資通安全

第一章 總則

• 第一條 為強化資訊通訊安全，防止本公司之資訊系統及相關資料遭不當使用、洩漏、竄改、破壞等情事，並確保與網路連線之資訊系統及其資料的安全，並維護本公司電腦運作順暢、設備及資料具安全性、完整性、隱密性，落實電腦資訊使用管理，維護電腦資源有效運用，以期整體資訊業務順利進行，爰參考證交所與期交所與集保之資通安全查核項目訂定此資通安全辦法。
• 第二條、資訊安全政策
  • 一、 公司應依據相關法令規定及公司業務需求，訂定資訊安全政策、資訊作業之安全水準。
  • 二、 制訂資訊安全政策，應包括下列事項：
    • （一） 資訊安全之定義、資訊安全之目標及資訊安全之範圍等。
    • （二） 資訊安全政策之解釋及說明，資訊安全之原則、標準以及員工應遵守之相關規定。
    • （三） 推行資訊安全工作之組織、權責及分工。
    • （四） 發生資訊安全事件之緊急通報程序、處理流程、相關規定及說明。
  • 三、 公司所訂定之資訊安全政策，應經管理階層核准，並應正式發布要求所有員工共同遵守，並轉知與公司連線作業之公私機關（構）、提供資訊服務之廠商共同遵行。
  • 四、 公司訂定之資訊安全政策，應至少每年評估一次，以反映法令規章、技術及業務等最新發展現況，確保資訊安全實務作業之有效性，前開之評估工作應留存相關紀錄。
  • 五、 資訊安全政策之評估，應以獨立及客觀之方式進行，並由內部或委託外部專業機構辦理。
• 第三條、 內部稽核對各部門資訊作業，應進行定期或不定期之資訊安全稽核。
• 第四條、 安全組織
  • 一、 公司應指定副總經理或高層主管人員，負責資訊安全管理事項之協調及推動，並得視需要，成立跨部門之「資訊安全推行小組」，統籌資訊安全政策、計畫、資源調度等事項之協調、研議。
  • 二、 本公司視資訊安全管理需要及所屬資安分級，指定專人或專責單位負責規劃與執行資訊安全工作，且資訊安全專責人員及專責主管每年應定期參加十五小時以上資訊安全專業課程訓練或職能訓練並通過評量。其他使用資訊系統之從業人員，每年應至少接受三小時以上資訊安全宣導課程。
  • 三、 公司資訊安全人力、能力及經驗，如有不足之處，得委請外界的學者專家或民間專業組織及團體，提供資訊安全顧問諮詢服務。
  • 四、 資訊處理部門與業務單位之權責，應明確劃分。
  • 五、 本公司配置適當人力資源及設備，實收資本額未達四十億元者，配置至少一名資訊安全人員，負責資訊安全制度之規劃、監控及執行資訊安全管理作業，除兼辦資訊職務外，不得兼辦其他與職務有利益衝突之業務。

第二章 人員安全管理

• 第五條、 人員分為：訪客、內部員工、協力廠商。
• 第六條、 人員進出應佩帶識別證或是識別卡。
• 第七條、 邀請訪客或協力廠商時，須事先報告相關業務主管，經相關業務主管同意後始可進行。
• 第八條、 訪客或協力廠商進出時須有相關業務之內部員工陪同，以確保資訊安全。
• 第九條、 訪客或協力廠商離開公司時，應收回其所有相關權利。
• 第十條、 內部員工於職務異動時，依據人事室人事派令分配該人員之相關存取控制權限。
• 第十一條、 人員存取控制之權限設定由資訊部或業務相關人員執行。
• 第十二條、 人員存取控制之權限設定時，需要填寫網路帳號申請表。
• 第十三條、 內部員工皆須填保密切結書，離職時須取消其識別碼及帳號，在離職會辦單上應有明確紀錄。

