臺灣證券交易所股份有限公司 函
受文者:如行文單位
發文日期:中華民國94年3月4日
發文字號:台證稽字第0940300134號
速別:速件
密等及解密條件或保密期限:普通
附件:建立證券商資通安全檢查機制

主旨:檢附「九十三年度『建立證券商資通安全檢查機制』所見
查核缺失」暨修訂本(九十四)年度「建立證券商資通安全
檢查機制」檢查項目為七十八項(如附件),並自九十四
年五月一日起實施,請 查照辦理。
說明:
一、依據 行政院金融監督管理委員會證券期貨局94年1月 2
7日證期二字第0940102768號函辦理。
二、有關上(九十三)年度本公司查核證券商資通安全作業所
見查核缺失如后:
(一)網路使用者帳號密碼輸入錯誤達三次者未依規定中斷
連線。
(二)防毒未涵蓋網路伺服器端電腦。
(三)故障復原程序未週期性測試或未召開檢討會議。
(四)證券經紀商之電腦系統未訂定定期由內部或委託外部
專業機構評估電腦系統容量及安全措施之機制與程
序,或未定期對系統容量進行壓力測試。
三、另為提昇證券商資通安全水準,本公司經參酌九十三年度
證券商資通安全執行情形暨未來法規發展趨勢,修訂本
(九十四)年度「建立證券商資通安全檢查機制」查核項
目,由上(九十三)年度之六十四項增加為七十八項(如
附件),並自九十四年五月一日起實施。該增訂之查核項
目請列入 貴公司內部控制制度中,並列為內部稽核人員
自行檢查之項目,俾建立及推動資通安全之機制。
四、前開項目列入本公司對證券商每年例行查核之檢查項目。
五、有關證券商資訊安全政策制訂與評估(內部控制標準規範
CC-11010)及資訊安全組織及其權責(內部控制標準規範
CC-11020)等部分,請參酌財政部財稅資料中心於九十一
年六月制訂之「財政部暨所屬機關(構)資訊安全管理準
則」內容,並參考證券商之業務需求,以訂定適切之資訊
安全政策及配合之資訊安全組織。
六、另有關本次修正有疑義部分,請洽本公司稽核室陳專員志
偉(分機五七七九)。

正本:各證券商
副本:行政院金融監督管理委員會證券期貨局、行政院金融監督管理委員會檢查局、財團法
人中華民國證券櫃檯買賣中心、中華民國證券商業同業公會、臺灣證券集中保管股份有限公
司、臺灣期貨交易所股份有限公司、法源資訊股份有限公司、博仲法律事務所、本公司交易
部、電腦規劃部、企劃部(均含附件)
本案依分層負責規定授權部室主管判發