FINDIT
EN
2020/08/18

【創新創業與產經政策】金管會推動「金融資安行動方案」,追求安全便利不中斷的金融服務目標

金融監督管理委員會發布「金融資安行動方案」,期能強化金融業資安防護能力,達成安全、便利、營運不中斷目標。

金管會表示,金融業是高度利用資訊科技的產業,營業模式也因為電子化、數位化、大數據及人工智慧的運用而改變,客戶因為科技創新發展而享有極大便利。但隨著資安威脅日益嚴峻,金融資安防護的思維亦須更快速的調整因應,爰觀察國際金融資安情勢、國際金融資安監理趨勢,訂定金融資安行動方案,希望作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循的指引,以追求安全便利不中斷的金融服務。

金融資安行動方案分別從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等四個面向切入,提出36項資安措施。從二方面提供指引功能:(1)現有資安再優化精進措施,如檢視資安風險因子與金融監理工具連結之有效性、增修訂新興金融科技資安規範等;(2)規劃資安新思維方向,如推動一定規模金融機構或純網銀設置資安長,強化金融資安韌性,建立資安應變體系等。

本行動方案主要特色如下:

(1)型塑金融機構重視資安的組織文化:為提升金融機構對資安議題之決策功能,推動一定規模金融機構或純網銀設置副總經理層級之資安長,統籌資安政策推動協調與資源調度。並鼓勵遴聘具資安背景之董事、顧問或設置資安諮詢小組,增納專業人員參與董事會運作,帶動機構重視資安的組織文化。

(2)強化新興科技的資安防護:為兼顧創新與安全之平衡,金融機構運用新興科技發展創新業務,亦須預先考量相關資安風險因子,及因應金融服務委外及跨業合作發展,強化金融供應鏈體系風險評估與管理。建議公會增修訂資安自律規範,納入行動應用程式(APP)、雲端服務、開放銀行、Open API、網路身分驗證(eKYC)及資訊服務供應鏈之風險評估等當前關注議題,以配合金融科技發展與業務開放。

(3)系統化培育金融資安專業人才:為強化金融機構資安人才能力建構,將依據金融資安職能需求訂定人才培訓地圖;協調周邊單位開設金融資安人才養成專班,與科技公司合作,充實師資及課程,透過產學合作、跨業合作,培育跨領域人才;並鼓勵金融資安人員取得國際資安證照,以培訓符合實務需要的資安人才。

(4)建立營運資料保全避風港:為提升金融機構客戶對金融系統對抗災難性事件的信心,參考美國推動之「避風港計畫」概念,研議資料保全運作機制,包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項,視研議結果評估推動方式,達成保護最關鍵資訊之終極目的。

(5)建構資源共享的資安應變機制:資安事件應變處理具高度時效要求,單一機構資源有其限制,透過個別金融機構資安處理機制,加入金控集團資源、公會協力及F-ISAC聯防,建立資源共享的資安應變機制,協助業者資安應處。

(6)建置金融資安監控協同體系:鼓勵金融機構建置資安監控機制(SOC),及早發現網路異常行為,即時掌握資安風險;並督導F-ISAC建置二線SOC及訂定資安監控作業標準,透過協同運作,以有效監控整體資安風險,協助金融機構強化資安防護。

(7)鼓勵導入資安國際標準:鼓勵金融機構導入國際資安管理標準及國際營運持續管理標準,並取得相關驗證,透過第三方獨立機構檢視管理制度及持續營運之有效性。

(8)落實復原應變運作機制:督導公會訂定災害應變運作、復原能力實證等作業韌性參考規範,作為業者遵循依據,並鼓勵金融機構於異地備援演練時,納入實際作業運作驗證。

金管會表示將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技繼續發展之基礎,金融機構可運用新興科技發展金融業務,提供消費者安心、便利與多樣之金融服務。

參考來源:金融監督管理委員會(https://pse.is/UWY2R)

相關下載