发布文号: 台财证二字第0920103074号
中华民国九十二年二月十九日财政部证券暨期货管理委员会台财证二字第0920103074号函准予备查
中华民国九十二年三月三十一日台湾证券交易所股份有限公司台证稽字第0920300133号函修正发布全文7点;并自九十二年五月一日起实施
1 信息处理部门之功能及职责划分(内部控制标准规范CC-11000)
(1)信息处理部门与业务单位之权责,应明确划分。
(2)信息作业人员皆应填具保密切结书;离职时应取消其识别码,并收缴其通行证、卡及相关证件。
(3)应定期(每年至少一次)对全公司员工办理信息安全宣导讲习(例如:防毒、资料备份、使用合法软件及电子邮件使用规定等),并留存纪录。
2 应用系统维护管理(内部控制标准规范CC-12000)(1)应使用具有合法版权之软件。
(2)委外作业应签订契约。
(3)委外人员计算机通行使用权利应经适当控管;委外期间结束后,应立即收回该项权利。
(4)已完成之程序因故需维护时,应依据经过正式核准之程序办理。
(5)各项文件与手册应经适当维护与控制。
(6)应用系统之维护应指派专人负责。
3 计算机系统管理(内部控制标准规范CC-13000)(1)计算机设备之管理:
a为确定计算机设备维护内容,应与厂商订有书面维护契约,做完维护时应留存维护纪录并由信息单位派人会同厂商维护人员共同检查。
b因经营业务需要而为个人资料之搜集、计算机处理或国际传递及利用,应订定「与软硬件厂商机密维护及损害赔偿等双方权责划分」。
(2)计算机操作系统环境设定及使用权限设定:
a计算机操作系统环境设定及使用权限设定应经有关主管核示,并由系统管理人员执行。
b计算机系统档案异动前后皆有完善之备份处理措施。
(3)系统使用者管理:
a对于程序的存取使用,应有详细的书面管制说明。
b使用者第一次使用系统时,应更新初始密码后方可继续作业。
c密码应以乱码方式储存。
d人员异动时应及时更新其使用权限。
e对于程序及档案之存取使用,应按权限区分。
f对于使用者忘记密码之处理,应有严格的身分确认程序,方可再次使用系统。
(4)应用系统异动管理:
a正式作业与测试作业之程序、资料、工作控制指令等档案应分开存放。
b程序经修改其相关文件应及时更新。
(5)证券经纪商应配备经营业务所需、且有适足容量之计算机系统。
(6)证券经纪商之计算机系统应订定定期(每年至少一次)由内部或委托外部专业机构评估计算机系统容量及安全措施之机制与程序,定期对系统容量进行压力测试,并留存纪录。
(7)证券经纪商之交易主机应有备援措施。
4 计算机作业管理(内部控制标准规范CC-14000)(1)实体安全管理:
a计算机机房应有门禁管制(例如:刷卡)。
b机房应有防火设施,并应定期检验。另应将地震、水灾等天然灾害因素列入考量。
c计算机设备应有独立之电源供应系统,其电源供应系统应含不断电设备及发电机。
(2)资料输入管理:
a安全性或重要性较高之资料,应由业务单位主管授权后才执行输入或修改。
b所输入或修改之资料及其执行人员姓名、职称皆应留存记录。
c对隐密性高之重要资料(例如:密码文件、成交文件、委托档)应以乱码后之资料形式存放。
(3)资料输出管理:
机密性、敏感性之报表打印或浏览应有适当之管制程序。
(4)储存媒体管理:
a重要软件及其文件、清册应抄录备份存于另一安全处所。
b重要之备份文件及软件若储存于与计算机中心同一建筑物内,应锁存于防火之房间或防火且防震之防火柜中。
c存放备份资料之储存媒体,应于其卷标上注明存放资料之名称及保存期限。
(5)计算机操作管理:
a操作日志应详实记载并逐日经主管核验,操作人员不可与主管为同一人。
b系统主控台所留存之纪录,应经专人检查讯息内容且定期送主管核验。
5 备援及回复作业(内部控制标准规范CC-15000)(1)故障复原程序(例如:计算机设备、通讯设备、电力系统、数据库、电脑操作系统等备援及回复计画)应明确订定,并制成文件。
(2)故障复原程序应周期性测试,测试后应召开检讨会议,针对测试缺失谋求改进,并留存纪录。
6 信息提供作业(内部控制标准规范CC-16000)(1)各种重要法令规章及通知应立即张贴于公布栏。
(2)营业厅内应装置「公开信息观测站」,供客户自行操作使用。
(3)信息阅览室不得装设专用竞价用终端机。
(4)不得于信息阅览室从事与客户签定开户契约、接受买卖有价证券之委托交割及其它类似证券商业务行为。
(5)应依「计算机处理个人数据保护法」,妥善处理客户资料。
(6)于所设网站上提供股市实时交易信息,应经由与证交所签约之信息公司提供。
7 网络安全管理(内部控制标准规范CC-17000),适用网络下单证券商,不适用语音下单及传统下单之证券商;查核周期:月查核)(1)网络系统安全评估:
a应定期评估自身网络系统安全(例如:操作系统、网站服务器、浏览器、防火墙及防毒版本等),并留存相关纪录。
b定期或适时修补网络运作环境之安全漏洞,并留存相关文件。
c有关计算机网络安全(如信息安全政策宣导、防范网络骇客入侵事件、计算机防毒等)之事项应随时公告。
d各计算机主机、重要软硬件设备应有专人负责。
(2)防火墙之安全管理:
a应建立防火墙。
b防火墙应有专人管理。
c防火墙进出纪录及其备份应至少保存两个月。
d重要网站及服务器系统(如网络下单系统等)应以防火墙与外部网际网络隔离。
e安全性或重要性较高之资料,应由业务单位主管授权后才执行输入或修改。
f防火墙系统之设定应经权责主管之核准。
(3)网络使用者帐号管理:
a初始密码应随机产生,并与使用者身分无关。
b密码输入错误次数达三次者,应予中断联机。
(4)网络传输安全管理:
网络下单画面应采加密方式(例如:SSL)处理。
(5)CA认证与凭证管理:
a网络下单证券商应订定凭证交付程序,避免非本人取得凭证。
b网络下单证券商应全面使用认证机制。
(6)计算机病毒及恶意软件之防范:
a应安装防毒软件,并及时更新程序及病毒码。
b应定期对计算机系统及资料储存媒体进行病毒扫瞄(含电子邮件)。
c防毒应涵盖个人端及网络服务器端计算机。
