命令

證券業暨期貨業個人資料檔案安全維護計畫標準

本標準依電腦處理個人資料保護法 (以下簡稱本法) 第二十條第五項規定
訂定之。

證券業及期貨業保有個人資料檔案者，應依照本法及其施行細則，以及本
標準規定辦理。

證券業及期貨業保有個人資料檔案者，應指定專人依相關法令辦理安全維
護事項，防止個人資料被竊取、竄改、毀損、滅失或洩露。

證券業及期貨業應建立個人資料檔案稽核制度，並得視需要設置稽核人員
，定期或不定期稽核個人資料檔案管理情形。
稽核人員為實施稽核，得調閱有關資料，並請作業人員提供說明。

證券業及期貨業應指定專人負責電腦之管理，並應於電腦使用場所備置工
作日誌，由管理人員逐日記載電腦開關紀錄、設備故障、異常及維護等情
形，並定期陳報。
證券業及期貨業擁有電腦機房者，應指定專人負責機房之管理，並加強門
禁管制及有關安全維護措施。

證券業及期貨業對個人資料之主機、週邊設備及相關設施等電腦設備，應
加強天然災害及其他意外災害之防護。

證券業及期貨業對於儲藏個人資料檔案之磁碟、磁帶等媒體，應闢專室責
成專人管理。
證券業及期貨業應建立備援制度，對於需要長期保留或重要檔案之備份媒
體，應使用專用防火或保險設備異地存放。

各項資料輸出入作業自原始資料至建檔，及其執行人姓名、職稱均應有詳
細紀錄，並由專人管理。
前項資料建檔後之異動、刪除、使用情形等，並應紀錄。
重要之個人資料應自行錄製建檔。但情形特殊無法自行處理者，需經核准
後始得委託他人處理，並應派員監督之。

個人資料之輸出入，均應建立識別碼、通行碼之管理制度；重要之個人資
料，並應加設資料存取控制。
前項識別碼及通行碼，應視需要經常更新。

使用終端機與其他主機連線作業者，應於系統中限制其可運作之範圍。設
置專線連線作業時，應依左列規定辦理：
一、加強通信硬體設備之維護，並做成紀錄。
二、定期檢視傳輸日記檔，並統計印製報表，陳報主管核閱。
三、具備偵錯能力及回復措施。
四、建立通信線路備份管制。
利用電信機構連線者，應依電信法令規定辦理。

證券業及期貨業對於電腦之程式及其設計、測試、製作、使用、維護，均
應嚴密管制。
前項管制之內容，指程式指令、工作控制語言、程式變更申請單及程式之
製作標準、規範說明、測試報告、變更報告等文件。
程式之製作應建立審核程序，於程式設計完成時，由非原程式設計人審核
之。

證券業及期貨業應建立個人資料檔案管制制度，分級管理。
系統程式檔案之登錄與維護，由系統程式人員為之；應用程式檔案得由系
統程式人員或指定專人，依照有關規定登錄與維護。
個人資料檔案之資料，其更新、更正或註銷均應報經核准，並將更新、更
正、註銷內容、作業人員及時間詳實記錄。

證券業及期貨業進用資訊作業人員時，應由其填具保密切結書；離職時取
消其識別碼，並收繳其通行證、卡及相關證件。
證券業及期貨業應定期或不定期實施資訊保密及安全防護教育訓練。

本標準自發布日施行。