（三）期貨顧問事業內部稽核查核明細表部分：

編號、項目	查核程序、查核工作底稿及底稿索引修正內容	查核程序、查核工作底稿及底稿索引現行內容	說明
作業週期：每月查核資通安全管理作業之稽核作業週期：每半年查核資訊處理部門之功能及職責劃分作業週期：每半年查核應用系開發及統維護管理作業週期：每半年查核電腦系統管理作業週期：每半年查核電腦系統管理作業週期：每半年查核電腦作業管理作業週期：每半年查核電腦作業管理作業週期：每半年查核電腦作業管理作業週期：每半年查核備援及回復作業	查核程序：一、是否定期評估自身網路系統安全(例如：作業系統、網站伺服器、瀏覽器、防火牆及防毒版本等)，定期或適時修補網路運作環境之安全漏洞，並留存相關紀錄。二、防火牆之安全管理： (一)是否建立防火牆。 (二)防火牆進出紀錄及其備份是否至少保存兩個月。三、電腦病毒及惡意軟體之防範： (一)是否安裝防毒軟體，並及時更新程式及病毒碼。 (二)是否定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件)。 (三)是否訂定電子郵件使用安全政策，以防範電腦病毒擴散，影響電腦安全。查核程序：一、資訊處理部門之組織功能是否明確訂出。二、資訊處理部門與業務單位之權責，是否明確劃分。三、資訊作業人員是否皆填具保密切結書。四、資訊作業人員離職時是否取消其識別碼，並收繳其通行證、卡及相關證件。五、是否定期（每年至少乙次）對全公司員工辦理資訊安全宣導講習（例如：資訊安全政策、資訊安全法令規定、資訊安全作業程序以及如何正確使用資訊科技設施等），並留存紀錄。六、公司所訂定之資訊安全政策，是否經管理階層核准，並正式發布要求所有員工共同遵守。七、公司所訂之資訊安全政策，是否轉知與公司連線作業之公私機構、提供資訊服務之廠商共同遵行。八、公司訂定之資訊安全政策，是否至少每年評估乙次，確保公司資訊安全實務作業之有效性。查核程序：一、是否使用具有合法版權之軟體。二、資訊軟、硬體設備及作業管理有委外管理情形者，是否符合下列事項： (一)委外作業是否簽訂契約，契約內容是否完備週延。 (二)委外人員之電腦通行使用權，是否設有適當之控管程序，委外期間結束後，是否立即收回該項權利。三、是否由專人保管各項文件及手冊，並經適當維護與控制，是否僅限於相關業務人員借閱。四、應用系統之維護是否指派專人或委請資訊廠商負責。五、應用系統修訂後是否將所有設計上相關之改變配合修訂、更新。六、已完成之程式因故需維護時，是否依據經過正式核准之程序辦理。查核程序：一、電腦設備之購置與管理： (一)電腦設備之購置是否依公司所定採購程序等相關規定辦理。 (二)電腦機房硬體設備之運轉及故障情況是否留存紀錄，並向資訊單位負責人報告。 (三)是否與廠商簽訂書面維護合約，確定電腦設備維護內容。維護完成時是否留存維護紀錄，且是否由資訊單位派人會同廠商維護人員共同檢查。 (四)因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用，是否訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。 (五)是否訂定設備報廢作業程序，並於報廢前將機密性、敏感性資料及授權軟體予以移除或實施安全性覆寫。二、電腦作業系統環境設定及使用權限設定： (一)電腦作業系統環境設定及使用權限設定是否經有關主管核示，並由系統管理人員執行。 (二)電腦系統檔案異動前後是否皆有完善之備份處理措施。三、系統使用者管理： (一)對於程式及檔案的存取使用，是否按權限區分並有詳細的書面管制說明。 (二)密碼是否以亂碼方式儲存。 (三)人員異動時是否及時更新其使用權限。 (四)檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作業系統及資料庫等軟硬體設備是否設定使用密碼，且是否避免使用預設(如administrator、root、sa)或簡易(如1234)之帳號密碼及未設管理者存取權限。四、應用系統異動管理： (一)應用程式文件是否與異動程式相符，正式作業環境之程式是否與所異動程式時間相符。 (二)程式經修改，其相關文件是否及時更新。查核程序：一、實體安全管理： (一)電腦機房是否有門禁管制(例如：刷卡)。 (二)機房內是否有防火設施，並應定期檢驗，另是否將地震、水災等天然災害因素列入考量。 (三)電腦設備使用之空調、電源等相關設備，是否有適當之備援對策。二、資料輸入管理： (一)安全性或重要性較高之資料，是否由權責主管人員核可後始得執行輸入或修改。 (二)所輸入或修改之資料及其執行人員姓名、職稱是否皆留存記錄。 (三)重要及機密性檔案之存取使用，是否依規定之作業程序辦理。 (四)對隱密性高之重要資料（例如：密碼檔）是否以亂碼後之資料形式存放。 (五)使用電子憑證ＩＣ卡或其他類型憑證晶片卡或其他憑證載具等代表公司簽署之作業，該等憑證載具是否由專人負責保管並設簿登記，且是否訂定相關帳號、密碼保管及使用程序，並據以執行。 (六)公司是否定期或不定期查核依「個人資料保護法」定義之個人資料檔案管理情形。三、資料輸出管理： (一)報表是否按時產生並分送各使用單位。 (二)機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。四、儲存媒體管理： (一)重要軟體及其文件、清冊是否抄錄備份存於另一安全處所。 (二)存放備份資料之儲存媒體，是否於其標籤上註明存放資料之名稱及保存期限。五、電腦操作管理： (一)操作人員應是否確實依規定操作程序執行。 (二)電腦系統軟、硬體發生異常，操作人員是否及時通知相關人員，並將異常情形詳實記載於操作日誌。 (三)操作人員所有輸入，電腦系統是否留下紀錄。 (四)系統主控台所留存之紀錄，是否經專人檢查訊息內容且定期送主管核驗。查核程序：一、故障復原程序（例如：電腦設備、通訊設備、電力系統、資料庫、電腦作業系統等備援及回復計畫）是否明確訂定，並製成文件。二、公司之重要主機是否有備援措施。	（新增）（新增）（新增）（新增）（新增）（新增）	AC-26000 AC-21000 AC-22000 AC-23000 AC-24000 AC-25000

