金融監督管理委員會銀行局金融法規全文檢索查詢系統

資訊安全專責單位應辦理事項至少包括：
一、負責資訊安全制度之規劃、管理及執行，以控管資訊安全風險。
二、督導各單位落實資訊安全制度，並確保資通系統、服務及資訊之機密
    性、完整性與可用性。
三、建立資通安全防護、資通安全情資之評估因應與資通安全事件通報及
    應變相關機制。
四、每年應將前一年度資訊安全整體執行情形納入第八條第一項內部控制
    制度執行情形評估。

099.03.29
參酌「金融控股公司內部控制及稽核制度實施辦法」第十三條訂定金融控股公司之風
險控管機制應包括之事項。

099.03.29
參酌「銀行內部控制及稽核制度實施辦法」第十三條、「信用合作社內部控制及稽核
制度實施辦法」第十三條，及「票券商內部控制及稽核制度實施辦法」第十三條訂定
銀行業之風險控管機制應包括之原則。

103.08.08
一、為強化我國防制洗錢與打擊資助恐怖主義機制，並健全銀行業內部控制及稽核制
    度，爰依據防制洗錢金融行動工作組織（FATF）二○一二年二月發布之國際標準
    第十八項建議增訂第三款規定，要求金融控股公司之風險控管機制，應訂定金融
    控股公司及其子公司整體性之防制洗錢與打擊資助恐怖主義實施計畫，包括以防
    制洗錢與打擊資助恐怖主義為目的之集團內資訊分享政策與程序。
二、原第三款至第五款規定之款次順移。

103.08.08
一、為強化我國防制洗錢與打擊資助恐怖主義機制，並健全銀行業內部控制及稽核制
    度，爰依據防制洗錢金融行動工作組織（FATF）二○一二年二月發布之國際標準
    第一項及第十八項建議，增訂第三款規定，要求銀行業之風險控管機制，應包括
    建立辨識、衡量與監控洗錢及資助恐怖主義風險之管理機制，及遵循防制洗錢相
    關法令之標準作業程序，以降低其洗錢及資助恐怖主義風險。
二、原第三款至第五款款次順移。

106.03.22
金融控股公司及其子公司之防制洗錢與打擊資恐計畫之範圍，並非僅有風險控管機制
，爰配合修正條文第八條第一項第二款增訂第十一目有關「防制洗錢及打擊資恐相關
法令之遵循管理」規定，將第一項第三款有關金融控股公司應訂定其與子公司整體性
之防制洗錢與打擊資助恐怖主義計畫等規定，移列至修正條文第八條第一項第二款第
十一目併予規範。

106.03.22
銀行業防制洗錢及打擊資恐機制，並非僅有風險控管機制，爰配合修正條文第八條第
一項第二款增訂第十一目有關「防制洗錢及打擊資恐相關法令之遵循管理」規定，將
銀行業應建立辨識、衡量與監控洗錢及資助恐怖主義風險之管理機制，及遵循防制洗
錢相關法令之標準作業程序等規定，移列至修正條文第八條第一項第二款第十一目併
予規範。

107.03.31
一、本條新增。
二、為提升銀行業對資訊安全之重視，參考本會一百零六年三月十五日金管銀國字第
    一○六二○○○○七八○號函規定，增訂本條文第一項，要求銀行業應設置資訊
    安全專責單位及主管，專門負責資訊安全相關工作或職務，不得兼辦資訊或其他
    與職務有利益衝突之業務。另考量信用合作社及票券金融公司之規模大小不一，
    對於規模較小者如要求設置資訊安全專責單位可能有其困難度，爰另行規定俾其
    彈性調整。
三、基於業務推動與資訊安全控管衡平性，考量資安單位若隸屬資訊單位管轄，將不
    利專責處理資訊安全業務，以及銀行業應依規模大小進行差異化管理之目的，增
    訂本條文第二項，規定前一年度資產規模達新臺幣一兆元以上之銀行業，應設置
    具職權行使獨立性之資訊安全專責單位，獨立於資訊單位外且組織地位相當。另
    有關指派協理以上或職責相當之人擔任資訊安全專責單位主管部分，其資格條件
    應符合「銀行負責人應具備資格條件兼職限制及應遵行事項準則」規定。
四、為明確資訊安全專責單位及主管之權責，參考本會一百零六年四月五日銀局（國
    ）字第一○六二○○○一一九一號函規定，以及美國紐約州金融署（NYDFS ）發
    布之「金融服務業網路安全規範」（Part 500）相關規定，增訂第三項要求銀行
    業資訊安全專責單位應將資訊安全整體執行情形提報董（理）事會，並由資訊安
    全專責單位主管與董（理）事長（主席）、總經理、總稽核聯名出具資訊安全聲
    明書。前揭資訊安全整體執行情形之內容，至少應包括依據本辦法第三十八條第
    五款所訂資訊安全防護機制與緊急應變計畫等執行情形，以及相關同業公會所訂
    資訊安全規範之遵循情形。
五、為提升資訊安全人力資源素質，參考本會一百零五年十一月四日金管銀國字第一
    ○五二○○○四一九○號函，以及本辦法第三十二條第六項法遵人員在職訓練規
    定，增訂本條第四項銀行業應強化資訊安全教育訓練之規定。
六、為提升銀行業資訊安全之防護能力，增訂第五項規定，要求銀行公會等相關公會
    訂定資訊安全自律規範，並應配合資訊安全現況定期檢討修正。
七、考量要求資產規模達新臺幣一兆元以上之銀行業調整資訊安全專責單位及主管之
    架構與層級，需有一定期間配合調整，爰於第六項給予六個月調整期間。

110.09.23
一、為進一步推動本會一零九年八月六日發布「金融資安行動方案」所訂「型塑金融
    機構重視資安的組織文化」措施，提升銀行業對資安議題之執行能力，爰修正第
    一項，增訂銀行業應指派副總經理以上或職責相當之人兼任資訊安全長，統籌資
    訊安全政策推動及資源調度事務。另銀行業若已指派專任資訊安全長有益於所任
    職務之有效執行，亦未違本項之立法目的。
二、考量資訊安全管理作業屬於內部控制制度之一環，允宜將銀行業資訊安全整體執
    行情形整併於第二十七條第一項所定附表之內部控制制度聲明書應聲明事項，以
    及依該規定辦理出具、揭露及公告申報事宜，並由資訊安全長聯名出具，爰修正
    第三項規定及刪除附表二。

115.05.06
一、為使本辦法內部控制第二道職能體例一致，明定資訊安全專責單位權責，增訂第
    一款及第二款。
二、考量現行第三十八條之一第三項為資訊安全專責單位應辦事項，爰移列至本條第
    一款及第四款，並考量內部控制制度執行情形評估包含資訊安全執行情形，爰增
    訂第四款後段，以符實際。
三、考量現行第三十七條第五款及第三十八條第五款之金融控股公司及銀行業資訊安
    全防護機制及緊急應變計畫屬資訊安全管控之一環，爰移列至本條第三款。