資安治理環境日趨成熟:金融業
在接軌國際間「韌性導向」監理的浪潮下,金管會推出金融資安韌性發展藍圖,透過目標治理、全域防護、生態聯防及堅實韌性等四軸架構,建構「可預測、可防禦、可復原」的金融生態系,確保金融關鍵服務的持續運作。
採訪/施鑫澤 文/林裕洋
金融業向來是國家經濟運作的重要基石,然根據世界經濟論壇(WEF)最新公布「2025 年全球網路安全展望報告」指出,在地緣政治緊張局勢、供應鏈日益增長的相互依賴性,以及 AI 技術快速發展帶來應用和挑戰等因素下,對關鍵基礎設施帶來前所未有衝擊。
2025 年 7 月美國貨幣監理署發布「網路安全與金融系統韌性報告」指出,當前金融業主要的網路威脅包含勒索軟體、分散式阻斷服務攻擊(DDoS)攻擊、帳戶盜用、供應鏈風險、地緣政治威脅、AI 威脅、後量子密碼學等。
金管會資訊服務處處長林裕泰指出,為保障民眾財產權及提供穩定金融服務,金管會在 2020 年 8 月發布「金融資安行動方案」、2022 年 12 月發布「金融資安行動方案 2.0」,2025 年 12 月底進一步推出「金融資安韌性發展藍圖」,透過「目標治理」、「全域防護」、「生態聯防」及「堅實韌性」等四軸架構,目標是建構「可預測、可防禦、可復原」的金融生態系,確保臺灣金融關鍵服務在極端情境下也能持續運作。
規劃四大架構 邁向成果導向
隨著資安攻擊手法持續進化,臺灣在最新公布「國家資通安全戰略 2025:資安即國安」中,即針對國家級資安威脅、新興科技挑戰、網路犯罪猖獗等外部威脅,提出「全社會防衛韌性」、「國土防衛與關鍵基礎設施」、「關鍵產業與供應鏈安全」、「人工智慧應用與安全」等四大支柱。
其中,跨支柱準則之一「堅實資安治理機制及防護」,強調零信任架構已成為近年資安治理中不可或缺的一環,透過「絕不信任,永遠驗證」的理念,可有效降低網路攻擊的影響範圍。
因此,金管會金融資安韌性發展藍圖採「四軸架構」策略,透過推動 10 個工作項目、29 項執行措施等,期盼引導金融體系由「合規導向」轉向「成果導向」,旨在形成一個不斷提升資安治理的良性循環,使金融機構的資安防護具備可預測性、可防禦性與可復原性。
首先在「目標治理」架構部分,主要是以成果導向強化決策鏈與問責鏈,即由合規導向轉為成果導向,建立具前瞻性與彈性的資安治理模式,強化高層問責、法規調適與人才韌性,建立可衡量、可提升的治理體系。
[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]
此部分將從「強化經營階層資安治理職能與問責機制,鼓勵資安法規調適」、「加強資安人才培育與交流,從共通基準邁向策略目標」等面向著手,透過「提升董事會資安監督能量,資安納入公司治理核心」、「強化金融資安長問責及賦權機制」、「增修訂資安自律規範,鼓勵資安法規調適」等措施。
林裕泰指出,多年前,金管會已推動一定規模或電子交易達一定比例之金融機構設置副總經理層級以上之資安長。為進一步強化資安長職責與權責,確保其有足夠職能、資源和權限執行資安業務,我們進一步參考「美國 NYDFS Part 500 」明訂資安長之職責,包含資安長應對資安業務之合規性負一定責任,每年向董(理)事會報告資安整體執行情形等。
另外,考量各金融機構業務、規模、環境之差異性,適度授權資安長於執行上基於一定理由或特定範圍可採取相當控制措施,以提升資安治理之效率與彈性,建立具「責任、權限、資源」三位一體的金融資安治理架構強化問責鏈、確保決策獨立、提升資安治理彈性與韌性。
落實全域防護,推動資安左移、零信任架構
金管會在金融資安韌性發展藍圖的「全域防護」架構部分,將推動「資安左移」與「零信任架構」,藉由從安全設計到技術韌性的全域防護,提升資安監控效能,前瞻部署 AI、PQC 等新興科技防護,建構可持續演進的安全技術藍圖。
預計從「資安左移,安全納入設計」、「推動零信任架構,提升資安防護基準」、「強化資安監控及防護有效性」、「前瞻部署,因應新興科技的挑戰」等項目著手。
其中,金管會為協助落實「資安左移,安全納入設計」目標,將協助企業從「鼓勵導入軟體安全開發、測試及部署流程(CI╱CD)」、「建立軟體供應鏈透明化與弱點追蹤機制」、「研訂 API 安全基準,建立 API 安全管理機制」等策略著手。如考量到傳統軟體開發流程著重於功能實現與滿足使用者需求,安全性檢測常被延後至測試階段或功能上線前才進行,導致系統設計初期的安全缺陷未能及早發現。
金管會參考美國 NIST SSDF 框架、國際組織 OWASP SAMM 模型,及相關應用程式安全驗證標準等,鼓勵金融機構導入軟體安全開發、測試及部署流程。如此一來,即可在軟體分析設計階段進行風險評估或威脅建模,將安全控制嵌入設計、開發、測試與部署流程中,於實作與測試階段以安全開發為原則,並適時將安全性工具整合到後續發佈與部署流程。
