金管會發布「金融資安韌性發展藍圖」,強化金融資安生態系與營運韌性
金融監督管理委員會(以下稱金管會)為應「國家資通安全戰略2025」及「第七期國家資通安全發展方案」等政策,及確保金融系統營運不中斷,提供民眾安心交易環境,發布「金融資安韌性發展藍圖」,期能強化金融業資安防護能力及營運韌性。
金管會表示,為追求安全便利不中斷的金融服務,於109年8月發布「金融資安行動方案」、111年12月發布「金融資安行動方案2.0」,執行迄今已逾五年,經與金融周邊單位、金融同業公會與金融機構公私協力積極執行下,主要績效指標均已達成(如設置資安長及遴聘具資安背景之董事、顧問或設置資安諮詢小組、增修訂資安自律規範或作業指引、導入國際資安管理標準、訂定金融資安人才職能地圖、建立資安監控機制及聯防機制、辦理資安攻防演練與競賽、建立金融資安事件應變體系等項)。
為因應業務發展與科技進步,金管會再審視近三年金融科技發展趨勢、國內外資安情勢變化及實務運作情形,並觀察到國際間正積極推動「韌性導向」的監理,強調金融機構在面對網路攻擊、運作中斷或其他不確定性時,須具備快速回應與復原的能力,爰滾動檢討並研訂「金融資安韌性發展藍圖」,作為下一階段執行之準據。
「金融資安韌性發展藍圖」以目標治理、全域防護、生態聯防、堅實韌性為四軸架構,訂有29項措施,目標是建構「可預測、可防禦、可復原」的金融生態系。謹說明十大重點如下:
一、強化經營階層資安治理職能與問責機制,鼓勵資安法規調適:金管會前已推動一定規模或電子交易達一定比例之金融機構設置資安長,及鼓勵金融機構遴聘具資安背景之董事或設置資安諮詢小組,將持續推動提升董事會資安監督能量,強化資安長職責與權責,建立具「責任、權限、資源」三位一體的金融資安治理架構,強化問責鏈、確保決策獨立、提升資安治理彈性與韌性;另考量資安法遵要求愈趨繁複,且更新速度可能難以因應資安威脅演變,爰鼓勵於法規之增修,併同就既有法規重疊、滯礙或策略目標進行調適或前瞻布局,適度授權資安長可採取相當控制措施,以提升資安治理之效率與彈性。
二、加強資安人才培育與交流,從共通基準邁向策略目標:金管會將持續滾動修訂110年訂定之金融資安人才職能地圖,並鼓勵金融機構盤點資安人才分布情形及缺口,健全資安職能配置;另規劃定期舉辦跨機構「主題式」論壇、工作坊或案例研討,聚集相同領域之跨機構人才,共同研討金融資安前瞻規劃暨典範實務,深化資安人才之知識共享及技術提升;並藉以調修建立成熟度分級評估指標,引導金融機構從合規導向轉向目標導向,建立「可量測、可成長、可差異化」監理架構。
三、資安左移,安全納入設計:傳統軟體開發流程著重於功能實現與滿足使用者需求,安全性檢測常被延後進行,增加潛在資安風險,且將增加修復成本及延宕專案期程,爰鼓勵金融機構導入軟體安全開發、測試及部署流程,將資安左移至較前且較低成本的階段解決,並產出軟體物料清單(SBOM),建立漏洞監控與版本更新之機制;另將研訂應用程式介面(API)安全基準,以強化API安全防護。
四、推動零信任架構,提升資安防護基準:金管會已於113年7月發布「金融業導入零信任架構參考指引」,將持續推動高風險場域優先導入,並漸進提升成熟度;並將透過定期調查各金融機構導入規劃及進程,衡量實際資安防護需求及執行可達性,評估將實作參考原則漸進納入資安基礎規範,提升整體資安防禦水準。
五、強化資安監控及防護有效性:金管會自109年起鼓勵金融機構建置資安監控機制(SOC),並研析駭客組織攻擊手法,制定金融資安監控及組態基準,提供金融機構參考運用,將持續擴增資安監控及組態基準涵蓋範圍(包含雲端),及鼓勵金融機構定期檢驗資安監控及防禦部署之有效性。
