数位时代:扩大资安长设置!金管会“金融资安行动方案2.0”,5大重点一次看
https://www.bnext.com.tw/article/73445/
2022.12.28
时序进入年底,金管会27日宣布“金融资安行动方案”2.0版,将以3年为期分阶段推
动,并于每季检讨资安防护成果。
此方案是延续2020年8月发布的1.0版,当时已经要求国内资产达一定规模的银行、证
券、保险、投信、证交所、柜买中心、期货交易所等,共计65家金融业者,在今(2022)
年3月底前须强制设立“资安长”(Chief Information Security Officer,CISO),同
时鼓励金融机构内部聘请具资安背景之董事、顾问,或设置资安咨询小组。
金管会表示,虽然1.0方案执行至今已达到主要绩效指标,但考量近期因为新冠肺炎
疫情趋动数位转型、地缘政治风险,以及ATM遭盗领事件屡见不鲜,所以扩大及精进各项
推动措施。
针对“金融资安行动方案”2.0版,可整理出5大重点:
1. 扩大资安长设置,以及定期召开资安长联系会议
根据金管会,考量“电子交易达一定比例者”,其资安防护对于公司营运的影响甚高
,因此一并纳入推动设置资安长范围。
就目前情况来看:国内银行业(包含纯网银、邮局)已经全部设置资安长,券商将从
13家调整为20家。保险业的电子交易比例差异较大,因此会再评估检讨,至今已有13家自
行设置资安长。至于电子支付机构部分,也将适时纳入评估范围。
此外,未来将定期办理“资安长联系会议”,基本上每半年召开会议一次,要求各资
安长针对当前资安情势、推动策略及关键议题等共同研商,并增进金融机构间交流与联防。
2. 强化数位身分验证安全性
考量金融机构因应疫情加速数位转型的脚步,对数位金融服务的倚赖加深,传统金融
服务场景也由金融机构扩展至“金融生态圈”。
有鉴于此,金管会规划参考数位身分验证等级国际标准(ISO 29115)架构,将网络
身分验证(eKYC)依登录、信物管理及验证等阶段运作机制,区分信赖等级。
简单来说,将加强民众使用金融服务时的身分识别、验证,防止身分盗窃。
3. 深化核心资料保全
为了因应重大资安事件、天然灾害等风险,将研议重要金融机构强化重要核心资料保
全机制。包含核心资料档案、数据库加密与分持,储存在第三地或云端备份等机制,以此
强化备份及复原机制,提升数位韧性。
4. 鼓励零信任网络部署
“零信任”(zero trust)是一种资安防护策略。基于“永不信任,持续验证”的理
念,其针对所有资料存取皆透过身分鉴别、设备鉴别及信任推断等验证程序,再予以放行
。此方法有助于确认任何来源的存取资料,皆保证一致安全性。
在“金融资安行动方案”2.0版当中,金管会鼓励金融机构采取零信任网络部署,以
因应后疫情时代、数位转型下的资安防护需求。
5. 规划资安攻防演练
为了强化金融机构处理资安事件的能力,金管会将持续办理分布式阻断服务攻击
(DDoS)攻防演练、网络实兵攻防演练、网络攻防竞赛及重大资安事件情境演练。
同时,也规划建立重大资安事件虚拟指挥及应变体系,结合重大资安事件演练,并同
验证资安事件督导指挥、跨机构协调联系及支援应处能量等运作机制。
责任编辑:林美欣
>>>>>
金管会新闻稿/金管会发布“金融资安行动方案”2.0,引导金融资安持续精进2022-12-27
https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0,2&mcustomize=news_view.
jsp&dataserno=202212270001&dtable=News
缩址:https://reurl.cc/GXqk6y
相关新闻:资安需求高涨 人才严重不足 企业急征资讯长
https://readers.ctee.com.tw/cm/20221222/a14aa14/1219903/