第三章 資通安全教育訓練

• 第十四條、 授課講師由資訊部指派相關人員或是合作廠商指派講師或是電腦補習班講師擔任。
• 第十五條、 定期對公司全體員工或是業務相關人員辦理資通安全觀念與電腦操作宣導。
• 第十五條、 定期對公司全體員工或是業務相關人員辦理資通安全觀念與電腦操作宣導。
• 第十六條、 資通安全教育訓練每年至少實施乙次，經理級以下之教育訓練總時數每年不得少於八小時，經理級（含）以上之教育訓練總時數每年不得少於四小時。
• 第十七條、 授課時出席人員需簽名報到，授課出席記錄於授課完畢後歸檔存查。

第四章 實體與環境安全

• 第十八條、 電腦機房應隨時予以鎖住，應設有門禁管制，人員進出均須登記簿上簽名。除操作員、主管、各伺服器主機之系統管理者、維修人員、管理人員外，非經許可，不准進入。
• 第十九條、 機房需設有防火措施並定期檢驗，另將地震、水災等天然災害因素列入考量。操作人員應熟悉消防設施之操作方法，並配合管理人員每半年檢查消防設施乙次。
• 第二十條、 不斷電設備機發電機之週期性維護紀錄（每一季維護）。
• 第二十一條、 應訂定設備報廢作業程序，報廢前應將機密性、敏感性資料及授權軟體予以移除或實施安全性覆寫或實體破壞，應確保報廢之電腦硬碟及儲存媒體儲存之資料不可還原，並留存報廢紀錄。
• 第二十二條、 設備（應含電腦、電力及通訊纜線等）應安置在適當的地點並予以保護，以減少環境不安全引發的危險及減少未經授權存取系統的機會。
• 第二十三條、 電源供應應考量安置預備電源，並將不斷電系統失效之後的應變措施納入，對於特別敏感性或是特別重要的系統，應採取額外強化的安全措施。
• 第二十四條、 應妥善地維護設備，以確保設備的完整性及可以持續使用。
• 第二十五條、 實體環境的安全保護，應以事先劃定的各項周邊設施為基礎，並設置必要的障礙（如：使用者身分識別證），以達安全控管的目的。
• 第二十六條、 實體環境的安全保護程度，應視資訊資產及系統價值的安全風險而決定。
• 第二十七條、 管制區內應有適當的進出管制保護措施（如：配發識別證），並記錄來訪人員進出時間和目的，以確保只有被授權的人員始得進入（如：電腦機房、媒體檔案庫房等）。
• 第二十八條、 電腦廠商的資訊人員或維護服務人員，只有在被要求或是被授權的情形下，才能進入管制區域，並視需要限制（例如限制存取敏感性的資料）及監督其活動。
• 第二十九條、 電腦機房應設立良好的實體安全措施；地點的選定，應考量水災、火災、地震等自然及人為災害的可能性，並考量鄰近空間的可能安全威脅。
• 第三十條、 凡進入電腦機房之人員，除應配掛機房專用識別證外，應於機房門口設置檢核或監錄等保護措施。
• 第三十一條、 應考量採用辦公桌面的淨空政策，以減少文件及磁碟片等在辦公時間外，遭人取用、遺失或被破壞的機會。
• 第三十二條、 個人電腦及電腦終端機不再使用時，應關機、離線或是其他控制措施。
• 第三十三條、 公司應定期審查資訊機房門禁管制權限。

