金融資安行動方案2.0版3大新方向：資安長聯盟化、生態圈資安和零信任

金融資安行動方案2.0版新增了14項新措施，其中最受到關注的一項，就是資安長聯繫會議。在1.0版要求下，截至去年底為止，銀行、保險和證券業共有75位資安長，金管會將定期舉辦這群資安長的聯繫會議。而且未來將不只這個人數規模，金管會將要求交易量達到一定比例的業者也要設置資安長。

金管會副主委邱淑貞表示，資安長聯繫會議暫定半年舉辦一次，遇到重大議題由她親自主持。各局則各自按需求舉辦資安長聯繫會議。這個資安長聯繫會議的層級，讓資安長有機會直接面對副主委。

這幾年，金管會先從金融機構，到上市櫃公司都開始要求不同級別的企業，要逐步設立資安長，林裕泰日前曾指出，祭出這項法令後，民間因此出現了資安主管聯盟、資安長聯誼會等，促進跨業資安長交流，這是金管會所樂見的現象，也希望讓金融業資安長能進行更深化的交流，以及討論金融資安政策。現在等於金管會自己出面，建立一個金融資安長的聯繫活動，不只交流，也將具有直接的政策溝通力和影響力。

金管會希望透過資安長聯繫會來達到什麼樣的政策目標？金管會資服處處長林裕泰表示，不只要促進資安經驗交流，有助於推動資安戰略的研議，更希望能優化資安制度，進行資安事件指揮調度，來強化金融產業對重大資安事件的因應能能力。

金管會主委黃天牧早在1.0方案提出時，就訂出金融資安政策要以整體思維來超前部署，尤其，重大資安事件往往不只影響單一機構，甚至可能跨多個產業，攻擊者也可能不是來自少數駭客，而可能來自國家級的機構。如何打造一套金融資安事件應變體系是金融資安行動方案的重要任務。

在1.0中，金管會開始鼓勵金控建立電腦資安事件應變小組，來支援全集團內的資安事件應變，也由金融周邊單位或公會來建立資安應變支援小組，協助資源較少的企業，更開始透過重大資安事件的演訓，來驗證資安事件的督導指揮、進行跨機構協調聯繫，以及支援因應的運作等，到了2.0方案時，金管會更計畫在2024年前，建立一個重大資安事件的虛擬指揮及應變體系。

資安長聯繫會將成為重大資安事件虛擬指揮體系的關鍵組織

2.0方案未來要定期舉辦金融資安長聯繫會議，等於可以將銀行、證券、保險的資安長，甚至未來交易量大的電支業者設立資安長後，彼此可以串聯成一個跨產業的資安長聯盟組織，這將成為金管會建立重大資安事件虛擬指揮及應變體系的關鍵組織。圖片來源／金管會

林裕泰在2.0方案發布記者會上提到，資安長聯繫會議的工作包括了重大資安事件的因應，包括制度優化和指揮調度。雖然，他沒有明講更多細節，但兩相對照方案計畫內容，聯繫會議要討論的制度優化，就是重大資安事件的虛擬指揮和應變體系的建立，因為這個聯繫會議的參加者，正是日後這個虛擬指揮體系，在各機構的主要負責人，也就是資安長。

換句話說，資安長聯繫會議，將會討論一套未來彼此如何相互支援、分工的緊急應變制度，這就讓這一群資安長透過這個實體會議，發展成一個虛擬組織或是虛擬聯盟，一旦遭遇跨產業的重大資安事件時，可以快速形成一個指揮小組來應變。

過去幾年，金管會大力培育各金融機構的資安戰力，未來若透過各機構資安長，組成了一個跨機構的重大資安事件虛擬組織，也能將這群原本分散各公司的資安戰力整合起來，聯手一起對抗跨產業等級的重大資安威脅。

