文/黃彥棻|2026-01-22發表

台新新光金控兼台新銀行資安長 陳詰昌

在台新與新光金控合併進入關鍵階段之際,資安不只是技術層面的防護工作,而是牽動治理、信任與成長節奏的核心戰略。身兼台新新光金控與台新銀行資安長的陳詰昌,正站在這場整併工程的樞紐位置,負責整合攸關營運穩定的「數位大腦」,讓資安成為支撐金融創新的力量,而非阻力。

出身警界,長年投入科技犯罪偵查的背景,陳詰昌對攻防對抗與威脅演化有高度敏銳度,也形塑了他的資安管理理念:風險從來不是靜態問題,而是一場持續變動的管理課題。陳詰昌接手偵辦第一銀行和遠東商銀的資安事件,進入金融體系後,他認為資安長更重要的任務是:將複雜的風險轉譯為組織能理解、能決策的語言,並在其中建立共識與信任。

這樣的思維,正好呼應台新與新光合併所面臨的挑戰,整併不只是系統與制度的對齊,更是一場文化與治理的深度融合。陳詰昌認為,關鍵不在於誰併誰,而是如何重新界定整個集團可承受的風險邊界,建立一套能被共同理解與接受的資安治理語言,避免原本獨立的體系在整合過程中彼此掣肘。

金控整併的資安棋局,追求一致性與協同綜效

隨著台新與新光兩大體系正式進入整併深水區,資安不再只是系統層面的技術工程,而是一場牽動治理邏輯、組織文化與長期競爭力的全局棋局。身為台新新光金控資安長,陳詰昌此刻的核心任務,是在高度複雜的集團架構中,建立一致的資安治理基礎,同時催生市場與經營團隊期待的整併綜效。

在他的定義裡,一致性不等於一模一樣。金控治理追求的,並非要求所有子公司使用相同系統,而是先建立集團層級的控制框架與風險口徑,讓銀行、證券與保險能以同一套「風險語言」溝通。這套語言,必須清楚界定風險胃納、關鍵風險指標與衡量方式,確保風險能被看見、被理解,也能被管理。

這樣的思維,來自他對金融業務本質差異的深刻體認,證券講求毫秒級的極速交易,壽險重視長達數十年的資料穩定性,銀行則介於即時性與穩定性之間,若強行以單一標準套用所有事業體,反而可能製造新的風險。

他提出以「基準線」為核心的治理原則,要求所有子公司先達到一致的基本資安水準,再依業務特性向上加嚴,讓整體防禦維持完整,同時保有彈性。

在整併最受關注的綜效議題上,陳詰昌選擇從能力的集中化著手,資安監控中心的集中,不只是成本考量,而是讓成熟度最高的單位成為集團的經驗引擎,將銀行累積的威脅獵捕與事件應變經驗,快速轉化為流程與規則,擴散到證券與保險子公司。對他而言,真正的綜效,不在帳面縮減,而在能力是否可以複製與放大。

在具體時程上,整併節奏相當清楚。去年7月24日,台新與新光金控已完成合併;同年11月投信率先整併;今年元旦人壽完成合併,4月證券接續整合;規模最龐大、系統最複雜的銀行體系,規畫於2027年元旦完成系統整合。系統選擇上,他採取取長補短的策略,銀行以台新系統為核心,證券則保留元富在交易速度與機房配置上的優勢,同時導入台新的治理制度。

在行動銀行、開放API與跨境服務成為常態的環境下,陳詰昌對資安的期待早已超越「不被攻破」。他更重視的是,一旦事件發生,服務是否仍能維持、組織是否能快速復原。這種「韌性」思維,讓身分識別、設備驗證與資料保護成為可重複使用的基礎能力,也讓營運持續與備援演練成為對市場與客戶的承諾。

重新定義資安長的角色,從技術防衛到風險治理

2022年,陳詰昌先接任台新銀行資安長;之後,肩負起台新新光金控資安長的重任。對他而言,不只是職稱升級,而是責任尺度與視角的根本轉換。在高度依賴資訊系統、同時承載市場信心與監理壓力的金融業,一起資安事件的衝擊,往往超越系統本身,直接考驗組織的治理能力與信任基礎。

因此,上任後他並未急著強化單點防禦,而是先試圖改變組織「如何看待資安」。金控是一個由銀行、保險、證券、委外服務與供應鏈交織而成的風險共同體,資安如果仍停留在防火牆或端點防護層次,終將失焦。他認為,真正有效的資安,必須上升到治理層級,成為董事會能監督、高層能討論,並與集團風險胃納緊密連動的管理議題。

在這樣的框架下,資安不再只是門檻,而是一項支撐業務成長的能力。陳詰昌認為,資安長的關鍵不在踩煞車,也不在技術有多深,而在能否將技術風險轉化為業務影響,並在跨部門之間建立共識。真正考驗資安長的,往往不是是否被入侵,而是在事件前後,是否具備風險溝通與危機領導的能力。

