新聞參考資料(美國聯邦金融監理機關發布之客戶資訊安全基準)
<網址:http:/www.cbc.gov.tw>
美國聯邦金融監理機關發布之「客戶資訊安全基準」
一、美國主管銀行與儲貸機構業務的聯邦監理機關依據金融服務業現代化法第五○一節二項規定訂定「客戶資訊安全基準」,自二○○一年七月一日起生效。
二、該準則要求金融機構應依其業務之規模大小、複雜程度、性質與範圍,妥適訂定客戶資訊安全維護計畫,內容包括:
(一)辨識及評估可能危害客戶資訊安全之風險。
(二)研擬控管上述風險之書面政策與程序。
(三)執行並測試所擬維護計畫。
(四)適時檢討修訂客戶資訊安全維護計畫,以因應技術進步、客戶資訊保密程度及金融機構內、外部作業環境的變化。
三、金融機構董事會對於客戶資訊安全維護應負監督之責。董事會應監督金融機構研擬有效的客戶資訊安全維護計畫並落實執行。其相關之書面政策及計畫須經董事會核准。
四、金融機構於作業委託他人處理時,有關受託機構維護或處理客戶資訊安全事宜,應負監督之責。金融機構必須審慎選擇受託機構,並就客戶資訊之維護措施簽訂契約以落實執行。金融機構在做風險評估時,必須涵蓋對受託機構之監督,其方式包括:審查稽核報告、測試結果或其他類似的評估報告,以確認受託機構能夠依約履行義務。
五、有關金融機構對個人資料檔案之保護,財政部已依據「電腦處理個人資料保護法」第二十條第五項規定訂定「金融業個人資料檔案安全維護計畫標準」,藉以督促業者加強個人檔案安全維護措施,並達成確保個人資料能正確且合法之處理及防止個人資料外洩等目的。
六、本行金融業務檢查處為督促金融機構加強客戶交易資料安全及保密管理,特於內部控制及內部稽核查核項目及問卷中,增訂有關金融機構是否依「電腦處理個人資料保護法」及銀行法第四十八條等相關規定,訂定內部規範並辦理內部稽核之項目,以協助本行檢查人員瞭
解金融機構實際辦理情況。
此外,針對目前愈來愈多金融機構將某些業務委外辦理之委辦事項,本行金融業務檢查處亦訂定「委外作業查核參考項目表」,其中亦涵蓋受託機構對個人資料保密之查核項目。