金管會發布一套完整的金融資安整體計畫,並將以4年為期分階段推動。(圖片來源/金管會)

金管會在8月6日發布一套完整的金融資安整體計畫,藉此強化金融業資安防護能力。金管會指出,金融資安行動方案是觀察了國際金融資安情勢、國際金融資安監理趨勢等所訂定,並以4大面向切入:強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能。 

金管會表示,希望作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循的指引。該方案也將以4年為期分階段推動,每半年檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容。 

金管會指出,金融資安行動方案8大亮點。第一,型塑金融機構重視資安的組織文化,將推動一定規模金融機構或純網銀,設置副總經理層級的資安長,統籌資安政策推動協調與資源調度。並且,遴選聘用具資安背景的董事、顧問或設置資安諮詢小組,增納專業人員參與董事會運作,帶動機構重視資安的組織文化。

第二,金管會建議公會增修訂新興金融科技資安自律規範,納入行動App、雲端服務、開放銀行、Open API、物聯網、網路身分驗證(eKYC)及資訊服務供應鏈的風險評估等。

此外,金管會也要系統化培育金融資安專業人才,將依據金融資安職能需求訂定人才培訓地圖;並協調周邊單位開設金融資安人才養成專班;同時,鼓勵金融資安人員取得國際資安證照。

第四點是,金管會參考了美國推動的「避風港計畫」概念,研議資料保全運作機制,包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項,將視研議結果評估推動方式。

在發揮資安聯防功能,金管會表示,除了個別金融機構資安處理機制,更要鼓勵金控建立電腦資安事件應變小組,並由公會協力推動建立資安應變支援小組,以及F-ISAC聯防,來建立資源共享的資安應變機制。

另一項是,建置金融資安監控協同體系。金管會鼓勵金融機構自建資安監控機制(SOC),及早發現網路異常行為;同時,也將督導F-ISAC建置二線SOC及訂定資安監控作業標準,透過協同運作,以有效監控整體資安風險。更要導入AI分析機制,提升情資分析能量。

在第七點,金管會鼓勵金融機構導入國際資安管理標準(ISMS)及國際營運持續管理標準(BCM),並取得相關驗證。最後一項是,金管會將督導公會訂定核心業務識別、最大可容忍中段時間與災害應變運作、壓力測試、復原能力實證等作業韌性參考規範,作為業者遵循依據,並鼓勵金融機構在異地備援演練時,納入實際作業運作驗證。文⊙李靜宜


Advertisement

更多 iThome相關內容