電子支付機構資訊系統標準及安全控管作業基準辦法 第 11 條

電子支付機構之資訊安全政策、內部組織及資產管理應符合下列要求： 一、資訊安全政策應經董事會、常務董事會決議或經其授權之經理部門核定。但外國銀行在臺分行應由其負責人簽署。 二、前款資訊安全政策應對所有員工及相關外部各方公布與傳達。 三、應訂定資訊作業相關管理及操作規範。 四、第一款資訊安全政策及前款管理及操作規範應每年檢討修訂，並於發生重大變更（如新頒布法令法規）時審查，以持續確保其合宜性、適切性及有效性。 五、應依據電子支付平臺之作業流程，識別人員、表單、設備、軟體、系統等資產，建立資產清冊、作業流程、網路架構圖、組織架構圖及負責人，並定期清點以維持其正確性。 六、應定義人員角色與責任並區隔相互衝突的角色。 七、應依據作業風險與專業能力選擇適當人員擔任其角色並定期提供必要教育訓練。