https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/
https://www.informationsecurity.com.tw/seminar/2024_Cloudflare/

新聞

金管會發布《金融資安行動方案2.0》: 三年為期,9大重點

2023 / 01 / 03
編輯部
金管會發布《金融資安行動方案2.0》: 三年為期,9大重點
金融監督管理委員會(金管會)發布「金融資安行動方案」2.0版,進一步強化金融業資安防護能力。

金管會於109年8月6日發布金融資安行動方案1.0版,執行迄今已逾兩年,主要績效指標(如設置資安長、導入國際資安標準、辦理資安攻防演練與競賽、建立金融資安事件應變體系等項)均已達成。為因應業務發展與科技進步,持續提升金融機構資安防護能量,金管會研訂金融資安行動方案2.0版,作為下一階段執行之準據。

金融資安行動方案2.0版以擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有40項措施,其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項。

9大重點

一、    擴大資安長設置,定期召開資安長聯繫會議:
  • 考量電子交易達一定比例者,其資安防護對整體營運影響亦高,納入推動設置資安長範圍,統籌資安政策推動協調與資源調度。
  • 另為強化資安長職責,規劃定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。
二、    因應數位轉型及及網路服務開放,增修訂自律規範:
  • 參考數位身分驗證等級國際標準(ISO 29115)架構,將網路身分驗證(eKYC)依登錄、信物管理及驗證等階段運作機制,區分信賴等級,並建立與業務風險對照之規範,以利業者於提供網路金融服務遵循;
  • 並將與第三方服務提供者(TSP)業務合作之風險評估與管理納入自律規範研修課題。
三、    深化核心資料保全及營運持續演練:
  • 研議並鼓勵重要金融機構強化重要核心資料保全機制,包含核心資料檔案、資料庫加密與分持,儲存於第三地或雲端備份等機制。
  • 規劃依據行業特性訂定核心業務系統備援演練指引,如本異地備援實際運作、切換時效要求等項。也鼓勵金融機構併同外部關聯單位辦理資通系統聯合演練,以應災害備援實務需求。
四、    擴大導入國際資安管理標準及建置資安監控機制:
  • 金管會自109年鼓勵金融機構導入國際資安管理標準(ISMS)及建置資安監控機制(SOC),擴大推動至具一定規模或電子交易達一定比例之金融機構。
五、    鼓勵資安監控與防護之有效性評估:
  • 鼓勵已建置SOC並達一定規模之金融機構引入攻擊方思維,定期藉由網路攻擊手法,如DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬等,檢驗資安監控及防禦部署之有效性。
六、    鼓勵零信任網路部署,強化連線驗證與授權管控:
  • 規劃鼓勵金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路3大核心機制,搭配網路及資源的細化權限管控,以更能因應後疫情時期及數位轉型之資安防護需求。
七、    鼓勵配置多元專長資安人才,擴大攻防演訓量能:
  • 鼓勵金融機構重視各式資安人才之配置,及取得相關國際或專業訓練機構核發之資安證照(書),引導金融機構重視資安人員之資格能力;
  • 規劃導入美國資安專業組織MITRE發布之攻擊與防禦方法論(MITRE ATT&CK & ENGAGE),開設金融資安演訓專班,提升資安攻防戰略/戰術思維,並擴大演訓量能。
八、    提升資安情資分享動能,增進資安聯防運作效能:
  • 督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析之深度及廣度,並深化與會員間之情資分析與交流,以利及時提供更為精確完整的早期預警與防護建議。
  • 另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂之資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作之監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資之回饋,提升金融機構SOC與聯防SOC協同運作效能。
九、    辦理資安攻防演練,規劃重大資安事件支援演訓:
  • 持續規劃辦理金融機構分散式阻斷服務攻擊(DDoS)攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。
  • 規劃建立重大資安事件虛擬指揮及應變體系,結合重大資安事件演練,併同驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等之運作機制。

三年為期推動

金融資安行動方案2.0版將以三年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容。為利行動方案推動,將依下列方式推動執行:
  • 公私協力:透過公部門、金融周邊單位及各業別公會等,訂定相關管理規範標準、辦理資安人才培育、協力資安監控及應變,以協助金融機構提升資安防護能力。
     
  • 差異化管理:針對各業別屬性、機構規模及業務風險等,分級規範適當的資安水準,兼顧金融機構實際資安防護業務需求及可執行性。
     
  • 資源共享:續推動資安情資分享與合作、建立金融資安事件應變及監控體系,發揮資安聯防功能,並鼓勵金控或周邊單位(公會)建立資安事件應變小組,透過資源共享及合作,強化金融資安防禦能力。
     
  • 激勵誘因:透過主管機關監理機制,如將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施。
     
  • 國際合作:藉由加強與其他國家金融資安機構交流合作或簽定MOU,掌握國際金融資安情勢,結合國際資安組織,共同強化資安防禦。
金管會表示將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎,提供消費者安心、便利與多樣化之金融服務。