第五章 通訊與作業管理

第三十四條、 網路安全管理
• 一、 網路系統安全評估
  • （一） 定期評估自身網路系統安全(例如：作業系統、網站伺服器、瀏覽器、防火牆軟體、及防毒軟體版本)並留存相關紀錄。
  • （二） 定期或適時修補網路運作之安全漏洞(含伺服器、攜帶型、個人端及營業處所內供交易人共用之電腦等)，並留存相關文件。
  • （三） 有關電腦網路安全（如資訊安全政策宣導、防範網路駭客入侵事件、電腦防毒等）之事項應隨時公告，讓員工提高警覺心。
  • （四） 各電腦主機、重要軟硬體設備需指定專人負責。
  • （五） 禁止非公司之電腦設備未經申請核准而連結上內部網路。
  • （六） 公司網路應依用途區分為DMZ、營運環境、測試環境及其他環境，並有適當區隔機制(如防火牆、虛擬區域網路、實體隔離等)。
  • （七） 個人資料及機敏資料應存放於安全的網路區域，不得存放於網際網路等區域。
  • （八） 系統應僅開啟必要之服務及程式，未使用之服務功能應關閉。(網際網路下單證券商適用)。
  • （九） 公司建立遠端連線管理辦法，對使用外部網路遠端連線至公司內部作業進行控管，留存相關維護紀錄並由權責主管定期覆核。
  • （十） 公司防止未經授權設備使用內部網路。
• 二、 防火牆之安全管理
  • （一） 須繪製網路架構圖以檢查確認重要網站及伺服器系統（如網路下單系統）應以防火牆與外部網際網路隔離。
  • （二） 須架設防火牆，並留存防火牆進出紀錄，並設專人管理，紀錄及其備份至少保留三年。
  • （三） 防火牆設定更改需有一定申請程序，應經資訊部主管之核准簽章並由專人負責更改。
  • （四） 公司應每年定期檢視並維護防火牆存取控管設定，並留存相關檢視紀錄。
  • （五） 公司交易相關網路直接連線之設備不得使用危害國家資通安全產品。
• 三、 網路傳輸安全管理
網路下單畫面應採加密方式（例如:SSL）處理，並使用憑證進行認證，並保留相關之認證文件。
• 四、 CA認證與憑證管理
  • （一） 訂定憑證交付程序，避免非本人取得憑證。
  • （二） 全面使用認證機制。
• 五、 電腦病毒及惡意軟體之防範
  • （一） 應安裝防毒軟體並及時更新程式及病毒碼。防毒應涵蓋個人端（含伺服器、攜帶型、個人端及營業處所內供交易人共用之電腦等），及網路伺服器端電腦。
  • （二） 定期對電腦系統及資料儲存媒體進行病毒掃描(含電子郵件)，並應含蓋伺服器端電腦（每週定期進行掃毒程序）。
  • （三） 如有機器遭受病毒感染，應立即與網路離線，直到網管人員確認病毒已刪除，才可重新與網路連線。
  • （四） 對於來路不明的電子郵件，應即刻刪除，以免隨意打開郵件，啟動惡意執行檔，致網路系統遭到破壞。對於電子郵件中帶有執行檔之附件，尤應特別小心開啟。
  • （五） 為防範電腦病毒擴散，影響電腦安全，公司應訂定電子郵件使用安全相關規定。
  • （六） 公司應建立上網管制措施，以避免下載惡意程式。
  • （七） 公司應偵測釣魚網站及惡意網站連結並提醒客戶防範網路釣魚。
  • （八） 公司宜每年定期辦理社交工程演練，並對誤開啟信件或連結之人員進行教育訓練，並留存相關紀錄。
  六、 網路下單系統功能檢查：
  • （一） 應定期檢查網路下單系統提供之功能，並留存紀錄。
  • （二） 應就網路下單系統偵測網頁與程式異動、記錄並通知相關人員處理。

