【資安周報第62期】銀行資安部門要有力，除了給資源更要真正給權力

從去年7月臺灣發生國際網路犯罪集團操控的ATM盜領案後，主管機關金管會對金融業者在資安防護措施上開始多所要求；今年農曆春節後，竟然又發生針對臺灣券商網路下單平臺的DDoS（分散式阻斷式）攻擊事件，甚至多家券商的網路下單平臺因此暫時中斷服務。

經歷幾次針對臺灣金融業的網路攻擊事件後，金管會深刻意識到，資訊安全已經是臺灣金融服務不可忽略的重要命脈，甚至在2月24日召集臺灣各銀行的總經理開會，會議主軸就是希望本國銀行在6個月內，設置專責資安部門和專責資安主管，更希望未來進一步提升到「獨立專責部門」，以維持執行資安業務的獨立性。

此外，也有銀行為了因應像是美國紐約金融監理局的要求，在美成立海外分行的臺籍銀行，強制須設立專責的資安長，且相關名單必須送交美國金融監理局，甚至於，這些資安主管位階必須達副總層級，才足以說服美國金融主管機關，這些在美設分行的臺籍銀行是重視資訊安全的。

金管會的公文和海外金融主管機關的強制要求，成了近期臺籍銀行得更重視資安的2大動力。

臺灣大型民營銀行早有資安部門，但只管系統風險不管作業風險

事實上，早在金管會的要求之前，臺灣大型民營行庫，早就有設置資安專責單位，這些單位的主管也是銀行名義上的資安主管。

和外商銀行相較，臺籍銀行的資安部門往往都掛在資訊部門之下，所經手的資安業務偏向系統造成的資安風險；但外籍銀行的資安長或資安主管的執掌，和臺籍業者明顯不同，除了經手所有系統造成的資安風險外，讓外籍銀行資安長可以真正發揮關鍵角色的原因更在於，所有業務造成的資安風險，全數都會一併照會資安部門和資安主管。

資安的風險除了系統帶來的風險之外，更大的危害來自於業務流程相關的作業風險，不過，依照臺籍銀行的認定，許多和公司營運甚至是業務面的風險，大部分都會直接轉介到負責銀行中後臺風險的風險長（CRO）身上，但風險長對系統帶來的資安風險多無權直接置喙。

最明顯的例子就是，今天主管機關發函要求銀行進行相關的法遵配合事項時，除了明顯與資訊系統相關的公文會通知發文到相關的資訊和資安部門外，與業務流程有關的法遵與安全要求，有多少銀行會記得發文照會資訊和資安部門？

據了解，多數的外籍銀行都會把業務和作業風險相關公文內容，一併發文照會到資訊和資安相關部門與主管；但臺籍銀行多半會直接發文給業務單位外，多數會發文照會到風險長，若與合約條文等法遵要求相關，則會再額外照會法務長，一般而言，資訊或資安部門往往不在相關公文照會的範圍之內。

從公文照會的流程往往可以看出，一間銀行在面對相關系統或業務帶來的資安風險，銀行內部的流程到底會由哪些部門經手處理。從這樣銀行內部公文發函的流程中，就可以明顯看出臺籍銀行和外商銀行面對資訊安全議題的基本態度上的差異。

金管會一紙公文將啟動臺籍銀行資安部門轉型

金管會期待銀行所設置的資安專責單位及資安專責主管，並不只是一個徒具名義和形式的紙上機關，或是只需要簽名蓋章的主管而已，而是希望銀行的高層主管，願意從歷年來各種層出不窮的資安事件中痛定思痛，真正賦予資安專責主管具有實質權力，並給予資安專責單位足夠的資源和預算。

唯有如此，金管會發文要求臺籍銀行，在未來6個月內設置資安專責單位和資安專責主管，才有機會發揮長期的影響力，對於銀行面對來自系統和業務流程的風險，才有能力真正解決問題。

因此，即便先前已經有臺籍民營行庫有設立資安專責單位，面對這次金管會的公文，也讓這些已經有資安專責單位的銀行重新思考，是否有不足之處或者需要重新調整的情況。

資訊部門下設資安單位，角色被動難以主動出擊

回到既有臺籍銀行的組織架構，現有設置資安專責部門的民營銀行，都將資安部門設在資訊部門之下，首要面臨的問題就是，資安主管角色和職掌與資訊主管角色和職掌的衝突。

簡言之，要求安全第一的資安主管，與講究效率、便利和可用性的資訊主管，角色本質上是衝突的，當資安主管必須聽令資訊主管時，就是資訊長決定銀行的資安方向，中間一旦有出入，嚴重考驗資訊長能否放棄資訊本位主義而去思考資安的重要性。