「此外,考量 API 為金融業系統間溝通之重要橋樑,且 API 常具有較高之權限與風險,OWASP 亦已發布 Top 10 API Security Risks50,金管會規劃於銀行公會既有開放銀行 Open API 規範之基礎上,研訂更完整且涵蓋 Partner API 及 Internal API 之 API 安全基準,依據存取資料之機敏性及對象等,區分 API 類別及等級,落實 API 資安管控。」林裕泰解釋:「在軟體供應鏈透明化部分,則協助藉由軟體成分分析,識別其使用的組件(含開源、第三方元件)及其依賴組件,產出軟體物料清單(SBOM),達到提升軟體組件透明度與可追溯性,並連結弱點資料庫或已知被利用漏洞,建立漏洞監控與版本更新的機制。」
打造生態聯防 即時回應威脅
隨著駭客攻擊手法持續進化,傳統仰賴單一設備防禦的做法,早已無法對抗惡意威脅入侵。金管會在金融資安韌性發展藍圖的「生態聯防」架構部分,是希望透過推動「強化供應鏈資安,健全金融資安生態系」、「加強資安情資分析與協同防禦」等項目,強化供應商於資安之透明性及可歸責性,並透過跨業聯防協作提升供應鏈之資安成熟度,增進資安聯防運作效能,提升整體金融生態系韌性。
在「 強化供應鏈資安,健全金融資安生態系」方面,鑑於金融業對於第三方服務供應商與外包商的依賴程度日益加深,供應鏈組成亦愈趨於多元且複雜。金管會因應供應鏈攻擊增溫趨勢,規劃依產業特性、供應商接觸資通系統之類別及資料敏感度等面向進行分級,研訂資安責任之委外契約參考條款,如資安服務水準協議、資料保護責任、對於資安事件之通報時限及資安風險揭露等。
未來,金融機構將可以此為基礎,要求供應商提供其產品或服務之安全性檢測證明及軟體物料清單、配合一定程度之資安測試及演練等,提供金融機構參考強化其供應商資安管理。
林裕泰說,在「強化資安情資關聯分析及情資分享動能」部分,2017 年底金管會成立 F-IASC 推動金融資安聯防,已建立金融機構間的橫向鏈結。另於 2022 年底建置資安情資關聯分析平台,並提供自動化情資介接及情資分享獎勵機制。
未來,為增加情資介接可用性及廣度,規劃強化既有情資自動化(API)分享機制,提供會員可依需求種類取得情資,並研議修訂情資分享獎勵辦法,鼓勵會員蒐集分享生態系關聯曝險情資。
推動建置聯防 SOC 提升分析效率
金管會為降低金融機構外部曝險,自 2025 年起模擬駭客角度,檢測金融業者對外之網際網路服務是否存在未修補之漏洞、使用不安全的加密機制或錯誤的組態設定等,並將檢測結果轉化為資安情資由 F-ISAC 通報金融機構應處,除將賡續辦理外。此外,F-ISAC 規劃建立金融資安漏洞通報與回應管道,擴大金融資安漏洞通報來源,並於初判後轉介金融機構應處,降低網路攻擊的風險。
此外,為能對參與金融機構回傳事件單做更有效率之關聯分析,金管會亦持續鼓勵金融機構建置資安監控機制並督導 F-ISAC 建置聯防 SOC,並由 F-ISAC 輔導金融機構 SOC 導入資安監控及組態基準,以增進聯防 SOC 對金融機構饋送事件單關聯分析之即時性及有效性。為更增進聯防 SOC 對事件單的分析價值,規劃導入自動化分析機制,強化事件單中關鍵資訊,如攻擊手法、影響範圍、攻擊鏈位置的萃取與比對,並結合威脅情資庫進行關聯分析,藉由建立事件單內容分類與優先度標準,提升 SOC 在事件研判、趨勢掌握與預警通報上的精準度與即時性,進而提供金融機構更高效的分析結果。
強化堅實韌性 關鍵服務不中斷
在強化金融產業營運韌性的目標下,金管會在金融資安韌性發展藍圖的「堅實韌性 」架構中, 期盼透過「辦理資安攻防演訓,強化資安事件應處能量」、「強化多層次備援機制,確保關鍵金融服務可用性」等做法,以演訓、備援與風險分層確保關鍵金融服務不中斷,達成可持續運作與快速恢復。
在「辦理資安攻防演訓,強化資安事件應處能量」部分,考量到傳統資安防禦方法較偏重防禦面,往往陷入被動守勢而受制於駭客。金管會為強化因應駭客攻擊之防禦能量,導入 MITRE 發布之攻擊與防禦方法論(MITRE ATT&CK與ENGAGE),延續金融資安行動推動措施,透過辦理金融機構 DDoS、網路攻防或其他資安演練,增進第一線防守量能。
[ 推薦閱讀:使用 AI 做鏈上風控的風險與邊界 ]
在強化多層次備援機制,確保關鍵金融服務可用性部分,為讓國際間對營運持續管理有共通語言及完整框架可供遵循,國際標準組織已訂有以營運持續管理為主題之國際標準,金管會鼓勵金融機構導入國際營運持續管理標準,參採最佳實務做法,透過第三方獨立機構驗證符合來自內部、法規、及客戶的各種要求,並據以向利害關係人溝通其面臨衝擊之準備。
在龐大經濟利益驅動下,可預期未來資安威脅不會因金融機構防禦能力提升而減弱,反而會因科技持續性的革新而更加複雜。因此,金融體系必須從「防止發生」的心態,轉向「快速反應、快速恢復」的韌性邏輯。
金管會透過四大策略擘劃金融資安韌性發展藍圖,結合國際監理趨勢、臺灣實務現況與科技發展方向,透過強化高層治理的問責鏈、導入前瞻的技術防護(如資安左移、零信任、AI╱PQC 部署)、擴大供應鏈的協同防禦,並透過多層次備援與常態化演訓,實現安全、可信、可持續創新的臺灣金融生態系。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















