臺灣證券交易所60週年特刊

326 二 證券商資通安全防護 （一）建立證券商資通安全檢查機制 證交所於 91 年起即制定「建立證券商資通安全檢查機制」，規範證券商應辦理之資通安全控 管機制。現行規範為參照 ISO27001 國際資訊安全管理標準（ Information Security Management System ，簡稱： ISMS ），將證券商應遵循之資通安全分類為 12 大項。 （二）證券期貨市場相關公會新興科技資訊安全管控指引 為有效因應市新資安威脅與資訊科技發展，證交所每年召開 2 次「資安新威脅與資訊科技發 展 workshop 」。另依新興金融科技發展趨勢，適時檢視修訂「證券期貨市場相關公會新興 科技資訊安全管控指引」，並協助公會發展為自律規範，協助證券期貨業者安全有效地管 理及應用新興科技，目前包含：雲端運算服務運作安全、行動裝置、社群媒體以及物聯網 （ IoT ）設備等議題。 （三）證券商資安分級防護 因證券商規模差異懸殊，過往常囿於中小型業者資源不足問題，難以進一步強化業者資安管 理及防護措施要求。主管機關證期局在考量業者規模、業務特性及一旦發生資安事件時對市 場及投資人帶來的衝擊，於 107 年依證券商資本額進行差異化管理，將業者分為 4 級，要求配 置不同之資安單位暨人力編制。 參考 ISO27001 資訊安全管理系統 年度資安查核 專案查核 Policies System acquisition, development and maintenance Organization Asset management Physical and environmental Operations Supplier relationships Access control Communications Cryptography Human resource Incident management BCM Compliance