发布文号: 台证稽字第0940300134号
1.信息处理部门之功能及职责划分(内部控制标准规范CC-11000)
(1)信息处理部门与业务单位之权责,应明确划分。
(2)信息作业人员皆应填具保密切结书;离职时应取消其识别码,并收缴其通行证、卡及相关证件。
(3)应定期(每年至少一次)对全公司员工办理信息安全宣导讲习(例如:防毒、资料备份、使用合法软件及电子邮件使用规定等),并留存纪录。
1-11-1.信息安全政策制订与评估(内部控制标准规范CC-11010)
(1)各公司应依据相关法令规定及公司业务需求,订定信息安全政策、信息作业之安全水准。
(2)制订信息安全政策,应包括下列事项:
a.信息安全之定义、信息安全之目标及信息安全之范围等。
b.信息安全政策之解释及说明,信息安全之原则、标准以及员工应遵守之相关规定。
c.推行信息安全工作之组织、权责及分工。
d.发生信息安全事件之紧急通报程序、处理流程、相关规定及说明。
(3)各公司所订定之信息安全政策,应经管理阶层核准,并应正式发布要求所有员工共同遵守,并转知与公司连线作业之公私机关(构)、提供信息服务之厂商共同遵行。
(4)各公司订定之信息安全政策,应至少每年评估一次,以反映法令规章、技术及业务等最新发展现况,确保信息安全实务作业之有效性。
(5)信息安全政策之评估,应以独立及客观之方式进行,并委由内部或外部专业机构办理。
1-21-2.信息安全组织及其权责(内部控制标准规范CC-11020)
(1)各公司应指定副总经理或高层主管人员,负责信息安全管理事项之协调及推动,并得视需要,成立跨部门之「信息安全推行小组」,统筹信息安全政策、计画、资源调度等事项之协调、研议。
(2)各公司应视信息安全管理需要,指定专人或专责单位负责规划与执行信息安全工作。
(3)各公司信息安全人力、能力及经验,如有不足之处,得委请外界的学者专家或民间专业组织及团体,提供信息安全顾问咨询服务。
2.应用系统维护管理(内部控制标准规范CC-12000)
(1)应使用具有合法版权之软件。
(2)委外作业应签订契约。
(3)委外人员计算机通行使用权利应经适当控管;委外期间结束后,应立即收回该项权利。
(4)已完成之程序因故需维护时,应依据经过正式核准之程序办理。
(5)各项文件与手册应经适当维护与控制。
(6)应用系统之维护应指派专人负责。
(7)对于进驻于公司内之委外作业人员应纳入公司安全管理,如欲使用内部网络资源时,应有安全管制措施(如透过转接方式或另建网络者,宜与内部网络作实体隔离)。
3.计算机系统管理(内部控制标准规范CC-13000)
(1)计算机设备之管理:
a.为确定计算机设备维护内容,应与厂商订有书面维护契约,做完维护时应留存维护纪录并由信息单位派人会同厂商维护人员共同检查。
b.因经营业务需要而为个人资料之搜集、计算机处理或国际传递及利用,应订定「与软硬件厂商机密维护及损害赔偿等双方权责划分」。
(2)计算机操作系统环境设定及使用权限设定:
a.计算机操作系统环境设定及使用权限设定应经有关主管核示,并由系统管理人员执行。
b.计算机系统档案异动前后皆有完善之备份处理措施。
(3)系统使用者管理:
a.对于程序的存取使用,应有详细的书面管制说明。
b.使用者第一次使用系统时,应更新初始密码后方可继续作业。
c.密码应以乱码方式储存。
d.人员异动时应及时更新其使用权限。
e.对于程序及档案之存取使用,应按权限区分。
f.对于使用者忘记密码之处理,应有严格的身分确认程序,方可再次使用系统。
g.宜使用优质密码设定(长度超过六个字符,且具有文数字及符号),并加强宣导定期更新使用者密码以不超过三个月为宜。
h.检查公司现有之网站、服务器、网络芳邻、路由器、交换器、作业系统及数据库等软硬件设备应设定使用密码,且避免使用预设(如administrator、root、sa)或简易(如1234)之帐号密码及未设管理者存取权限。
(4)应用系统异动管理:
a.正式作业与测试作业之程序、资料、工作控制指令等档案应分开存放。
b.程序经修改其相关文件应及时更新。
(5)证券经纪商应配备经营业务所需、且有适足容量之计算机系统。
(6)证券经纪商之计算机系统应订定定期(每年至少一次)由内部或委托外部专业机构评估计算机系统容量及安全措施之机制与程序,定期对系统容量进行压力测试,并留存纪录。
4.计算机作业管理(内部控制标准规范CC-14000)
(1)实体安全管理:
a.计算机机房应有门禁管制(例如:刷卡);机房应有防火设施,并应定期检验。另应将地震、水灾等天然灾害因素列入考量。