第三十五條、 電腦系統及作業安全管理

• 一、 電腦設備之管理 （一） 為確定電腦設備維護內容，應與廠商訂有維護契約，做完維護時應留存維護記錄，並由資訊部派人會同廠商維護人員共同檢查。
• 二、 電腦作業系統環境設定及使用權限設定
  • （一） 電腦作業系統環境設定及使用權限設定應經有關主管核示，並由系統管理人員執行。
  • （二） 電腦系統檔案異動前後皆有完善之備份處理措施。
  • （三） 宜使用優質密碼設定(長度超過六個字元，且具有文數字及符號)，並加強宣導定期更新內部員工密碼，內部員工密碼的使用期限以不超過三個月為宜。
  • （四） 內部員工依職務需求所取得相關資訊系統之帳號及密碼，需負保密之責，不得將帳號轉讓或出借他人使用。內部員工若發現帳號遭盜用或有任何異常破壞使用安全之情形，應立即通知資訊部處理。
  • （五） 公司建立系統最高權限帳號管理辦法(含作業系統及應用系統)，如需使用最高權限帳號時須取得權責主管同意，並留存相關紀錄。
  • （六） 公司建立並落實個人電腦、伺服器及網路通訊設備之安全性組態基準(如密碼長度、更新期限等)。
• 三、 電腦媒體之安全管理
  • （一） 存放備份資料之儲存媒體，應於其標籤上註明存放資料之名稱及保存期限，讓後繼者能正確清楚辨識。
  • （二） 如果儲存媒體無論任何理由必須被丟棄時，它必先確認媒體上的資料有無任何重要的資料。不重要的資料可以在丟棄前進行刪除。任何包含有重要資料的媒體應被徹底消除銷毀、消磁。
  • （三） 重要軟體及其文件、清冊應抄錄備份存於另一安全地點。
  • （四） 重要之備份檔案及軟體若儲存於與電腦中心同一建築物內，應鎖存於防火之房間或防火且防震之防火櫃中。
  • （五） 應建立機密性及敏感性資料媒體之相關處理程序，防止資料洩露或不當使用。
  • （六） 應制定可攜式電腦儲存媒體之使用規範，除非必要應避免儲存含有個人資料之資料檔案。
  • （七） 應制定資訊設備或軟體攜出之授權機制。
  • （八） 應建立回存測試機制，以驗證備份之完整性及儲存環境的適當性。
• 四、 電腦操作管理
  • （一） 工作日誌應詳實記載，並逐日經主管驗核，操作人員不應與主管為同一人。工作日誌內容不應過於簡陋，應有明確工作項目。
  • （二） 操作各式機器設備時應依各操作手冊處理，執行各指定之操作程序時應按操作程序上之規定執行，並嚴禁獨斷行為，如無規定例外處理時，應經主管同意。
  • （三） 各種硬體、軟體或設備運作故障或異常時，值班人員應於工作日誌上作成記錄，並視情況填寫異常狀況工作報告表，並邀集系統或各項專業人員進行故障排除。
  • （四） 異常狀況工作報告表應編號管理並追蹤，並提供資訊部同仁研讀，以免重覆犯錯或加速經驗累積。
  • （五） 操作人員應確實依規定執行程序。
  • （六） 系統主控台所留存之紀錄，應經專人檢查訊息內容且定期送主管核驗。
  • （七） 應設定電腦螢幕的定時鎖定，設定時間依實際作業需求評估，包括個人電腦、伺服器、資料庫等。
• 五、 應配備經營業務所需、且有適足容量之電腦系統。

六、 電腦系統應訂定定期（每年至少一次）由內部或委託外部專業機構評估電腦系統容量及安全措施之機制與程序，定期對系統容量進行壓力測試，並留存紀錄。

第三十六條、 資料庫管理員不得兼任操作員及應用程式設計工作。

第三十七條、 資訊人員應於日常營運時進行資料庫相關維運工作。

第三十八條、 訂定所有電腦設備應均已列管（以書面或電腦方式）及評估投保適當額度的保險，訂立維護合約。

第三十九條、 公用資料夾使用管理規範應包含公用資料夾內之資料保存期限、權限申請、銷毀程序與銷毀紀錄及定期清理等，銷毀紀錄及定期清理公用資料夾內的資料應留存相關定期清理與銷毀之紀錄。

