金管會推金融資安懶人包 金融業強制設資安長門檻出爐
金管會副主委暨資安長邱淑貞今 (6) 日發布「金融資安行動方案」,金管會還特地於金管會網站上放置「懶人包」檔案,讓各金融業可以遵循;同時,金管會也宣布,資產兆元以上的銀行、保險業,2021 年底前需強制設置資安長,而即將問世的 3 家純網銀雖然資產不達兆元,但各家也需要設資安長。
金管會所推的金融資安行動方案,以四年為期分階段推動,每半年檢討成果,期待藉此強化金融業資安防護能力,達成安全、便利、營運不中斷目標。
「金融資安行動方案」分別從「強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能」等四個面向切入。
邱淑貞表示,金融業是高度利用資訊科技的產業,營業模式也因為電子化、數位化、大數據及人工智慧的運用而改變,客戶因為科技創新發展而享有極大便利。隨著資安威脅日益嚴峻,金融資安防護的思維亦須更快速的調整因應,因此觀察國際金融資安情勢、國際金融資安監理趨勢,訂定金融資安行動方案,希望作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循的指引,以追求安全便利不中斷的金融服務。
金融資安行動方案分別從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等四個面向切入,提出 36 項資安措施,且將從二方面提供指引功能:(一) 現有資安再優化精進措施,如檢視資安風險因子與金融監理工具連結的有效性、增修訂新興金融科技資安規範等;(二) 規劃資安新思維方向,如推動一定規模金融機構或純網銀設置資安長,強化金融資安韌性,建立資安應變體系等。
關於資安長部分,邱淑貞進一步表示,資產兆元以上的銀行、保險業,2021 年底前需強制設置資安長,而今年即將開業的 3 家純網銀雖然資產不達兆元,但因為所有業務都在網路上執行,資安控管更重要,因此也需強制設置資安長;而資本額 200 億元以上的證券業也需設置。
以資本額來看,需要設置資安長的金融機構,包括 17 家銀行、8 家保險公司與 3 家證券公司,以及 3 家純網銀,總計有 31 家金融機構明年底前都需完成設置副總經理層級的資安長,統籌資安政策推動協調與資源調度。並鼓勵遴聘具資安背景的董事、顧問或設置資安諮詢小組,增納專業人員參與董事會運作,帶動機構重視資安的組織文化。
此次的方案也著重強化新興科技的資安防護,邱淑貞表示,建議公會增修訂資安自律規範,納入行動應用程式 (APP)、雲端服務、開放銀行、Open API、網路身分驗證 (eKYC) 及資訊服務供應鏈的風險評估等當前關注議題,以配合金融科技發展與業務開放。
為提升金融機構客戶對金融系統對抗災難性事件的信心,金管會也參考美國推動的「避風港計畫」概念,研議資料保全運作機制,包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項,視研議結果評估推動方式,達成保護最關鍵資訊之終極目的。