金管會揭露未來4年金融業資安韌性發展藍圖，鼓勵資安左納入軟體安全設計、研擬金融業AI系統安防指引、加強導入零信任架構

金管會持續加強金融業資安管理，從2020年首次發布金融資安行動方案1.0開始，2022年發布行動方案2.0在今年底到期後，金管會今天(12/30)發布「金融資安韌性發展藍圖」，描繪我國金融業未來4年強化資安治理發展方向，例如鼓勵業者資安左移，將安全納入設計，並將研擬金融業AI系統安防指引，加速導入零信任架構等等。

金管會強調發布「金融資安韌性發展藍圖」，除了承續金融資安行動方案2.0，並參考「國家資通安全戰略2025」及「第七期國家資通安全發展方案」等國家資通安戰略，來強化我國金融系統的資安韌性，確保營運不中斷，該藍圖中可分為4構面，包括建立目標治理、建立全域防護、加強生態聯防、堅實韌性。

金管會資訊服務處長林裕泰指出，首先在目標治理方面，面對資安威脅的增加，必需建立資安治理的目標，特別是強化高層問責、資安法規調適及強化人才韌性；在全域防護方面，納入資安左移，將資安的思維向左移至資訊單位，加強不同規模的金融業部署零信任架構的成熟度，並針對新興科技如AI、量子建立相關的指引規範。

在生態聯防方面，林裕泰指出，除了金融業外，因應跨域合作、供應鏈攻擊的威脅增加，從金融業跨出去，和相關產業建立生態聯防合作；堅實韌性方面，加強演訓、備援及風險分層的概念，加強金融系統及服的韌性。

藍圖也分別在4個構面列出10大重點工作，這些重點工作有一部分是延續資安行動方案2.0的延伸強化作業。

強化資安長賦權及問責

例如在資安行動方案2.0中，已提升董事會的資安監督能量，將資安納入公司治理的核心，其次是對於達到一定規模電子交易的金融業者需建立副總級以上的資安長。林裕泰指出，金管會接下來希望強化資安長在企業營運中賦權及問責機制，讓資安長擁有相當的權限、資源來處理資安議題。此外，由於新興科技發展快速，滾動調整金融相關的資安法規。

在資安人才方面，先前發布的金融資安人才職能地圖後續持續調整。林裕泰也指出，資安還是要以人才為本，延續過去人才培訓角度外，希望回到金融機構內部合理的資安人才職能配置為重點，此外，鼓勵金融機構的典範能夠跨機構交流，讓典範發展為金融業者之間的最佳實務。

推動零信任架構導入向成熟階段發展

至於金管會在2024年7月已發布的金融業導入零信任架構參考指引，經過一年多的發展，不同規模金融機構在導入零信任架構上的進展不一，以零信任架構導入的4個階段而言，有的金融業者在傳統階段，發展較快的業者已進入起始階段或進階階段，較少業者進入最佳階段。

在藍圖中，金管會希望延續零信任架構導入高風險場域，逐步推動業者導入零架任架構，並向成熟階段發展，金管會也希望建立導入實務共識，漸漸納入基礎規範。

在資安監控方面，林裕泰表示，過去幾年主要推動從攻擊角度檢視資安的組態、監控規則，未來會持續推動，也因應金融業者上雲，推動相同機制帶到雲端，此外，也鼓勵業者持續透過DDoS攻擊、紅藍隊攻防演練等方式，檢視業者自身資安監控防護的有效性。

納入資安左移降低資安風險及漏洞處理成本

在全域防護方面，除了推動業者導入零信任架構外，也迎合軟體安全設計(Secure By Design)的趨勢；林裕泰指出，過去資安是在軟體開發後部署才開始防護，當後續發現漏洞，需要投入更多的成本處理，因此推動資安左移，鼓勵在軟體設計開發流程中嵌入安全機制，並且跟進國際上軟體供應鏈SBOM透明化，根據軟體清單追蹤重大漏洞，即時修補以降低風險，鼓勵金融業者透過資安左移以降低處理成本。

先前金融會推動Open Banking的API安全防護，金管會也希望延伸到供應鏈夥伴的API安全防護，研訂API的安全基準。

新興科技方面，特別是AI的資安防護，參考國際資安組織OWASP等針對生成式AI、大語言模型發布弱點或攻擊警訊，金管會希望在明年召集金融業者，共同研擬金融業AI系統安全防護及檢測參考指引。

至於後量子密碼(PQC)遷移，金管會在2025年7月先邀請部分金融業者參與先導小組，先凝聚共識，盤點密碼學的技術清單，後續進行風險評估，逐漸布局後量子密碼遷移，未來希望研擬金融業PQC遷移參考指引。不過，由於目前量子密碼遷移仍持續發展中，金管會現階段不願透露何時發布金融業PQC遷移參考指引。

擴大金融業供應鏈聯防及情資分享

建立生態聯防機制部分，考量到供應鏈資安管理愈來愈重要，金管會希望金融業除了提升自身的資安防護，也能帶動金融業供應鏈的資安防護向上提升；林裕泰指出，金管會將依照金融服務的敏感性、可用性等不同屬性後，對其供應商建立分級，對委外的資安責任建立參考範本 ，提供資安事件通報、應處能力提出共通的要求。另外，也鼓勵資安情資分享，不只是金融業之間，也和供應鏈分享情資。

在資安情資的取得上，金管會統計，目前F-ISAC已有7成的情資來自會員，顯示已建立情資分享的基礎，持續擴大F-ISAC取得情資的管道，今年增加外部攻擊面管理(EASM)、來自暗網的情資，未來希望增加金融業生態供應鏈、產品資安事件應變小組(PSIRT)、安全漏洞揭露計畫(VDP)的情資，並且加強與國際合作。

在精進金融韌性上，過去鼓勵金融業者投入DDoS、紅藍隊攻防演練，以及重大資安事件的情境模擬演練；林裕泰指出，明年開始希望擴大參與的範圍，讓中小型缺乏人力的金融機構也能加入演練，將兩項演練延伸變成體驗營擴大金融機構參與。

在金融機構的備援機制部分，加強金融服務備援機制，確保服務的可用性，持續推動金融業者導入國際性營運持續的標準之外，也會針對複合式災難情境建立關鍵服務的多層次備援機制；林裕泰指出，假設金融業者面臨複雜的災難情境，如何在資源有限的情形下，調度資源支持關鍵服務，不只是金融業者自身，也包括金融服務的生態合作夥伴，建立備援協作機制。

與先前推動行動方案一樣，金管會為推動金融業者遵循發展藍圖，將召集相關局及單位、公會，制定各項目的推動指標、執行進程，以公私協力、差異化管理、資源共享、增加誘因、國際合作等方式促成金融業者依資安韌性藍圖的目標發展。

林裕泰表示，「金融資安韌性發展藍圖」希望提升國內金融業的資安治理成熟及韌性，支撐金融服務的創新及安全落地；在管理面從金融業者擴大到生態圈；技術面則是縮短金融業者遭遇重大資安攻擊事件的平均回復時間(MTTR)。過去金融業的資安防護從事前預防攻擊，轉向遭到攻擊時可以快速應變，快速回復服務。「金融資安韌性發展藍圖」的最終目的是打造安全、可信、可持續創新的臺灣金融生態系。