這個觀點,來自他從警界轉戰金融的深刻體悟。過去在偵查單位,核心任務是證據保全與追查嫌犯;但在銀行,首要目標是營運持續,必須在最短時間內恢復服務、控制影響範圍。他坦言,銀行不是辦案單位,不必追求完美的證據鏈,對客戶而言,服務不中斷才是關鍵。

因此,他在策略層面明確指出,企業資源有限,不可能做到零風險,與其追求百分之百防禦,不如確保組織不會成為駭客鎖定攻擊的軟柿子;一旦遭遇攻擊,具備快速復原的能力。

攝影/洪政偉

讓董事會看懂資安的「紅綠燈」

在陳詰昌的資安治理哲學中,溝通從來不是附加任務,而是資安長的核心職責。他直言,資安長若不主動走向高層,資安議題將被侷限在技術部門,影響力只會愈來愈小。

他上任的第一年,擬定資安政策時,便刻意將「資安長每年須向董事長報告,並提交董事會核可」正式寫入制度,為資安治理爭取一個固定且可被監督的決策位置,而非臨時性的簡報場合。

這樣的設計,並非只是為了預算或資源,更重要的是建立一條理解彼此期待的溝通管道。董事會關心的從來不是防火牆或惡意程式的技術細節,而是風險是否可控、投入是否產生效果。

為了縮短這項落差,陳詰昌刻意放棄過於複雜的量化風險模型,轉而採用美國NIST的網路安全框架(CSF)並加以簡化,轉成一套高層能直覺判讀的管理指標。

這套指標就是他口中的「資安治理紅綠燈」,將原本技術性的數據,如防毒覆蓋率、VPN開放狀態或中毒告警數量,重新編排成紅、黃、綠三種燈號,讓風險狀態一眼可見。

他分享,自從紅綠燈機制上線後,經營團隊在會議中只需聚焦亮起紅燈的項目,要求相關單位限期改善,資安長反而不必再花大量時間解釋背景。透過這樣的轉譯,資安治理從抽象的專業語言,轉變為可追蹤、可檢視的管理績效。

這種量化與可視化的治理方式,讓資安更自然地進入企業永續的討論脈絡。陳詰昌主動將資安與ESG連結,特別是在「社會責任」層面,他認為提供穩定、安全、不輕易中斷的金融服務,本身就是對社會最直接的承諾。

談到韌性,他刻意將其與傳統的營運持續管理(BCM)區隔開來。在他的定義中,營運持續管理多半針對地震、水災等已知風險進行事前準備;而韌性,則是組織在面對未知衝擊時,是否具備快速決策與即時應變的能力。這種能力,來自資訊透明度、制度成熟度,也來自高層在關鍵時刻是否願意承擔風險、果斷下判斷。

他坦言,推動營運持續管理的過程並不輕鬆。初期,不少業務單位仍將其視為IT或資安部門加諸的負擔,而非自身責任。為了扭轉認知,他花了近三年時間反覆溝通,強調營運持續的核心不在於昂貴的系統備援,而在於業務能否在危機中存活。他甚至引用海外子公司的案例說明,即使在系統失效時,透過人工流程或傳真維持基本服務,也是一種務實可行的營運持續方案。

這種不迷信技術、回歸業務本質的做法,逐漸獲得風控與業務等不同單位的認同,讓營運持續管理從資安部門的專案,轉變為全組織共同承擔的責任。在陳詰昌的治理藍圖中,資安並非追求零事故的理想國,而是一套能量化、能討論,能在不確定中支撐決策的管理工具。

跨界者如何打造資安的信任工程

回憶剛接任台新銀行資安長的前100天,陳詰昌最大焦慮並非技術能力不足,而是難以在龐大的銀行和金控架構中看清全貌。他認為,資產若不可見、權責不清楚,再先進的防護工具都可能淪為空中樓閣。

這樣的體悟,與他在警界養成的實戰思維密切相關。過去從攻擊者角度出發,思考事件如何發生、如何擴散;在進入金融業後,他格外重視資安治理的可視化與制度化,因為金控內部橫跨資訊、法遵、稽核與業務單位,若缺乏清楚分工,事件發生時反而容易彼此牽制。

因此,他上任後率先推動跨部門協作,並引入「RACI」權責概念,釐清誰負責(Accountable)、誰執行(Responsible)、誰被諮詢(Consulted)、誰被告知(Informed),將重大資安事件中的指揮、執行、通報與查核角色事前定義清楚,而非事後才追究責任。他強調,這不只是流程設計,更是一種文化轉向,希望團隊在危機來臨時,第一時間思考的是如何完成任務,而不是責任歸屬。