編號、項目

查核程序、查核工作底稿及底稿索引修正內容

查核程序、查核工作底稿及底稿索引現行內容

說明

作業週期：每月查核

資通安全管理作業之稽核

作業週期：每半年查核

資訊處理部門之功能及職責劃分

作業週期：每半年查核

應用系開發及統維護管理

作業週期：每半年查核

電腦系統管理

作業週期：每半年查核

電腦系統管理

作業週期：每半年查核

電腦作業管理

作業週期：每半年查核

電腦作業管理

作業週期：每半年查核

電腦作業管理

作業週期：每半年查核

備援及回復作業

查核程序：

一、是否定期評估自身網路系統安全(例如：作業系統、網站伺服器、瀏覽器、防火牆及防毒版本等)，定期或適時修補網路運作環境之安全漏洞，並留存相關紀錄。

二、防火牆之安全管理：

(一)是否建立防火牆。

(二)防火牆進出紀錄及其備份是否至少保存兩個月。

三、電腦病毒及惡意軟體之防範：

(一)是否安裝防毒軟體，並及時更新程式及病毒碼。

(二)是否定期對電腦系統及資料儲存媒體進行病毒掃瞄(含電子郵件)。

(三)是否訂定電子郵件使用安全政策，以防範電腦病毒擴散，影響電腦安全。

查核程序：

一、資訊處理部門之組織功能是否明確訂出。

二、資訊處理部門與業務單位之權責，是否明確劃分。

三、資訊作業人員是否皆填具保密切結書。

四、資訊作業人員離職時是否取消其識別碼，並收繳其通行證、卡及相關證件。

五、是否定期（每年至少乙次）對全公司員工辦理資訊安全宣導講習（例如：資訊安全政策、資訊安全法令規定、資訊安全作業程序以及如何正確使用資訊科技設施等），並留存紀錄。