這個資安長聯繫會議的形式，等於可以將銀行、證券、保險的資安長，甚至未來交易量大的電支業者設立資安長後，彼此可以串聯成一個跨產業的資安長聯盟組織，這將成為金管會建立重大資安事件虛擬指揮及應變體系的關鍵組織。這是2.0方案中的第一個重大新方向。

金管會金融資安政策範圍擴大到金融生態圈

金管會開始擴大資安政策的範疇，走出金融產業，延伸到金融生態圈，有兩項新措施與金融生態圈資安有關，一是eKYC與業務風險對照，另一項是第三方服務商（TSP）的風險評估與管理。圖片來源／金管會

第二個重要新方向則是金管會開始擴大資安政策的範疇，走出金融產業，延伸到金融生態圈的資安，尤其有兩項新措施與金融生態圈資安有關，一是eKYC與業務風險對照，另一項是第三方服務商（TSP）的風險評估與管理。

金管會將依據ISO 29115「數位身分驗證等級」，將身分驗證依登錄、信物管理、驗證等運作階段來劃分，區分出不同階段需要的驗證強度等級，建立與金融業務風險間的對照，按不同業務風險所需的身分驗證強度要求，來修訂eKYC相關的規範，如電子銀行安控機制等。

金管會在2.0計畫書中清楚點出，這項新措施就為了因應傳統金融服務場景由金融機構擴展至「金融生態圈」的數位金融需求，金管會開始將金融資安政策範圍擴大到更廣的金融生態圈。

金融業者與第三方服務提供者的合作，是生態圈發展關鍵，但是過去，TSP苦於不易符合大型金融業者規模等級的資安合規要求，尤其在eKYC的資安合規，更是雙方合作的最大痛點。2.0將信賴等級來對照不同業務的風險，等於將不同業務各自需要的資安合規門檻分級，資安需求低的業務，就可以不需要採用信賴度過高的資安機制。

另外，2.0版將修訂與第三方合作風險評估相關的規範，也可以讓不同金融機構都有一套共同的TSP風險評估方式，可以讓TSP有一套基本的資安風險要求基準，這也是擴大生態圈的另一個重要基礎。

全球率先鼓勵金融業擁抱零信任

最後一項必須關注的新措施是，鼓勵金融機構擁抱零信任架構。

零信任架構雖然全球火熱，但美國、歐盟等都以政府機關為對象來推動零信任架構，只有少數如新加坡是鼓勵關鍵基礎設施提供者在關鍵系統上採用零信任架構。

美國以聯邦機構為主，所影響的是帶動了相關資訊產業的產品和環境必須擁抱零信任架構，美國國防部更是訂出了一套零信任框架與藍圖，對於商用雲端服務更有一套詳細的零信任規範，這都間接帶動了資訊業者擁抱零信任。

金管會沒有像美國國防部有一整套零信任藍圖，但是，臺灣是全球率先鼓勵金融產業擁抱零信任的國家。

金管會建議，金融業分階段導入零信任網路三大核心機制，包括身份鑑別、設備鑑別、信任推斷，也得搭配網路與資源的細化權限管控機制。

值得關注的是，金管會計畫要以零信任架構重新檢視多項金融資安議題，來修訂相關資通系統安全自律規範，包括內外部網路的資源存取、網段隔離、邊界防護等議題。這可能會將零信任帶到更多領域，甚至延伸到金融生態圈也需要跟進支援零信任架構的要求。

2.0方案要修訂的第三方合作風險評估規範中，如和新資訊系統供應商或跨機構資服業者合作廠商的風險評估與查核方式，規範重點也將納入金融服務韌性與網路邊際防護等重點，這也在零信任架構重新檢視的範圍中。

金融資安行動方案2.0不只從管理層來打造一個金融業資安體系，更進一步發展跨出金融業，延伸到更大範圍的金融生態圈資安，零信任架構就成了這個龐大體系運作的基礎原則。這是金管會在2.0方案中最值得關注的三大新方向。