金管會於23日首度召開金融機構資安長聯繫會議,邀集79家已設置資安長之銀行業、證券商、保險公司及周邊單位,就當前重要資安政策措施、資安監理重點、資安情勢及資安聯防等議題交換意見。
有鑑於近期個資外洩事件頻傳,金管會提醒三點:
一、資安要做到讓民眾安心:民眾的個資、存款、交易及保單的資料等,都要受到保護。
二、對新科技使用要有相對應的配備:金融機構對於新技術運用要有對應配備、風險控管要掌握及內控的設計要到位。
三、提升整體金融業的資安韌性:金融機構間應落實資安分享、強化資安聯防、相互合作、分享,共同抵禦。
金管會去年12月推出金融資安行動方案2.0,引導金融機構持續精進資安防護。金管會23日召開第1次金融機構資安長聯繫會議,主要議題包括:
- 金融機構資安長聯繫會議運作方式:為增進金融機構資安長對金管會將定期舉辦金融機構資安長聯繫會議,分由金管會及業務局兩層級召開,每年度各自辦理至少1次,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。
- 銀行、證券、保險等業別近期資安重點及注意事項:由銀行局、證期局及保險局說明近期資安法規(含自律規範)修正內容及監理重點,提醒各業別相關資安應注意事項。
- 金融資安行動方案2.0推動重點:金融資安行動方案2.0係以擴大推動設置資安長及導入國際資安管理標準,落實與深化金融資安防護、資安監控及資料保全機制,以及鼓勵零信任網路部署、增進資安聯防運作效能等為持續精進方向。
- 近期資安情勢及資安聯防推動重點:由金融資安資訊分享與分析中心(F-ISAC)說明近期國內外資安威脅及資安聯防推動重點,包括推廣金融業電腦系統安全組態基準(FCB)、推動金融機構加入資安監控聯防(F-SOC)、自動化情資交換機制及會員情資分享機制等推動工作。
本次會議各資安長交流討論聚焦於下列兩項議題:
- 強化供應鏈資安韌性:金融業已持續強化資安。但觀察到供應商之資安水準也應一起提升,整體資安強化才能到位。建議同業間應有對供應商更明確要求,資安情資亦可分級提供供應鏈廠商參考,促使供應商對資安議題更加重視。另有與會資安長提出對共同供應商辦理聯合稽查之作法供參考。
- 共同提升資安聯防效能:各資安長都體認到,金融產業共同承擔金融市場信譽風險,且金融交易具高度連結,應共同致力於資安聯防。資安長們對F-ISAC經由會員分享掌握專屬我國之金融資安情資表達肯定,並建議增進跨產業之資安事件情資分享。也對近年持續辦理之資安實兵演練,表達期待未來辦理演練情境可持續精進與多元,在量能上亦可擴增讓更多的金融機構及資安人員參與。