金融監督管理委員會發布「金融資安行動方案」，期能強化金融業資安防護能力，達成安全、便利、營運不中斷目標。

金管會表示，金融業是高度利用資訊科技的產業，營業模式也因為電子化、數位化、大數據及人工智慧的運用而改變，客戶因為科技創新發展而享有極大便利。但隨著資安威脅日益嚴峻，金融資安防護的思維亦須更快速的調整因應，爰觀察國際金融資安情勢、國際金融資安監理趨勢，訂定金融資安行動方案，希望作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循的指引，以追求安全便利不中斷的金融服務。

金融資安行動方案分別從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等四個面向切入，提出36項資安措施。從二方面提供指引功能：（1）現有資安再優化精進措施，如檢視資安風險因子與金融監理工具連結之有效性、增修訂新興金融科技資安規範等；（2）規劃資安新思維方向，如推動一定規模金融機構或純網銀設置資安長，強化金融資安韌性，建立資安應變體系等。

本行動方案主要特色如下：

（1）型塑金融機構重視資安的組織文化：為提升金融機構對資安議題之決策功能，推動一定規模金融機構或純網銀設置副總經理層級之資安長，統籌資安政策推動協調與資源調度。並鼓勵遴聘具資安背景之董事、顧問或設置資安諮詢小組，增納專業人員參與董事會運作，帶動機構重視資安的組織文化。

（2）強化新興科技的資安防護：為兼顧創新與安全之平衡，金融機構運用新興科技發展創新業務，亦須預先考量相關資安風險因子，及因應金融服務委外及跨業合作發展，強化金融供應鏈體系風險評估與管理。建議公會增修訂資安自律規範，納入行動應用程式（APP）、雲端服務、開放銀行、Open API、網路身分驗證（eKYC）及資訊服務供應鏈之風險評估等當前關注議題，以配合金融科技發展與業務開放。

（3）系統化培育金融資安專業人才：為強化金融機構資安人才能力建構，將依據金融資安職能需求訂定人才培訓地圖；協調周邊單位開設金融資安人才養成專班，與科技公司合作，充實師資及課程，透過產學合作、跨業合作，培育跨領域人才；並鼓勵金融資安人員取得國際資安證照，以培訓符合實務需要的資安人才。

（4）建立營運資料保全避風港：為提升金融機構客戶對金融系統對抗災難性事件的信心，參考美國推動之「避風港計畫」概念，研議資料保全運作機制，包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項，視研議結果評估推動方式，達成保護最關鍵資訊之終極目的。

（5）建構資源共享的資安應變機制：資安事件應變處理具高度時效要求，單一機構資源有其限制，透過個別金融機構資安處理機制，加入金控集團資源、公會協力及F-ISAC聯防，建立資源共享的資安應變機制，協助業者資安應處。

（6）建置金融資安監控協同體系：鼓勵金融機構建置資安監控機制（SOC），及早發現網路異常行為，即時掌握資安風險；並督導F-ISAC建置二線SOC及訂定資安監控作業標準，透過協同運作，以有效監控整體資安風險，協助金融機構強化資安防護。

（7）鼓勵導入資安國際標準：鼓勵金融機構導入國際資安管理標準及國際營運持續管理標準，並取得相關驗證，透過第三方獨立機構檢視管理制度及持續營運之有效性。

（8）落實復原應變運作機制：督導公會訂定災害應變運作、復原能力實證等作業韌性參考規範，作為業者遵循依據，並鼓勵金融機構於異地備援演練時，納入實際作業運作驗證。

金管會表示將持續提升金融機構資安防護能量，建構安全的金融服務發展環境，作為金融科技繼續發展之基礎，金融機構可運用新興科技發展金融業務，提供消費者安心、便利與多樣之金融服務。

參考來源：金融監督管理委員會（https://pse.is/UWY2R）