「資安重視永遠不嫌多,但,資安需成本,怎樣尋求好的分際,讓業者願意做並獲好的後果,是主管機關需嘗試尋求的平衡。」金管會主委黃天牧在臺灣資安大會金融安全論壇致詞時道。金管會上週發布了「金融資安行動方案」,就是望能藉此提供各金融機構及公會,檢討資安策略、管理制度及防護技術等遵循的指引,強化金融業資安防護能力,進而建構安全的金融服務發展環境。
除了黃天牧親自出席大會,給予開場致詞,強調金融業不管是維持營運穩定,或是發展新業務和商品,都需靠資安,金管會副主委暨資安長邱淑貞也出席論壇,並進一步說明整體金融資安行動方案的8大重點,凸顯了金融業主管機關對資安的重視。
金管會副主委邱淑貞
金融資安行動方案第一個要做的是,型塑金融機構重視資安的組織文化。邱淑貞表示,需從董事會開始重視資安議題,把資安當作業務推動的基礎,讓資安成為整體銀行策略的一部分,而非只是一個技術。具體措施為,金管會將鼓勵金融機構遴聘具資安背景的董事、顧問或設置資安諮詢小組,增加專業人員參與董事會運作。
就資安諮詢小組,邱淑貞提到,除了技術人員,還需有法務、公關等部門成員,使資安成為業務的一部分。並且,金管會將推動一定規模金融機構或純網銀,設置副總經理層級的資安長,統籌資安政策推動協調與資源調度。
邱淑貞指出,金融機構不能抱持先搶市場,發生問題再收拾的態度,如此,不僅顧客不能接受,管理階層也不能接受,因為一旦發生資安問題,信譽受影響,後續要恢復信譽將會更加困難。
因此,金管會第二項行動方案重點是,建議公會增修訂新興金融科技資安自律規範,納入行動App、雲端服務、開放銀行、Open API、物聯網、網路身分驗證及資訊服務供應鏈等技術或議題的風險評估。
第三項是,系統化培育金融資安專業人才。邱淑貞表示,金管會觀察到金融機構除非常缺乏資安人才外,也不清楚自身資安需求所需的人才,需要受哪些訓練。金管會將協調周邊單位開設金融資安人才養成專班,與科技公司合作,充實師資及課程,透過產學合作、跨業合作,培育跨領域人才,並依據金融資安職能需求訂定人才培訓地圖。
接著,鼓勵導入資安國際標準。邱淑貞提到,資安是國際語言,除監管部分要求與國際接軌,資安部分也需導入國際資安管理標準,她期許,未來臺灣金融機構獲得高資安評分。金管會鼓勵金融機構導入國際資安管理標準(ISMS),還有國際營運持續管理標準(BCM),並取得相關驗證,透過第三方獨立機構檢視管理制度及持續營運之有效性。
第五點,資安情資分享與國際合作。目前金管會成立了由財金公司營運的F-ISAC,現階段有374家金融機構加入,而明年開始,該組織將以新的方式運作,改由會員付費並自主營運。邱淑貞說明,會員將自行設定營運目標,決定資訊的使用方式、分析深度,她認為,這將提升情資分享的效益。同時,金管會也會持續進行國際合作,藉與其他國家金融資安機構交流合作,掌握國際金融資安情勢,共同對抗駭客。
下一項,資安監控的部分。金管會鼓勵金融機構建置資安監控機制(SOC),及早發現異常行為,即時掌握資安風險。邱淑貞表示,過去,金融機構多被動面對資安問題,待問題發生後,再解決、處理,少有對業務進行資安監控的觀念,除了大型銀行,會透過大數據分析,事先偵測異常狀況,她分享,像是疫情期間,有銀行利用系統監控信用卡交易的異常情況,若海外刷卡頻率增加,會主動與客戶做確認。
第七點,資安共享的資安應變機制。單一機構資源有其限制,因此,除了個別金融機構資安處理機制,金管會將從三個方向,推動資源共享的資安應變機制,分別是金控集團資源挹注旗下子公司,成立集團的應變小組,協助各子公司聯防,還有公會和周邊單位成立支援小組,協助業者快速掌握並回應資安問題,以及F-ISAC聯防。
最後一項則是,落實復原應變運作機制。邱淑貞表示,各金融機構都有備援系統,但,時常問題發生時,卻不敢切換,她指出,就是因平時缺少演練,不清楚切換後,會發生什麼事情,導致需花時間才可復原業務。金管會將督導公會訂定災害應變運作、復原能力實證等作業韌性參考規範,作為業者遵循依據,並鼓勵金融機構於異地備援演練時,納入實際作業運作驗證。邱淑貞強調落實演練的重要性,她直言,不然,備援系統根本沒有很大的用處。
金管會將以4年為期,分階段推動金融資安行動方案,同時每半年會檢討一次成果,來隨資安發展趨勢及實務運作情形,調整行動方案內容。邱淑貞也提到,針對各業別屬性、機構規模及業務風險等,金管會會採不同的資安要求,來推動該方案。文⊙黃郁芸
熱門新聞
2024-10-14
2024-10-13
2024-10-14
2024-10-13
2024-10-14
2024-10-14