六、前瞻部署,因應新興科技的挑戰:考量AI系統的資安風險更複雜與隱蔽,將研訂金融業AI系統安全防護及檢測參考指引,以涵蓋傳統網路威脅及AI特有攻擊類型;另因應量子電腦已證實對「非對稱式加密技術」構成嚴重威脅,影響網路交易、電子簽章及身分驗證等加密安全,將研訂金融業後量子密碼學(PQC)遷移參考指引,提供金融業據以建立PQC遷移計畫,及視量子電腦及PQC發展成熟度適時推動金融機構辦理PQC遷移作業。
七、強化供應鏈資安,健全金融資安生態系:因應金融業對於第三方服務供應商與外包商的依賴程度日益加深,規劃依產業特性、供應商接觸資通系統之類別及資料敏感度等面向進行分級,研訂資安責任之委外契約參考條款,並鼓勵金融機構建立供應鏈風險評估機制,與其關鍵供應商、第三方服務商、系統整合商等上下游合作,分享威脅、保護資訊、強化控管,聯合資安演練,降低整體供應鏈的資安風險。
八、加強資安情資分析與協同防禦:金融資安資訊分享與分析中心(F-IASC)已於111年底建置資安情資關聯分析平台,規劃強化既有情資自動化分享機制及導入自動化分析機制,並研議修訂情資分享獎勵辦法,鼓勵會員蒐集分享生態系關聯曝險情資;另規劃建立金融資安漏洞通報與回應管道,及定期舉辦跨國線上交流會議,深化與國際合作夥伴交流及提升國際能見度,並強化跨境事件的預警與應變效益。
九、辦理資安攻防演訓,強化資安事件應處能量:為強化金融機構因應駭客攻擊之防禦能量,將持續辦理金融資安攻防演練,並與訓練機構合作以演訓專班方式擴大參與量能;另將持續辦理重大資安事件應變情境演練,並擴大演練情境之廣度與深度,驗證金融機構與金控集團電腦資安事件應變小組、周邊單位或公會之資安應變支援小組、F-ISAC等資安聯防體系間之通報、協調及支援機制。
十、強化多層次備援機制,確保關鍵金融服務可用性:金管會前已將強化金融機構關鍵資料保全機制列為推動重點,爰規續推進強化關鍵金融服務多層次備援架構,並考量實際災難發生時的跨區資源調度與指揮運作,透過定期測試與演練驗證,確保任一層故障時皆能切換運作,優先恢復關鍵金融服務,金融機構並應同步針對關鍵供應鏈夥伴評估其災難復原與備援能力,建立相關備援協作機制或研擬替代措施,併納入備援及演練規劃。
金融資安韌性發展藍圖將以四年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整發展藍圖內容。為利藍圖推動,將依下列方式推動執行:
一、公私協力:透過公部門、金融周邊單位及各業別公會等,訂定相關管理規範標準、辦理資安人才培育、協力資安監控及應變,以協助金融機構提升資安防護能力。
二、差異化管理:針對各業別屬性、機構規模及業務風險等,分級規範適當的資安水準,兼顧金融機構實際資安防護業務需求及可執行性。
三、資源共享:賡續推動資安情資分享與合作、建立金融資安事件應變及監控體系,發揮資安聯防功能,並鼓勵金控或周邊單位(公會)建立資安事件應變小組,透過資源共享及合作,強化金融資安防禦能力。
四、激勵誘因:透過主管機關監理機制,如將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施。
五、國際合作:藉由加強與其他國家金融資安機構交流合作或簽定MOU,掌握國際金融資安情勢,結合國際資安組織,共同強化資安防禦。
金管會將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎,提供消費者安心、便利與多樣化之金融服務。
聯絡單位:資訊服務處
