第二十一點 金融機構應盤點前開資訊安全相關規定，並將相關要求與內 部控制制度結合，定期進行法令遵循自評，以確保資訊安全 之法令遵循性。 本指引所訂之資訊系統及安全控管項目，應透過內部控制制 度進行定期檢核，並應依相關規範定期由評估單位進行檢視 ，提出資訊系統及安全控管作業評估報告。 前項評估報告內容應至少包含評估人員資格、評估範圍、評 估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說 明、具體改善建議及社交演練結果，且應送稽核單位進行缺 失改善事項之追蹤覆查。該報告應併同缺失改善等相關文件 至少保存二年。 金融機構應確保其本身、主管機關，或其指定之人能取得辦 理金融 FIDO 之相關資訊，包括相關系統之查核報告及實地 查核權力。 為確保交易資料之隱密性及安全性，並維持資料傳輸、交換 或處理之正確性，金融機構於必要時應提高金融 FIDO 作業 環境相關資訊系統標準及加強安全控管作業。 金融機構應依金融機構作業委託他人處理相關規範，透過合 作契約約定機構間共同運作金融 FIDO 之權責關係。