金融資安行動方案2.0啓動 邱淑貞:強化金融韌性
(金管會副主委暨資安長邱淑貞。圖/視訊截圖)
爲迴應總統蔡英文指示強化金融韌性、建立有效的應變機制,確保整體經濟及金融的穩定,金管會主委黃天牧祭出四新政,其中資安是重要項目之一。金管會副主委暨資安長邱淑貞27日親自上陣宣佈啓動爲期三年的「金融資安行動方案」2.0,將祭出擴大資安長設置、定期召開資安長聯繫會議等40項措施,是否有獎勵措施?她指出,資安做好、客戶滿意放心就是金融機構最大鼓勵。此方案是強化金融韌性的重要基礎,目的要落實安全、便利、不中斷的金融服務。
邱淑貞表示,金管會在2020年8月6日發佈金融資安行動方案1.0,執行迄今已逾兩年,主要績效指標(如設置資安長、導入國際資安標準、辦理資安攻防演練與競賽、建立金融資安事件應變體系等項)均已達成,佔全計劃86%,持續辦理項目佔比14%。
邱淑貞進一步指出,「金融資安行動方案2.0版」以擴大適用、落實與深化、鼓勵前瞻爲持續精進方向,訂有40項措施,其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項,有九大重點。
邱淑貞指出,重點之一是「擴大資安長設置,定期召開資安長聯繫會議」,在1.0時要求銀行及一定規模以上金融機構設置副總經理層級以上之資安長。2.0是會將「電子交易達一定比例者」納入推動設置資安長範圍,統籌資安政策推動協調與資源調度。另爲強化資安長職責,規劃另定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。重大議題由資安長主持每半年一次,作業性的各局會召開。
金管會指出,目前39家銀行、郵局都設有資安長,證券業已有13家公司設有資安長,2.0上路後將有20家須設資安長,保險局則是12家已設資安長,至於電子交易達一定比例者會再檢視。
金管會指出,在2.0中也會修正自律規範,主要有三點,一是eKYC與業務風險對照安控基準、二是第三方合作評估與風險管理、三、因應新型態網路攻擊行爲(DeepFake、混合式網路釣魚等)。另爲確保金融機構於關鍵時刻能有效運作,也規劃依據行業特性訂定核心業務系統備援演練指引(如本異地備援實際運作、切換時效要求等項),以提供金融機構遵循。
在2.0方案其他重點措施包括:因應數位轉型及及網路服務開放,增修訂自律規範、深化核心資料保全及營運持續演練、擴大導入國際資安管理標準及建置資安監控機制、鼓勵資安監控與防護之有效性評估、鼓勵零信任網路部署,強化連線驗證與授權管控、鼓勵配置多元專長資安人才,擴大攻防演訓量能、提升資安情資分享動能,增進資安聯防運作效能、辦理資安攻防演練,規劃重大資安事件支援演訓。