第四十條、 傳遞公司重要機密資料檔案時，應先行加密處理後方可寄送。

第六章 存取控制

第四十一條、 應訂定資訊系統存取控制規定，並以書面、電子或其他方式告知員工遵守。

第四十二條、 權限管理

• 一、 業務系統應將其存取控制需求，明確告知系統服務提供者，以利其執行及維持有效的存取控制機制。
• 二、 業務應用系統擁有者，應訂定系統存取控制規定，並明定使用單位及使用人員的系統存取權利。
• 三、 對於程式及檔案之存取使用，應按權限區分。
• 四、 委外人員電腦通行使用權利應經適當控管；委外期間結束後，應立即收回該項權利。
• 五、 應詳細描述遠端登入資訊系統之核准機制，以降低系統受有心人士操控之風險。
• 六、 應制定開放遠端軟體連線之作業程序，包含權限申請，帳號維護與開啟遠端連線之存取紀錄等相關程序。
• 七、 對於進駐於公司內之委外作業人員應納入公司安全管理，如欲使用內部網路資源時，應有安全管制措施（如透過轉接方式或另建網路者，宜與內部網路作實體隔離）。
• 八、 定期（至少每半年一次）審查並檢討久未使用之使用者權限（使用者為客戶者除外）。
• 九、 系統存取權限之配賦，應以執行業務及職務所必需者為限，當使用者調整職務及離（休）職時，應儘速註銷其系統存取權限。（人員異動時應及時更新其使用權限）。
• 十、 終端機使用者之識別碼及通行碼，均應限制使用，並嚴禁轉知他人，若已為他人知悉者，應即報告主管適時更新；凡因故被冒用致造成不良後果，應負洩密之責。

第四十三條、 密碼管理

• 一、 使用者笫一次使用系統時，應更新初始密碼後方可繼續作業。
• 二、 密碼應以亂碼方式儲存。
• 三、 使用者忘記密碼時，必須確認其身分，並向資訊部重新申請，方可再次使用系統。
• 四、 網路使用者帳號輸入錯誤達3次應即中斷連線。
• 五、 除輸入介面僅可輸入數字外（例如：語音按鍵下單），公司應使用優質密碼設定（長度6個字元（含）以上，且具有文數字或符號），並加強宣導客戶定期更新使用者密碼，以不超過三個月為宜。除客戶外，公司其他使用者之密碼應至少每三個月變更一次。
• 六、 檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作業系統及資料庫等軟硬體設備應設定使用密碼，且避免使用預設(如administrator、root 、sa)或簡易(如1234)之帳號密碼及未設管理者存取權限。

第四十四條、 電腦稽核紀錄管理

• 一、 對重要系統（如主機連線系統、網路下單系統等）之稽核日誌記錄內容應包括使用者識別碼、登入之日期時間、電腦的識別資料或其網址等事項。
• 二、 對重要系統之電腦稽核紀錄，應有專人定期檢視。

第四十五條、 資料輸入管理

• 一、 資料應劃分安全等級，安全性或重要性較高之資料，應由權責主管人員核可後始得執行輸入或修改。
• 二、 所輸入或修改之資料及其執行人員姓名、職稱皆應留存紀錄。
• 三、 對隱密性高之重要資料（例如:密碼檔）應以亂碼後之資料形式存放（shadow file）。
• 四、 使用電子憑證ＩＣ卡或其他類型憑證晶片卡或其他憑證載具等代表公司簽署之作業（例如：「公開資訊觀測站」、「證券商申報單一窗口」、「公文電子交換系統」等），該等憑證載具應由專人負責保管並設簿登記，且應訂定相關帳號、密碼保管及使用程序，並據以執行。
• 五、 使用代表公司憑證載具簽署之作業系統端若屬證券商應用系統者（例如：「電子對帳單系統」），應留存電腦稽核紀錄（log），其保存年限比照各作業資料應保存年限。
• 六、 公司應定期或不定期稽核依「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」定義之個人資料檔案管理情形。
• 七、 前揭個人資料檔案之資料，其更新、更正或註銷均應報經核准，並將更新、更正、註銷內容、作業人員及時間詳實記錄。
• 八、 公司如屬公開發行公司者，應於內部控制制度納入「公開發行公司網路申報公開資訊應注意事項」，並據以辦理相關申報事宜。
• 九、 應依「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」妥善處理客戶資料。
• 十、 因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用，應訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。

第四十六條、 資料輸出管理

• 一、 機密性敏感性之報表列印或瀏覽應有主管授權管制程序。
• 二、 報表按時產生並分送各使用單位。
• 三、 應建立機密性及敏感性資料媒體之相關處理程序，防止資料洩露或不當使用。

