日盛證券資訊安全規則

修訂日期 : 107年7月26 日

總則

第一條、	目的日盛證券股份有限公司（以下簡稱本公司）為強化資訊安全管理，確保本公司資訊資產避免遭受內部、外部蓄意或意外之威脅與破壞，爰訂定本規則。

適用對象及目標

第二條、

適用對象
(一)本公司之全體人員及與本公司有業務往來之廠商及訪客人員等，均應遵守本規則。
(二)資訊資產之定義：係指維持本公司資訊業務正常運作之硬體、軟體、文件、人員及資料。

第三條、

目標
為保護本公司資訊資產避免遭受不當的使用、竄改或破壞等情事，本公司之資訊安全目標如下：
(一)保護本公司資訊資產之機密性，避免未經授權之存取。
(二)保護本公司資訊資產之完整性，避免未經授權之修改。
(三)保護本公司資訊資產之可用性，確保資訊及重要服務在人員需要時可以取得服務。
(四)確保本公司各項資訊作業均符合相關法令要求。

組織權責

第四條、	本公司應配置資訊安全主管及至少二名資訊安全人員負責資訊安全制度之規劃、監控及執行資訊安全管理作業。資訊安全主管及人員除兼辦資訊職務外，不得兼辦其他與職務有利益衝突之業務。本公司每年應將前一年度資訊安全整體執行情形，由資訊安全主管與董事長、總經理、稽核主管聯名出具資訊安全整體執行情形聲明書，於會計年度終了後三個月內提報董事會並揭露於公開資訊觀測站。
第五條、	資訊資產之安全需求研議、管理及保護等事項，由資訊安全主管及人員協同業務單位共同評估辦理。
第六條、	稽核作業的執行及管理事項的追蹤由稽核權責單位負責辦理。
第七條、	本公司之資訊安全管理措施如下： (一)資訊安全主管及人員，每年應至少接受十五小時以上資訊安全專業課程訓練或職能訓練。其他使用資訊系統之從業人員，每年應至少接受三小時以上資訊安全宣導課程。 (二)應建立資訊資產等級之分類，以及相對應之管控層級作業。 (三)資訊資產應採行防範及保護措施，以偵測及預防電腦之惡意軟體或行為之危害，確保系統正常運作。 (四)針對資訊資產的新增、變更與移除與使用等作業，建立相對管控機制。 (五)應以防火牆及其他安全設施，管控與外界網路之連接，以避免外部非授權之存取。 (六)為保護資訊資產資料處理的完整，系統異動或變更應依變更程序執行。 (七)資訊資產之使用應有適當層級授權。 (八)資訊處理中心應建立門禁管控及環境週邊設備管理。 (九)資安事件發生時，應依循本公司通報程序進行通報。 (十)依業務需求訂定持續營運計劃並定期測試演練。

附則

第八條、	本規則每年至少評估一次，以反映相關法令規範、資訊技術環境及資訊業務之最新狀況，確保資訊安全之實務作業之有效性。
第九條、	本規則未盡事宜，悉依相關法令以及本公司相關規定辦理。
第十條、	本規則之修訂，應呈送金控資訊安全委員會審議通過後經董事會核定後施行，修正時亦同。