當然，對於高度依賴資訊系統提供服務的金融業而言，多數臺籍銀行的資訊長也相當重視資安議題，畢竟，一旦有任何資安事件爆發，以現有銀行組織架構，資訊部門往往難辭其咎，所以，多數銀行資訊長都可以接受將資安列為資訊部門重要關鍵因素，某種程度，資訊長也可以接受因為資安議題暫停某些重要服務上線。

資訊長和資安長在臺灣金融體下的運作上，某個程度已經達成一個「平衡點」，不過，資安部門放在資訊部門之下有一個明顯的缺點，那就是，多數臺籍銀行都將資訊部們視為後勤支援單位，因為後勤支援單位在銀行結構上不夠有力，通常也很難在資安上扮演更主動積極的角色。

舉例而言，每當有資安事件發生，身處資訊部門下設的資安附屬單位，往往是被動成為資安事件浪頭上的發言角色，偶一為之還有可能，但若要成為常態性的、可以在資安議題上具有發言甚至是主動決策角色的話，對一個扮演後勤資源角色的附屬資安部門而言，根本不可能有主動發言的空間。這也是目前臺籍銀行將資安部門設在資訊部門下，最常面臨到的困境之一。

銀行資安部門應兼管系統和作業風險，可考慮設在風險長之下

事實上，銀行資安部門和主管不應只負責系統面的安全風險，更多來自於作業和操作層面的風險，也應是他們應該負責的範疇。

但是，以目前銀行的組織架構來看，風險長是負責所有中後臺業務流程的最終風險掌控者，不論是信用風險、作業風險、市場風險甚至是金融商品等相關風險，只要風險部門踩煞車，相關服務是絕對無法上線的；更後端的後臺風險則由法務長承擔，包括合約、法條以及所有適法性評估帶來的風險等。

以目前的資安主管和資安專責單位的工作職掌來看，承擔某個部分的作業和操作風險，加上來自資訊系統帶來的風險，兩者的風險職掌合而為一，才能大致描繪出臺籍銀行資安主管所應該承擔合理的業務內容。

相較於臺籍銀行把資安單位設在資訊部門之下，有一些外商銀行則會把資安單位設在風險長之下，可以真正兼顧系統和作業風險；當然，也有一些外商銀行仍然把資安單位設在資訊部門底下，但因為外商銀行的資訊部門通常比較主動積極，使得資安部門也會比較主動而有所作為。畢竟，就資安層面而言，很多時候，最好的防護方式就是主動出擊。

資安部門要給人給錢給位階，具有資安採購決定權

說實話，要成立一個資安專責單位或設置資安主管並不難，難的在於，要怎麼讓這樣的設置可以發揮應有成效。

怎麼樣才算是具有實權的資安單位或部門呢？

首先，有人有錢好辦事，資安部門應該要有獨立編列的資安預算，而不需要依附在資訊部門的IT預算裡面，是資安部門具有實權的特色之一。畢竟，資訊部門和資安部門的營運目的不一樣，對預算的用法一定也不一樣，在多數資訊長仍將提升效率、降低成本視為KPI（關鍵績效指標）的同時，強調安全至上、不惜降低效能的資安預算，勢必無法符合資訊部門的KPI，資安預算要能獨立編列才是王道。

除了要給人、給錢外，銀行更要肯「玩真的」，讓資安主管和部門具有真正的權力，具有一定的決策或建議權力。否則，在複雜的權力鬥爭中和資源分配的競逐中，成立一個晾在一旁、沒有作用的部門，是非常容易的事情。

實權的具體展現方式就是具有資安採購的權力。有許多臺籍銀行即便已經有資安部門，對但對於資安服務和產品採購，即便已經做完POC（概念驗證）、確認相關功能需求都可以滿足公司所需，但往往只要採購單位一句「價低者得」，資安部門做完再多的概念驗證，提出再多的建議都無力回天。對資安產品服務有採購權力，這也是資安部門有實權的例證。

成立資安專責單位和主管等資安作為，將成金管會金檢重點

除了銀行面臨的資訊安全風險外，金管會也在公文中提及，成立資安專責單位和設置專責主管的另外一個重要目的，就是要因應銀行推動的數位金融以及因應未來主流的金融科技發展，在資訊安全風險越來越難避免的情況下，銀行是必得有更多的資安因應措施，正面迎擊資安風險。

為了強化臺籍銀行對於資安的重視，金管會的發文只是第一步，最終希望銀行在半年內成立的資安專責單位，最終可以獨立為資安專責部門，維持資安業務的獨立性；更重要的宣示則是，金管會強調，未來所有金融業的資安措施也將列入金融檢查重點，藉此加強金融機構的資訊安全。

金管會透過法遵要求，要求臺籍銀行在未來6個月內，設置資安專責單位和資安專責主管，只要銀行業者不是虛應故事，就有可以讓臺籍銀行業者在資安風險應對上，帶來真正的質變。