歷史修訂資訊
發文機關 | 臺灣證券交易所股份有限公司 函 |
受文者 | 如行文單位 |
發文日期 | 中華民國111年12月28日 |
發文字號 | 臺證輔字第1110025093號 |
速別 | 最速件 |
主旨 | 修正「建立證券商資通安全檢查機制」暨「分級防護應辦事項附表」、「證券商內部控制制度標準規範」、內部稽核實施細則及查核明細表如附件,修正項目除已註明生效日者外,餘自公布日起實施,請查照。 |
說明 | 一、案經報奉金融監督管理委員會111年12月22日金管證券字第1110361945號函同意照辦。
二、修正事項摘述如下: (一)「建立證券商資通安全檢查機制」及「內部控制制度標準規範」: 1、依據主管機關111年11月13日金管證券字第1110384596號令,證券商應依所屬資安分級配置適當資安人力(CC-13000安全組織),並於112年1月起實施。 2、為強化資安監控,公司應就提供外部連線使用之網路系統,監控網頁與程式異動(CC-17010網路安全管理、f.(b)),及公司透過網際網路使用帳號登入系統應採用多因子認證機制(CC-17020電腦系統及作業安全管理、b.(e))等二項,自112年6月底生效。 (二)「建立證券商資通安全檢查機制-分級防護應辦事項附表」,依各應辦事項完成日辦理: 1、應辦事項一,配合「證券期貨業永續發展轉型執行策略」之策略2,第三級證券商之核心資訊系統應導入CNS 27001或ISO 27001等資訊安全管理系統標準或其他具有同等或以上效果之系統或標準,並完成公正第三方驗證及持續維持驗證有效性。 2、應辦事項二,配合「證券期貨業永續發展轉型執行策略」之策略2,除依規配置適當資安人力外,公司資安人員應取得並維持有效之證照數,相關資通安全證照類別得參考資安法之專業證照清單。 3、應辦事項九,為加強資安監控,第三級證券商應建置資通安全威脅偵測管理機制(SIEM)。 4、應辦事項十、十一,為強化資安防護能力,證券商應建置「入侵偵測及防禦機制」與「應用程式防火牆」資安防禦設備;未提供網頁下單服務者,得免建置「應用程式防火牆」。 5、應辦事項十五,為防範撞庫等網路攻擊,提供網際網路下單服務之第三級與第四級證券商應建置網路活動異常監控作業系統。 三、請配合旨揭內容修正貴公司內部控制制度,並提報董事會通過。 |
正本 | 各證券商總公司 |
副本 | 金融監督管理委員會證券期貨局、金融監督管理委員會檢查局、財團法人中華民國證券櫃檯買賣中心、中華民國證券商業同業公會、臺灣集中保管結算所股份有限公司、臺灣期貨交易所股份有限公司、法源資訊股份有限公司、植根國際資訊股份有限公司、國際通商法律事務所、博仲法律事務所、本公司券商輔導部(均含附件) |
附件 |
1、R-1110025093-1
2、R-1110025093-2 3、R-1110025093-3 4、R-1110025093-4 5、R-1110025093-5 6、R-1110025093-6 7、R-1110025093-7 |