第二十七條
金融控股公司及銀行業總經理應督導各單位（金融控股公司含子公司）審 慎評估及檢討內部控制制度執行情形，由董（理）事長（主席）、總經理 、總稽核及總機構法令遵循主管聯名出具內部控制制度聲明書（附表）， 並提報董（理）事會通過，於每會計年度終了後三個月內將內部控制制度 聲明書內容揭露於金融控股公司及銀行業網站，並於主管機關指定網站辦 理公告申報。 前項內部控制制度聲明書應依規定刊登於年報、股票公開發行說明書及公 開說明書。 第一項規定對於經主管機關依法接管之銀行業，不適用之。

第三十八條之一
銀行業應指派副總經理以上或職責相當之人兼任資訊安全長，綜理資訊安 全政策推動及資源調度事務。設置資訊安全專責單位及主管，不得兼辦資 訊或其他與職務有利益衝突之業務，並配置適當人力資源及設備。但主管 機關對信用合作社及票券金融公司另有規定者，依其規定。 銀行業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應 設置具職權行使獨立性之資訊安全專責單位，並指派協理以上或職責相當 之人擔任資訊安全專責單位主管。 銀行業資訊安全專責單位負責規劃、監控及執行資訊安全管理作業，每年 應將前一年度資訊安全整體執行情形，依第二十七條第一項規定辦理內部 控制制度聲明書之出具、揭露及公告申報，並由資訊安全長聯名出具。 銀行業資訊安全專責單位人員，每年至少應接受十五小時以上資訊安全專 業課程訓練或職能訓練。總機構、國內外營業單位、資訊單位、財務保管 單位及其他管理單位之人員，每年至少須接受三小時以上資訊安全宣導課 程。 中華民國銀行商業同業公會全國聯合會、有限責任中華民國信用合作社聯 合社及中華民國票券金融商業同業公會應訂定並定期檢討資訊安全自律規 範。 適用第二項規定之銀行業，應於符合適用條件起六個月內調整。