第七章 系統開發及維護

• 第四十七條、應用系統在規劃分析時應將資訊安全需求納入分析及規格。
• 第四十八條、應用系統於使用者輸入資料時要做資料正確性檢查，以確認資料之正確性。
• 第四十八條、應用系統於使用者輸入資料時要做資料正確性檢查，以確認資料之正確性。
• 第四十九條、應使用具有合法版權之軟體，妥善保管相關電腦書藉及使用手冊（電腦、列表機）和所附系統軟體，應用軟體等。嚴禁私自拷貝或安裝不相關套裝軟體至主機系統中。使用者之電腦設備主機各種軟體之安裝及使用，須依規定程序申請，核准後始得安裝。倘使用者未依規定程序自行安裝各種軟體，以致違反智慧財產權及相關法令規定，則屬使用者個人行為，須由個人自行全權負責。
• 第五十條、 委外作業需簽訂契約並需加註保密條款與損害賠償（罰則），委外作業契約內容應包含資訊安全協定與對委外廠商資安稽核權等條款。
• 第五十一條、已完成之程式因故需維護時，系統開發與設計及業務流程需由資訊人員、作業人員共同開發負責，經使用單位依需求提出，經過使用單位及資訊單位主管之授權後為之，並有適當之記錄以登錄所有修改需求之內容與進度之正常核准程序辦理。
• 第五十二條、各項文件與手冊應經適當維護與控制
• 第五十三條、應用系統之維護應指派專人負責。
• 第五十四條、應用系統異動管理
  • 一、正式作業與測試作業之程式、資料、工作控制指令等檔案應分開存放。
  • 二、程式經修改後其相關文件應及時更新。
  • 三、另明訂應有適當之控制程序以確保正式環境之執行程式與經核准之原始程式之版本一致。
• 第五十五條、公司應定期（至少每半年乙次）辦理資訊系統弱點掃描作業，針對所辨識出之潛在系統弱點，宜評估其相關風險或安裝修補程式，並留存紀錄。
• 第五十六條、新應用系統上線前，應進行必要之測試，並填寫測試紀錄並保留存查；新應用系統上線時要有相關的測試、上線記錄。程式更改時，其授權、執行、測試及複核等程序，訂立程式及資料變更辦法，並有適當之記錄經使用單位及資訊單位主管之授權後為之。
• 第五十七條、如應用系統委託專業機構辦理者，應注意下列重點：
  • 一、資訊軟、硬體設備及作業管理有委外管理情形者，應於委外契約（至少應含委外管理範圍、委外管理期間、委外管理費用、委外管理責任、智慧財產權協議、保密義務、查核條款等）中明確訂定雙方電腦資訊作業管理之安全性規範、業務（含內部稽核）之責任區分及雙方之資訊人員管理規範，以達成明確區分公司與接受委外管理公司權責之目的。
  • 二、資訊軟、硬體設備及作業管理有委外管理情形者，內部稽核人員仍應依內部控制制度之電腦作業與資訊提供循環所規定之週期，確實執行相關稽核作業。