六、公司所訂定之資訊安全政策，是否經管理階層核准，並正式發布要求所有員工共同遵守。

七、公司所訂之資訊安全政策，是否轉知與公司連線作業之公私機構、提供資訊服務之廠商共同遵行。

八、公司訂定之資訊安全政策，是否至少每年評估乙次，確保公司資訊安全實務作業之有效性。

查核程序：

一、是否使用具有合法版權之軟體。

二、資訊軟、硬體設備及作業管理有委外管理情形者，是否符合下列事項：

(一)委外作業是否簽訂契約，契約內容是否完備週延。

(二)委外人員之電腦通行使用權，是否設有適當之控管程序，委外期間結束後，是否立即收回該項權利。

三、是否由專人保管各項文件及手冊，並經適當維護與控制，是否僅限於相關業務人員借閱。

四、應用系統之維護是否指派專人或委請資訊廠商負責。

五、應用系統修訂後是否將所有設計上相關之改變配合修訂、更新。

六、已完成之程式因故需維護時，是否依據經過正式核准之程序辦理。

查核程序：

一、電腦設備之購置與管理：

(一)電腦設備之購置是否依公司所定採購程序等相關規定辦理。

(二)電腦機房硬體設備之運轉及故障情況是否留存紀錄，並向資訊單位負責人報告。

(三)是否與廠商簽訂書面維護合約，確定電腦設備維護內容。維護完成時是否留存維護紀錄，且是否由資訊單位派人會同廠商維護人員共同檢查。

(四)因經營業務需要而為個人資料之蒐集、電腦處理或國際傳遞及利用，是否訂定「與軟硬體廠商機密維護及損害賠償等雙方權責劃分」。

(五)是否訂定設備報廢作業程序，並於報廢前將機密性、敏感性資料及授權軟體予以移除或實施安全性覆寫。

二、電腦作業系統環境設定及使用權限設定：

(一)電腦作業系統環境設定及使用權限設定是否經有關主管核示，並由系統管理人員執行。

(二)電腦系統檔案異動前後是否皆有完善之備份處理措施。

三、系統使用者管理：

(一)對於程式及檔案的存取使用，是否按權限區分並有詳細的書面管制說明。

(二)密碼是否以亂碼方式儲存。

(三)人員異動時是否及時更新其使用權限。

(四)檢查公司現有之網站、伺服器、網路芳鄰、路由器、交換器、作業系統及資料庫等軟硬體設備是否設定使用密碼，且是否避免使用預設(如administrator、root、sa)或簡易(如1234)之帳號密碼及未設管理者存取權限。

四、應用系統異動管理：

(一)應用程式文件是否與異動程式相符，正式作業環境之程式是否與所異動程式時間相符。

(二)程式經修改，其相關文件是否及時更新。

查核程序：

一、實體安全管理：

(一)電腦機房是否有門禁管制(例如：刷卡)。

(二)機房內是否有防火設施，並應定期檢驗，另是否將地震、水災等天然災害因素列入考量。

(三)電腦設備使用之空調、電源等相關設備，是否有適當之備援對策。

二、資料輸入管理：

(一)安全性或重要性較高之資料，是否由權責主管人員核可後始得執行輸入或修改。

(二)所輸入或修改之資料及其執行人員姓名、職稱是否皆留存記錄。

(三)重要及機密性檔案之存取使用，是否依規定之作業程序辦理。

(四)對隱密性高之重要資料（例如：密碼檔）是否以亂碼後之資料形式存放。

(五)使用電子憑證ＩＣ卡或其他類型憑證晶片卡或其他憑證載具等代表公司簽署之作業，該等憑證載具是否由專人負責保管並設簿登記，且是否訂定相關帳號、密碼保管及使用程序，並據以執行。

(六)公司是否定期或不定期查核依「個人資料保護法」定義之個人資料檔案管理情形。

三、資料輸出管理：

(一)報表是否按時產生並分送各使用單位。

(二)機密性、敏感性之報表列印或瀏覽是否有適當之管制程序。

四、儲存媒體管理：

(一)重要軟體及其文件、清冊是否抄錄備份存於另一安全處所。

(二)存放備份資料之儲存媒體，是否於其標籤上註明存放資料之名稱及保存期限。

五、電腦操作管理：

(一)操作人員應是否確實依規定操作程序執行。

(二)電腦系統軟、硬體發生異常，操作人員是否及時通知相關人員，並將異常情形詳實記載於操作日誌。

(三)操作人員所有輸入，電腦系統是否留下紀錄。

(四)系統主控台所留存之紀錄，是否經專人檢查訊息內容且定期送主管核驗。

查核程序：

一、故障復原程序（例如：電腦設備、通訊設備、電力系統、資料庫、電腦作業系統等備援及回復計畫）是否明確訂定，並製成文件。

二、公司之重要主機是否有備援措施。

（新增）

AC-26000

AC-21000

AC-22000

AC-23000

AC-24000

AC-25000

101年5月中華民國期貨業商業同業公會