DOC《建立期货商资通安全检查机制》

委外期间结束后,应立即收回该项权利. 对於进驻於公司内之委外作业人员应纳入公司安全管理,如欲使用内部网路资源时,应有安全管制措施(如透过转接方式或另建网路者,宜与内部网路作实体隔离). 密码管理: a.使用者第一次使用系统时,应更新初始密码后方可继续作业. b.密码应以乱码方式储存. c.对於使用者忘记密码之处理,应有严格的身分确认程序,方可再次使用系统. d.初始密码应随机产生,并与使用者身分无关. e.密码输入错误次数达三次者,应予中断连线. 除输入介面仅可输入数字外(例如:语音按键下单),公司应使用优质密码设定(长度超过六个字元以上,且具有文数字或符号),并加强宣导定期更新使用者密码以不超过三个月为宜. 检查公司现有之网站、伺服器、网路芳邻、路由器、交换器、作业系统及资料库等软硬体设备应设定使用密码,且避免使用预设(如administrator、root 、sa)或简易(如1234)之帐号密码及未设管理者存取权限. (4)电脑稽核纪录管理: a.对重要系统(如主机连线系统、网路下单系统等)之稽核日志记录内容应包括使用者识别码、登入之日期时间、电脑的识别资料或其网址等事项. b.对上开重要系统之电脑稽核纪录,应有专人定期检视. (5)资料输入管理: 安全性或重要性较高之资料,应由权责主管人员核可后始得执行输入或修改. 所输入或修改之资料及其执行人员姓名、职称皆应留存纪录. 对隐密性高之重要资料(例如:密码档)应以乱码后之资料形式存放. 公司如属公开发行公司者,应於内部控制制度纳入「公开发行公司网路申报公开资讯应注意事项」,并园炖硐喙厣瓯ㄊ乱. 使用电子凭证IC卡或其他类型凭证晶片卡或其他凭证载具等代表公司签署之作业(例如:「公开资讯观测站」、「证券商申报单一窗口」、「公文电子交换系统」等),该等凭证载具应由专人负责保管并设簿登记,且应订定相关帐号、密码保管及使用程序,并灾葱. 使用代表公司凭证载具签署之作业系统端若属期货商应用系统者(例如:「电子对帐单系统」),应留存电脑稽核纪录(log),其保存年限比照各作业资料应保存年限. 为业务需要以电脑所处理或L集之个人资料,应依「电脑处理个人资料保护法」之规定向主管机关登记. 应依「电脑处理个人资料保护法」,妥善处理客户资料. 公司应定期或不定期稽核依电脑处理个人资料保护法定义之个人资料档案管理情形. 前揭个人资料档案之资料,其更新、更正或注销均应报经核准,并将更新、更正、注销内容、作业人员及时间详实记录. (6)资料输出管理: 报表是否按时产生并分送各使用单位. 机密性、敏感性之报表列印或浏览是否有适当之管制程序. 系统开发及维护 应用系统在规划分析时应将资讯安全需求纳入分析及规格. 输入资料是否有作检查,以确认其正确性. 应使用具有合法版权之软体. 委外作业应签订契约. 已完成之程式因故需维护时,应依胶俗贾绦虬炖. 各项文件与手册应经适当维护与控制. 应用系统之维护应指派专人负责. 期货、选择权新商品上线前或配合交易系统、结算系统相关作业变更时,应配合进行必要之全市场测试. 应用系统异动管理: 正式作业与测试作业之程式、资料、工作控制指令等档案应分开存放. 程式经修改其相关文件应及时更新. 公司应定期(至少每半年乙次)办理资讯系统弱点扫描作业,针对所辨识出之潜在系统弱点,宜评估其相关风险或安装修补程式,并留存纪录(适用网际网路下单期货商). 营运持续管理 故障复原程序(例如:电脑设备、通讯设备、电力系统、资料库、电脑作业系统等备援及回复计画)应明确订定,并制成文件. 故障复原程序应周期性测试,测试后应召开检讨会议,针对测试缺失谋求改进,并留存纪录. 期货经纪商之交易主机应有备援措施. 公司宜拟订营运持续计画(含起动条件、参与人员、紧急程序、备援程序、维护时间表、教育训练、职责说明、往来外单位之应变规划及合约适当性等)及其必要之维护,并拟订关键性业务及其冲击影响分析. 公司应订定资讯安全讯息通报机制(例如:正式之通报程序及资安事件通报联络人),宜针对与资讯系统有关之资讯安全事故,采取适当矫正程序,并留存纪录. 符合性 应定期(每年至少一次)办理资讯安全稽核作业(内部办理或委托外部专业机构),并应留存稽核纪录. 公司是否针对前开之资讯安全稽核报告办理追踪改善情形(包括稽核摘要、稽核围、缺失说明及改进建议等). 其他:资讯提供作业 各种重要法令规章及通知应立即张贴於公布栏. 资讯阅览室不得装设专用竞价用终端机. 於所设网站上提供期货与选择权即时交易资讯,应经由与期交所签约之资讯公司提供. 应定期检查网站内对外提供之资讯,对具机密性、敏感性之资讯内容,应立即移除. ........