聯絡電話:(02)8968-0806
如有任何疑問,請來信: 本會民意信箱
相關附件
附件1:金融資安韌性發展藍圖
附件2:簡報
附件3:懶人包
金管會表示,為追求安全便利不中斷的金融服務,於109年8月發布「金融資安行動方案」、111年12月發布「金融資安行動方案2.0」,執行迄今已逾五年,經與金融周邊單位、金融同業公會與金融機構公私協力積極執行下,主要績效指標均已達成(如設置資安長及遴聘具資安背景之董事、顧問或設置資安諮詢小組、增修訂資安自律規範或作業指引、導入國際資安管理標準、訂定金融資安人才職能地圖、建立資安監控機制及聯防機制、辦理資安攻防演練與競賽、建立金融資安事件應變體系等項)。
為因應業務發展與科技進步,金管會再審視近三年金融科技發展趨勢、國內外資安情勢變化及實務運作情形,並觀察到國際間正積極推動「韌性導向」的監理,強調金融機構在面對網路攻擊、運作中斷或其他不確定性時,須具備快速回應與復原的能力,爰滾動檢討並研訂「金融資安韌性發展藍圖」,作為下一階段執行之準據。
「金融資安韌性發展藍圖」以目標治理、全域防護、生態聯防、堅實韌性為四軸架構,訂有29項措施,目標是建構「可預測、可防禦、可復原」的金融生態系。謹說明十大重點如下:
一、強化經營階層資安治理職能與問責機制,鼓勵資安法規調適:金管會前已推動一定規模或電子交易達一定比例之金融機構設置資安長,及鼓勵金融機構遴聘具資安背景之董事或設置資安諮詢小組,將持續推動提升董事會資安監督能量,強化資安長職責與權責,建立具「責任、權限、資源」三位一體的金融資安治理架構,強化問責鏈、確保決策獨立、提升資安治理彈性與韌性;另考量資安法遵要求愈趨繁複,且更新速度可能難以因應資安威脅演變,爰鼓勵於法規之增修,併同就既有法規重疊、滯礙或策略目標進行調適或前瞻布局,適度授權資安長可採取相當控制措施,以提升資安治理之效率與彈性。
二、加強資安人才培育與交流,從共通基準邁向策略目標:金管會將持續滾動修訂110年訂定之金融資安人才職能地圖,並鼓勵金融機構盤點資安人才分布情形及缺口,健全資安職能配置;另規劃定期舉辦跨機構「主題式」論壇、工作坊或案例研討,聚集相同領域之跨機構人才,共同研討金融資安前瞻規劃暨典範實務,深化資安人才之知識共享及技術提升;並藉以調修建立成熟度分級評估指標,引導金融機構從合規導向轉向目標導向,建立「可量測、可成長、可差異化」監理架構。
三、資安左移,安全納入設計:傳統軟體開發流程著重於功能實現與滿足使用者需求,安全性檢測常被延後進行,增加潛在資安風險,且將增加修復成本及延宕專案期程,爰鼓勵金融機構導入軟體安全開發、測試及部署流程,將資安左移至較前且較低成本的階段解決,並產出軟體物料清單(SBOM),建立漏洞監控與版本更新之機制;另將研訂應用程式介面(API)安全基準,以強化API安全防護。
四、推動零信任架構,提升資安防護基準:金管會已於113年7月發布「金融業導入零信任架構參考指引」,將持續推動高風險場域優先導入,並漸進提升成熟度;並將透過定期調查各金融機構導入規劃及進程,衡量實際資安防護需求及執行可達性,評估將實作參考原則漸進納入資安基礎規範,提升整體資安防禦水準。
五、強化資安監控及防護有效性:金管會自109年起鼓勵金融機構建置資安監控機制(SOC),並研析駭客組織攻擊手法,制定金融資安監控及組態基準,提供金融機構參考運用,將持續擴增資安監控及組態基準涵蓋範圍(包含雲端),及鼓勵金融機構定期檢驗資安監控及防禦部署之有效性。