第八章 營運持續管理

• 第五十八條、 公司擬訂營運持續計畫（含起動條件、參與人員、緊急程序、備援程序、維護時間表、教育訓練、職責說明、往來外單位之應變規劃及合約適當性等）及其必要之維護，並擬訂關鍵性業務及其衝擊影響分析，再依其所屬資安分級定期辦理業務持續運作演練。
• 第五十九條、資訊安全事件緊急處理機制
  • 一、資訊安全事件之通報及處理程序
  • （一）資訊安全人人有責，凡公司同仁遇有任何資訊安全之可疑情形，應立即向資訊部反應。
  • （二）當事人應立即判斷問題之嚴重程度，向部門主管反應。
  • （三）經資訊部主管判定為資安事件，資訊部人員應於發生1小時內辦理通報及提供詳細細節，2小時內向上級主管機關報備。
  • 二、發現資訊安全事件時之處理
  • （一）公司同仁遇有資訊安全之可疑情形立即停止使用電腦(將畫面擷取下來)，拔掉網路連線，儘可能保持當時之電腦現況（主機、螢幕、印表機等），不要關機。
  • （二）記下日期、時間、地點、單位、螢幕之訊息等，通報資訊部值勤人員。
• 第六十條、 交易主機備援措施
  • 一、電腦系統檔案異動前後皆有完善之備份處理措施。
  • （一）交易主機必須有備援措施。
  • （二）各相關檔案資料應定期由專人備份，重要檔案並應異地儲存。
  • （三）做完的備份磁帶存放異地銀行保管箱。
  • 二、重要的業務資料，應複製備份資料並異地儲存。
• 第六十一條、一般個人電腦問題處理 一般使用者如有個人電腦使用上相關問題，如電腦故障、作業系統安裝、應用軟體設定及安裝、網路設定、移機、裝機或印表機相關問題等等，應填寫電腦作業處理申請單，資訊部受理此申請單後，應儘速排定時間及人員前往處理，如有緊急或特殊狀況時，資訊部先行處理，再由使用單位補填電腦作業處理申請單作為處理依據。
• 第六十二條、備援及回復作業
  • 一、對網路系統中之防火牆與各主機應定期做系統備份，包括完整系統備份、系統架構設定備份與稽核資料備份。
  • 二、系統之備援及回復程序 故障復原程序(例如電腦設備、通訊設備、電力系統、資料庫、電腦作業系統等備援及回復計劃)應明確訂定並製成文件。
  • 三、系統之備援及回復程序之週期性測試紀錄 故障復原程序應週期性測試與開會檢討、紀錄、改進，以確認該程序是有作用的。（故障復原程序應週期性測試，測試後應召開檢討會議，針對測試缺失謀求改進，並留存紀錄）。
  • 四、相關備援及災害回復作業請參考「系統故障暨災害回復計劃」。
  • 五、應訂定電腦不正常停機之立即回復作業程序，尤其是對高使用率的系統應有妥適的回復措施。

第九章 其他

• 第六十三條、各種重要法令規章及通知應立即張貼於公布欄。
• 第六十四條、應依「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」，妥善處理客戶資料。
• 第六十五條、於所設網站上提供股市即時交易資訊，應經由與證交所簽約之資訊公司提供。
• 第六十六條、應定期檢查網站內對外提供之資訊，對具機密性、敏感性之資訊內容，應立即移除；並應遵守證券商推介客戶買賣有價證券作業辦法規定，且不得以公司名義將屬於證券投資顧問事業範圍之資訊代為公開。
• 第六十七條、證券營業廳內應裝置「公開資訊觀測站」，供客戶自行操作使用。
• 第六十八條、上市公司之營運資料、公開說明書應陳列於證券投資資料櫃供客戶閱覽。
• 第六十九條、資訊閱覽室應未限定對象並且無收費行為。
• 第七十條、 資訊閱覽室不得裝設專用競價用終端機。
• 第七十一條、不得於資訊閱覽室從事與客戶簽定開戶契約、接受買賣有價證券之委託交割及其他類似證券商業務行為。
• 第七十二條、證券商若於網站平台上進行推介，應設有密碼以控管得閱覽個股研究報告之客戶；且客戶應與證券商簽訂推介契約（國內機構投資人及外國機構投資人得免簽）。

