金管會發布《金融資安行動方案2.0》: 三年為期，9大重點

9大重點

• 考量電子交易達一定比例者，其資安防護對整體營運影響亦高，納入推動設置資安長範圍，統籌資安政策推動協調與資源調度。
• 另為強化資安長職責，規劃定期辦理資安長聯繫會議，就當前資安情勢、推動策略及關鍵議題等共同研商，並增進金融機構間交流與聯防。

• 參考數位身分驗證等級國際標準(ISO 29115)架構，將網路身分驗證(eKYC)依登錄、信物管理及驗證等階段運作機制，區分信賴等級，並建立與業務風險對照之規範，以利業者於提供網路金融服務遵循；
• 並將與第三方服務提供者(TSP)業務合作之風險評估與管理納入自律規範研修課題。

• 研議並鼓勵重要金融機構強化重要核心資料保全機制，包含核心資料檔案、資料庫加密與分持，儲存於第三地或雲端備份等機制。
• 規劃依據行業特性訂定核心業務系統備援演練指引，如本異地備援實際運作、切換時效要求等項。也鼓勵金融機構併同外部關聯單位辦理資通系統聯合演練，以應災害備援實務需求。

• 金管會自109年鼓勵金融機構導入國際資安管理標準(ISMS)及建置資安監控機制(SOC)，擴大推動至具一定規模或電子交易達一定比例之金融機構。

• 鼓勵已建置SOC並達一定規模之金融機構引入攻擊方思維，定期藉由網路攻擊手法，如DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬等，檢驗資安監控及防禦部署之有效性。

• 規劃鼓勵金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路3大核心機制，搭配網路及資源的細化權限管控，以更能因應後疫情時期及數位轉型之資安防護需求。

• 鼓勵金融機構重視各式資安人才之配置，及取得相關國際或專業訓練機構核發之資安證照(書)，引導金融機構重視資安人員之資格能力;
• 規劃導入美國資安專業組織MITRE發布之攻擊與防禦方法論(MITRE ATT&CK & ENGAGE)，開設金融資安演訓專班，提升資安攻防戰略/戰術思維，並擴大演訓量能。

• 督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析之深度及廣度，並深化與會員間之情資分析與交流，以利及時提供更為精確完整的早期預警與防護建議。
• 另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂之資安監控組態基準(包含異常事件觸發及關聯分析規則等)，並以此為基準研訂與聯防SOC協作之監控組態與事件單觸發規則，以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性，並利資安監控情資之回饋，提升金融機構SOC與聯防SOC協同運作效能。

• 持續規劃辦理金融機構分散式阻斷服務攻擊(DDoS)攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。
• 規劃建立重大資安事件虛擬指揮及應變體系，結合重大資安事件演練，併同驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等之運作機制。

三年為期推動

• 公私協力：透過公部門、金融周邊單位及各業別公會等，訂定相關管理規範標準、辦理資安人才培育、協力資安監控及應變，以協助金融機構提升資安防護能力。
   
• 差異化管理：針對各業別屬性、機構規模及業務風險等，分級規範適當的資安水準，兼顧金融機構實際資安防護業務需求及可執行性。
   
• 資源共享：續推動資安情資分享與合作、建立金融資安事件應變及監控體系，發揮資安聯防功能，並鼓勵金控或周邊單位(公會)建立資安事件應變小組，透過資源共享及合作，強化金融資安防禦能力。
   
• 激勵誘因：透過主管機關監理機制，如將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子，引導金融機構主動積極執行資安措施。
   
• 國際合作：藉由加強與其他國家金融資安機構交流合作或簽定MOU，掌握國際金融資安情勢，結合國際資安組織，共同強化資安防禦。