b.计算机设备应有独立之电源供应系统,其电源供应系统应含不断电设备及发电机。
(2)资料输入管理:
a.安全性或重要性较高之资料,应由权责主管人员核可后始得执行输入或修改b.所输入或修改之资料及其执行人员姓名、职称皆应留存纪录。
c.对隐密性高之重要资料(例如:密码文件)应以乱码后之资料形式存放。d.使用电子凭证IC卡或其它类型凭证芯片卡或其它凭证载具等代表公司签署之作业(例如:「公开信息观测站」、「证券商申报单一窗口」、「公文电子交换系统」等),该等凭证载具应由专人负责保管并设簿登记,且应订定相关帐号、密码保管及使用程序,并据以执行。
e.使用代表公司凭证载具签署之操作系统端若属证券商应用系统者(例如:「电子对帐单系统」),应留存计算机稽核纪录(log),其保存年限比照各作业资料应保存年限f.公司应定期或不定期稽核依计算机处理个人数据保护法定义之个人资料档案管理情形。
g.前揭个人数据文件之资料,其更新、更正或注销均应报经核准,并将更新、更正、注销内容、作业人员及时间详实记录。
(3)资料输出管理:
机密性、敏感性之报表打印或浏览应有适当之管制程序。
(4)储存媒体管理:
a.重要软件及其文件、清册应抄录备份存于另一安全处所。
b.重要之备份文件及软件若储存于与计算机中心同一建筑物内,应锁存于防火之房间或防火且防震之防火柜中。
c.存放备份资料之储存媒体,应于其卷标上注明存放资料之名称及保存期限。
(5)计算机操作管理:
a.操作日志应详实记载并逐日经主管核验,操作人员不可与主管为同一人。
b.系统主控台所留存之纪录,应经专人检查讯息内容且定期送主管核验。
5.备援及回复作业(内部控制标准规范CC-15000)
(1)故障复原程序(例如:计算机设备、通讯设备、电力系统、数据库、电脑操作系统等备援及回复计画)应明确订定,并制成文件。
(2)故障复原程序应周期性测试,测试后应召开检讨会议,针对测试缺失谋求改进,并留存纪录。
(3)证券经纪商之交易主机应有备援措施。
6.信息提供作业(内部控制标准规范CC-16000)
(1)各种重要法令规章及通知应立即张贴于公布栏。
(2)营业厅内应装置「公开信息观测站」,供客户自行操作使用。
(3)信息阅览室不得装设专用竞价用终端机。
(4)不得于信息阅览室从事与客户签定开户契约、接受买卖有价证券之委托交割及其它类似证券商业务行为。
(5)应依「计算机处理个人数据保护法」,妥善处理客户资料。
(6)于所设网站上提供股市实时交易信息,应经由与证交所签约之信息公司提供。
(7)应定期检查网站内对外提供之信息,对具机密性、敏感性之信息内容,应立即移除;并应遵守证券商推介客户买卖有价证券作业办法规定,且不得以公司名义将属于证券投资顾问事业范围之信息代为公开。
7.网络安全管理(内部控制标准规范CC-17000),适用网络下单证券商,不适用语音下单及传统下单之证券商;查核周期:月查核)
(1)网络系统安全评估:
a.应定期评估自身网络系统安全(例如:操作系统、网站服务器、浏览器、防火墙及防毒版本等),并留存相关纪录。
b.定期或适时修补网络运作环境之安全漏洞(含服务器、便携式、个人端及营业处所内供投资人共享之计算机等),并留存相关文件。
c.有关计算机网络安全(如信息安全政策宣导、防范网络骇客入侵事件、计算机防毒等)之事项应随时公告。
d.各计算机主机、重要软硬件设备应有专人负责。
(2)防火墙之安全管理:
a.应建立防火墙。
b.防火墙应有专人管理。
c.防火墙进出纪录及其备份应至少保存两个月。
d.重要网站及服务器系统(如网络下单系统等)应以防火墙与外部网际网络隔离。
e.防火墙系统之设定应经权责主管之核准。
(3)网络使用者帐号管理:
a.初始密码应随机产生,并与使用者身分无关。
b.密码输入错误次数达三次者,应予中断联机。
(4)网络传输安全管理:
网络下单画面应采加密方式(例如:SSL)处理。
(5)CA认证与凭证管理:
a.网络下单证券商应订定凭证交付程序,避免非本人取得凭证。
b.网络下单证券商应全面使用认证机制。
(6)计算机病毒及恶意软件之防范:
a.应安装防毒软件,并及时更新程序及病毒码。
b.应定期对计算机系统及资料储存媒体进行病毒扫瞄(含电子邮件)。
c.防毒应涵盖个人端(含便携式及营业处所内供投资人共享之计算机等)及网络服务器端计算机。
d.勿开启来历不明之电子邮件,对于电子邮件中带有执行文件之附件,尤应特别小心开启。
(7)网络下单系统功能检查:
应定期检查网络下单系统提供之功能,并留存纪录。