六、前瞻部署,因應新興科技的挑戰:考量AI系統的資安風險更複雜與隱蔽,將研訂金融業AI系統安全防護及檢測參考指引,以涵蓋傳統網路威脅及AI特有攻擊類型;另因應量子電腦已證實對「非對稱式加密技術」構成嚴重威脅,影響網路交易、電子簽章及身分驗證等加密安全,將研訂金融業後量子密碼學(PQC)遷移參考指引,提供金融業據以建立PQC遷移計畫,及視量子電腦及PQC發展成熟度適時推動金融機構辦理PQC遷移作業。
七、強化供應鏈資安,健全金融資安生態系:因應金融業對於第三方服務供應商與外包商的依賴程度日益加深,規劃依產業特性、供應商接觸資通系統之類別及資料敏感度等面向進行分級,研訂資安責任之委外契約參考條款,並鼓勵金融機構建立供應鏈風險評估機制,與其關鍵供應商、第三方服務商、系統整合商等上下游合作,分享威脅、保護資訊、強化控管,聯合資安演練,降低整體供應鏈的資安風險。
八、加強資安情資分析與協同防禦:金融資安資訊分享與分析中心(F-IASC)已於111年底建置資安情資關聯分析平台,規劃強化既有情資自動化分享機制及導入自動化分析機制,並研議修訂情資分享獎勵辦法,鼓勵會員蒐集分享生態系關聯曝險情資;另規劃建立金融資安漏洞通報與回應管道,及定期舉辦跨國線上交流會議,深化與國際合作夥伴交流及提升國際能見度,並強化跨境事件的預警與應變效益。
九、辦理資安攻防演訓,強化資安事件應處能量:為強化金融機構因應駭客攻擊之防禦能量,將持續辦理金融資安攻防演練,並與訓練機構合作以演訓專班方式擴大參與量能;另將持續辦理重大資安事件應變情境演練,並擴大演練情境之廣度與深度,驗證金融機構與金控集團電腦資安事件應變小組、周邊單位或公會之資安應變支援小組、F-ISAC等資安聯防體系間之通報、協調及支援機制。
十、強化多層次備援機制,確保關鍵金融服務可用性:金管會前已將強化金融機構關鍵資料保全機制列為推動重點,爰規續推進強化關鍵金融服務多層次備援架構,並考量實際災難發生時的跨區資源調度與指揮運作,透過定期測試與演練驗證,確保任一層故障時皆能切換運作,優先恢復關鍵金融服務,金融機構並應同步針對關鍵供應鏈夥伴評估其災難復原與備援能力,建立相關備援協作機制或研擬替代措施,併納入備援及演練規劃。
金融資安韌性發展藍圖將以四年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整發展藍圖內容。為利藍圖推動,將依下列方式推動執行:
一、公私協力:透過公部門、金融周邊單位及各業別公會等,訂定相關管理規範標準、辦理資安人才培育、協力資安監控及應變,以協助金融機構提升資安防護能力。
二、差異化管理:針對各業別屬性、機構規模及業務風險等,分級規範適當的資安水準,兼顧金融機構實際資安防護業務需求及可執行性。
三、資源共享:賡續推動資安情資分享與合作、建立金融資安事件應變及監控體系,發揮資安聯防功能,並鼓勵金控或周邊單位(公會)建立資安事件應變小組,透過資源共享及合作,強化金融資安防禦能力。
四、激勵誘因:透過主管機關監理機制,如將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施。
五、國際合作:藉由加強與其他國家金融資安機構交流合作或簽定MOU,掌握國際金融資安情勢,結合國際資安組織,共同強化資安防禦。
金管會將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎,提供消費者安心、便利與多樣化之金融服務。
聯絡單位:資訊服務處
聯絡電話:(02)8968-0806
如有任何疑問,請來信: 本會民意信箱
相關附件
附件1:金融資安韌性發展藍圖
附件2:簡報
附件3:懶人包
0 结果