第十章 新興科技應用

• 第七十三條、 雲端服務
  • 一、本公司為雲端服務使用者時應訂定雲端運算服務運作安全規範，內含雲端提供者之遴選機制、查核措施、備援機制、服務水準(含資訊安全防護)與復原時間要求等，如有不符需求之處，需有其它補償性措施。
  • 二、本公司為雲端服務提供者時，應訂定雲端運算服務安全控管措施，應包含法律遵循、權限控管、權責歸屬及資訊安全防護等項目。如涉及敏感性資料之傳遞，應使用超文字傳輸安全協定(HTTPS)、安全檔案傳輸協定(SFTP)等加密之網路協定。
• 第七十四條、 社群媒體
  • 一、本公司訂定社群媒體相關資訊安全規範與運用社群媒體管理辦法，並包含下列項目：
  • (一) 界定可於公務用社群媒體上分享之業務相關資料。
  • (二) 界定私人與公務用社群媒體之區別與應注意事項。
  • 二、本公司針對開放員工使用社群媒體評估其風險程度，包含：資料外洩、社交工程、惡意程式攻擊等，並採行適當的安全控管措施。
  • 三、本公司訂定經營官方社群媒體資訊安全規範與管理辦法，並包含下列項目：
  • (一) 事先了解所經營之社群媒體隱私政策，並定期檢視其隱私政策之異動及評估其風險。
  • (二) 於官方網站提供連結供使用者連至本公司外之社群媒體時，應出現提示視窗告知使用者該連結非本公司本身之網站。
  • (三) 對經營之社群媒體應標示證券商名稱、聯絡方式，以區別為官方經營之社群媒體。
  • (四) 建立帳號權限管理機制，對發布內容進行控管與監視，並針對不適當言論及異常事件，進行必要之通報或處置。
• 第七十五條、 行動裝置 本公司訂定行動裝置之資訊安全規範與管理辦法，並包含以下項目：
  • 一、公務用行動裝置設備管理辦法：
  • (一)公務用行動裝置管理辦法對於申請、使用、更新、繳回與審核應訂有相關規範。
  • (二)人員異動時，應進行重新配置或清除配置程序，以確保行動裝置環境安全性。
  • (三)對公務用之行動裝置應避免安裝非官方發佈之行動應用程式，或僅安裝由公司列出通過檢測可安裝之行動應用程式。
  • 二、員工自攜行動裝置管理辦法，應含以下項目：
  • (一)要求員工自攜行動裝置使用用途。
  • (二)與持有人簽署員工自攜行動裝置使用協議，含：使用限制及雙方責任等。
  • (三)限制內部資訊設備透過員工自攜行動裝置私接存取網際網路 (Internet)之行為。
  • 三、本公司訂定行動應用程式之發佈規範與管理辦法，並包含下列要點：
  • (一)應用程式發佈前，應確認程式碼或程序庫符合以下安全事項：
  • 1.通過內容安全或驗證程序，如：程式原始碼檢測或掃描，確認未含惡意程式碼與有敏感性資料。
  • 2.行動應用程式宜完整定義特殊符號篩選機制。
  • (二)無法取得行動應用程式原始碼時，應要求行動應用程式提供者符合前項安全事項。
  • 四、 本公司訂定行動應用程式安全控管規範與管理辦法，並包含以下項目：
  • (一)針對交易或帳務等敏感性資料設計行動應用程式存取驗證機制，並僅供經授權之行動應用程式使用該敏感性資料。
  • (二)透過行動應用程式發送簡訊或其他訊息通知方式告知使用者敏感性資料時，應進行適當去識別化。
  • (三)透過行動應用程式傳送帳號、密碼及其他敏感性資料時，以憑證驗證或加密機制確保傳送安全。
  • (四)透過行動應用程式儲存密碼、憑證、交易或帳務等敏感性資料時，對儲存之資料進行雜湊(Hash)或加密控管保護。
  • (五)透過行動應用程式處理交易或金流作業時，留存存取日誌，且存取日誌應予以保護以防止未經授權存取。
  • (五)透過行動應用程式處理交易或金流作業時，留存存取日誌，且存取日誌應予以保護以防止未經授權存取。
• 第七十六條、 物聯網 本公司訂定物聯網相關資訊安全規範與管理辦法，須包含下列項目：
  • (一) 應建立物聯網設備管理清冊並至少每年更新一次，且應變更前開設備之初始密碼。
  • (二) 物聯網設備應具備安全性更新機制且定期更新，如存在已知弱點無法更新時，應建立補償性管控機制。
  • (三) 應關閉物聯網設備不必要之網路連線及服務，避免使用對外公開的網際網路位置。
  • (四) 如與物聯網設備供應商簽定採購合約時，其內容宜包含資訊安全相關協議，明確約定相關責任(如：服務承諾、安全性更新年限、主動通報設備已知資安漏洞並提出相關應變處置方案)，確保設備不存在已知安全性漏洞。
  • (五) 公司採購物聯網設備時，優先採購取得資安標章之物聯網設備。
  • (六) 公司定期辦理物聯網設備使用及管理人員資安教育訓練。