编辑: hyszqmzc | 2017-11-17 |
应确定公司各作业可接受之资讯安全风险等级. 公司应有书面的资讯安全风险评估报告,每年至少评估一次,并留存相关纪录. 资讯安全政策 公司应依喙胤罟娑肮疽滴裥枨,订定资讯安全政策、资讯作业之安全水准. 制订资讯安全政策,应包括下列事项: 资讯安全之定义、资讯安全之目标及资讯安全之围等. 资讯安全政策之解释及说明,资讯安全之原则、标准以及员工应遵守之相关规定. 推行资讯安全工作之组织、权责及分工. 发生资讯安全事件之紧急通报程序、处理流程、相关规定及说明. 公司所订定之资讯安全政策,应经管理阶层核准,并应正式发布要求所有员工共同遵守,并转知与公司连线作业之公私机关(构)、提供资讯服务之厂商共同遵行. 公司订定之资讯安全政策,应至少每年评估一次,以反映法令规章、技术及业务等最新发展现况,确保资讯安全实务作业之有效性,前开之评估工作应留存相关纪录. 资讯安全政策之评估,应以独立及客观之方式进行,并委由内部或外部专业机构办理. 安全组织 公司应指定副总经理或高层主管人员,负责资讯安全管理事项之协调及推动,并得视需要,成立跨部门之「资讯安全推行小组」,统筹资讯安全政策、计画、资源调度等事项之协调、研议. 公司应视资讯安全管理需要,指定专人或专责单位负责规划与执行资讯安全工作. 公司资讯安全人力、能力及经验,如有不足之处,得委请外界的学者专家或民间专业组织及团体,提供资讯安全顾问谘询服务. 资讯处理部门与业务单位之权责,应明确划分. 资产分类与控制 资讯资产应列有清册,清册并应加以维护. 应订有资讯分级并作标示处理之相关规.(适用网际网路下单期货商) 人员安全 员工应依相关法令课予机密维护责任,并应填具保密切结书,以明责任. 员工离职时应取消其识别码,并收缴其通行证、卡及相关证件. 应定期(每年至少一次)对全公司员工办理资讯安全宣导讲习(例如:资讯安全政策、资讯安全法令规定、资讯安全作业程序以及如何正确使用资讯科技设施等),并留存纪录. 员工应依职务层级进行适当的资讯安全教育训练,每年并达内部所定之训练时数. 实体与环境安全 电脑机房应有门禁管制(例如:刷卡). 机房应有防火设施,并应定期检验.另应将地震、水灾等天然灾害因素列入考量. 电脑设备应有独立之电源供应系统,其电源供应系统应含不断电设备及发电机. 通讯与作业管理 网路安全管理(适用网际网路下单期货商) a.网路系统安全评估: 应定期评估自身网路系统安全(例如:作业系统、网站伺服器、浏览器、防火墙及防毒版本等),并留存相关纪录. 定期或适时修补网路运作环境之安全漏洞(含伺服器、携带型、个人端及营业处所内供投资人共用之电脑等),并留存相关文件. 有关电脑网路安全(如资讯安全政策宣导、防网路骇客入侵事件、电脑防毒等)之事项应随时公告. 各电脑主机、重要软硬体设备应有专人负责. b.防火墙之安全管理: 应建立防火墙. 防火墙应有专人管理. 防火墙进出纪录及其备份应至少保存两个月. 重要网站及伺服器系统(如网路下单系统等)应以防火墙与外部网际网路隔离. 防火墙系统之设定应经权责主管之核准. c.网路传输安全管理: 网路下单画面应采加密方式(例如:SSL)处理. d.CA认证与凭证管理: 网路下单期货商应订定凭证交付程序,避免非本人取得凭证. 网路下单期货商应全面使用认证机制. e.电脑病毒及恶意软体之防: 应安装防毒软体,并及时更新程式及病毒码. 应定期对电脑系统及资料储存媒体进行病毒扫瞄(含电子邮件). 防毒应涵盖个人端(含携带型及营业处所内供交易人共用之电脑等)及网路伺服器端电脑. 勿开启来历不明之电子邮件,对於电子邮件中带有执行档之附件,尤应特别小心开启. 为防电脑病毒扩散,影响电脑安全,公司应订定电子邮件使用安全相关规定. f.网路下单系统功能检查: 应定期检查网路下单系统提供之功能,并留存纪录. 电脑系统及作业安全管理 a.电脑设备之管理: 为确定电脑设备维护内容,应与厂商订有书面维护契约,完成维护时应留存维护纪录并由资讯单位派人会同厂商维护人员共同检查. 因经营业务需要而为个人资料之L集、电脑处理或国际传递及利用,应订定「与软硬体厂商机密维护及损害赔偿等双方权责划分」. b.电脑作业系统环境设定及使用权限设定: 电脑作业系统环境设定及使用权限设定应经有关主管核示,并由系统管理人员执行. 电脑系统档案异动前后皆有完善之备份处理措施. c.电脑媒体之安全管理: 重要软体及其文件、清册应抄录备份存於另一安全处所. 重要之备份档案及软体若储存於与电脑中心同一建筑物内,应锁存於防火之房间或防火且防震之防火柜中. 存放备份资料之储存媒体,应於其标签上注明存放资料之名称及保存期限. 应建立机密性及敏感性资料媒体之相关处理程序,防止资料泄露或不当使用. d.电脑操作管理: 操作人员应确实依规定操作程序执行. 操作日志应详实记载并逐日经主管核验,操作人员不可与主管为同一人. 系统主控台所留存之纪录,应经专人检查讯息内容且定期送主管核验. 期货经纪商应配备经营业务所需、且有适足容量之电脑系统. 期货经纪商之电脑系统应订定定期(每年至少一次)由内部或委托外部专业机构评估电脑系统容量及安全措施之机制与程序,定期对系统容量进行压力测试,并留存纪录. 存取控制 公司应订定资讯系统存取控制相关规定,并以书面、电子或其他方式告知员工遵守. 权限管理: 对於程式的存取使用,应有详细的书面管制说明. 人员异动时应及时更新其使用权限. 对於程式及档案之存取使用,应按权限区分. 委外人员电脑通行使用权利应经适当控管;