險程度，並就
    高風險部分採適當的控管措施。
三、制定異常通報處理機制：如公司就基金（全委）經理人及相關人員使
    用視訊會議軟體發現不適當言論或異常事件（包含會議外利用視訊會
    議軟體的文字傳遞），應進行必要之通報或處置。

公司違反本自律規範，依本公會會員自律公約及其他有關之規定辦理。

本自律規範經本公會金融科技及資訊安全委員會會議通過，並報奉主管機
關核備後實施，修正時亦同。