這套治理邏輯更延伸到金控子公司之間,不同業務屬性,對風險的感知自然不同,唯有在認知與通報節奏上取得一致,整體韌性才能成立。透過反覆演練與實際事件回饋,集團逐步建立起共同的資安語言。

陳詰昌認為,內部治理是打底工程,對外聯防是最具辨識度的實踐。他是國內金融界首位推動與調查局簽署合作備忘錄的資安長,並將警界人脈轉化為防詐能量,例如透過刑事局的DNS RPZ機制,加速攔阻與下架詐騙網站。他估算,過去單一銀行處理一個詐騙網站,往往耗費五、六萬元與兩、三天時間,但聯防機制不僅速度更快、成本更低,也能為民眾提供更即時的保護。

在他眼中,這種合作從來不是單向支援,是建立在互信上的雙贏關係:警政單位更理解金融實務,企業則取得即時情資與處置管道。這更促使台新新光金控加入 FIRST等國際組織,持續強化CSIRT能量;與調查局共同進行的駭侵演練,則讓資安、風控與業務單位在實戰中,理解營運持續的真正意義。

這樣的溝通能力,在台新推動「虛擬資產信託試辦案」時發揮了關鍵作用。當業務單位對區塊鏈、私鑰與密碼學感到陌生甚至不安時,陳詰昌不僅參與研究,更站在業務立場,用白話拆解風險與可行性。

面對主管機關在閉門會議中專業而尖銳的提問,他能精準回應,即時把複雜技術轉化為可治理的制度設計。他表示,當業務單位意識到資安長既懂技術、也懂商業時,資安便不再是創新的阻力,反而成為新業務得以前行的「托底力量」。

談到對後進的期許,陳詰昌引用巴菲特的「雪球理論」,鼓勵年輕人找到自己的斜坡與濕雪,選對方向、持續累積,讓時間成為放大器。他借用《納瓦爾寶典》的概念,提醒資安工作者要「把自己產品化」,將一次性的付出,轉為可重複交付的價值。從警界走到金控資安長,陳詰昌自己,正是那顆持續滾動的雪球。

 CISO小檔案 

陳詰昌

台新新光金控兼台新銀行資安長

學經歷:臺灣科技大學資訊工程碩士班畢業,任職警察時,工作內容囊括資訊科技到外勤,一路從基層員警到擔任刑事局偵九大隊隊長、數位證據股股長、科技研發科技正、刑事局刑事資訊科科長,於2022年擔任台新銀行資安長,後續接任台新新光金控兼台新銀行資安長一職

攝影/洪政偉

 公司檔案 

台新新光金控公司

●成立時間:1992年3月23日正式營業

●公司演變:2025年7月24日台新與新光金控進行合併,台新金控為存續公司,新光金控為消滅公司

●子公司整併歷程:2025年11月台新投信完成整併;2026年元旦新光人壽完成合併;今年4月台新證券和元富證券完成整合;2027年元旦完成台新銀行和新光銀行系統整合

●董事長:吳東亮(台新新光金控、台新銀行)

●總經理兼發言人:林維俊

●資訊長:孫一仕

●資安長:陳詰昌

 資安部門檔案 

●成立時間:2018年

●部門主管:部長

●直屬主管:資安長陳詰昌

●資安部門人數:22人

 資安大事記 

●2025/12/26:自建金融專用大語言模型「台新新光腦」,臺灣第一個由金融機構自建並部署於地端環境的金融專用繁體中文大型語言模型,榮獲由亞洲企業商會(Enterprise Asia)主辦的2025年「國際創新獎」(IIA)《服務與解決方案》類別殊榮

●2025/3/25:攜手北檢簽署「戰神專案」防詐合作備忘錄(MOU),提前預警通報並預控潛在高風險帳戶,共同攜手打擊重大詐騙案件

●2024/11/01:參加「2024台北金融科技展」,透過「智慧型徵信報告服務模組」監控授信品質與風險管控;將台新「AI智慧通」導入企業網路銀行的智能客服;運用AI偵測及大數據分析建立「戰神模型」防詐機制,協助實體分行及數位通路建立防詐網路

●2023/05/11:號召38家金融機構團結提升防詐行動力,參加「金融業打擊詐欺高峰會」,台新銀行自2021年至2023年第1季,共成功阻攔557件詐騙案,金額達新臺幣2億9906萬元

●2022/12/19:台新金聯手刑事局共創資安聯盟,與刑事局簽署合作意向書(MOU),「金融科技偕阻詐,資安聯防齊擋駭」進行阻詐合作專案,包括「資安智慧聯防」加速釣魚網站及惡意APP下架;將台新全臺的ATM嵌入「科技犯罪與駭侵事件預警」預警情資機制,協助降低警示戶數及詐騙金額

●2022/11/1:與法務部調查局簽訂「國家資通安全聯防與情資分享合作備忘錄(MOU)」,調查局首次與金融機構簽署資通安全合作備忘

熱門新聞

Advertisement