文/鄭宜芬
金融資安不只是防堵攻擊,更考驗整體營運能否在極端情境下持續運作。金融監督管理委員會 30 日發布「金融資安韌性發展藍圖」,指出國際間正積極推動「韌性導向」的監理,強調金融機構在面對網路攻擊、運作中斷或其他不確定性時,須具備快速回應與復原的能力,此次發布藍圖將做為未來四年執行依據,期能強化金融業資安防護能力及營運韌性。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]


金融資安韌性發展藍圖十大重點
「金融資安韌性發展藍圖」以目標治理、全域防護、生態聯防、堅實韌性為四軸架構,訂有 29 項措施,目標是建構「可預測、可防禦、可復原」的金融生態系。十大重點如下:
- 強化經營階層資安治理職能與問責機制,鼓勵資安法規調適:
持續推動一定規模或電子交易達一定比例之金融機構設置資安長,及鼓勵金融機構遴聘具資安背景之董事或設置資安諮詢小組,推動提升董事會資安監督能量,強化資安長職責與權責,建立具「責任、權限、資源」三位一體的金融資安治理架構,強化問責鏈、確保決策獨立、提升資安治理彈性與韌性;另考量資安法遵要求愈趨繁複,且更新速度可能難以因應資安威脅演變,鼓勵於法規之增修,併同就既有法規重疊、滯礙或策略目標進行調適或前瞻布局,適度授權資安長可採取相當控制措施,以提升資安治理之效率與彈性。
- 加強資安人才培育與交流,從共通基準邁向策略目標:
持續滾動修訂金融資安人才職能地圖,並鼓勵金融機構盤點資安人才分布情形及缺口,健全資安職能配置;另規劃定期舉辦跨機構「主題式」論壇、工作坊或案例研討,聚集相同領域之跨機構人才,共同研討金融資安前瞻規劃暨典範實務,深化資安人才之知識共享及技術提升;並藉以調修建立成熟度分級評估指標,引導金融機構從合規導向轉向目標導向,建立「可量測、可成長、可差異化」監理架構。
- 資安左移,安全納入設計:
傳統軟體開發流程著重於功能實現與滿足使用者需求,安全性檢測常被延後進行,增加潛在資安風險,且將增加修復成本及延宕專案期程。金管會鼓勵金融機構導入軟體安全開發、測試及部署流程,將資安左移至較前且較低成本的階段解決,並產出軟體物料清單(SBOM),建立漏洞監控與版本更新之機制;另將研訂應用程式介面(API)安全基準,以強化API安全防護。
[ 推薦閱讀:防範威脅三關鍵:零信任、韌性、IT/OT 防線 ]
- 推動零信任架構,提升資安防護基準:
金管會持續推動高風險場域優先導入,並漸進提升成熟度;並將透過定期調查各金融機構導入規劃及進程,衡量實際資安防護需求及執行可達性,評估將實作參考原則漸進納入資安基礎規範,提升整體資安防禦水準。
- 強化資安監控及防護有效性:
金管會除鼓勵金融機構建置資安監控機制(SOC),並研析駭客組織攻擊手法,制定金融資安監控及組態基準,提供金融機構參考運用,將持續擴增資安監控及組態基準涵蓋範圍(包含雲端),及鼓勵金融機構定期檢驗資安監控及防禦部署之有效性。
- 前瞻部署,因應新興科技的挑戰:
考量 AI 系統的資安風險更複雜與隱蔽,金管會將研訂金融業AI系統安全防護及檢測參考指引,以涵蓋傳統網路威脅及 AI 特有攻擊類型;另因應量子電腦已證實對「非對稱式加密技術」構成嚴重威脅,影響網路交易、電子簽章及身分驗證等加密安全,將研訂金融業後量子密碼學(PQC)遷移參考指引,提供金融業據以建立 PQC 遷移計畫,及視量子電腦及 PQC 發展成熟度適時推動金融機構辦理 PQC 遷移作業。
- 強化供應鏈資安,健全金融資安生態系:
因應金融業對於第三方服務供應商與外包商的依賴程度日益加深,金管會規劃依產業特性、供應商接觸資通系統之類別及資料敏感度等面向進行分級,研訂資安責任之委外契約參考條款,並鼓勵金融機構建立供應鏈風險評估機制,與其關鍵供應商、第三方服務商、系統整合商等上下游合作,分享威脅、保護資訊、強化控管,聯合資安演練,降低整體供應鏈的資安風險。
- 加強資安情資分析與協同防禦:
金融資安資訊分享與分析中心(F-IASC)已建置資安情資關聯分析平台,規劃強化既有情資自動化分享機制及導入自動化分析機制,並研議修訂情資分享獎勵辦法,鼓勵會員蒐集分享生態系關聯曝險情資;另規劃建立金融資安漏洞通報與回應管道,及定期舉辦跨國線上交流會議,深化與國際合作夥伴交流及提升國際能見度,並強化跨境事件的預警與應變效益。
- 辦理資安攻防演訓,強化資安事件應處能量:
為強化金融機構因應駭客攻擊之防禦能量,金管會將持續辦理金融資安攻防演練,並與訓練機構合作以演訓專班方式擴大參與量能;另將持續辦理重大資安事件應變情境演練,並擴大演練情境之廣度與深度,驗證金融機構與金控集團電腦資安事件應變小組、周邊單位或公會之資安應變支援小組、F-ISAC 等資安聯防體系間之通報、協調及支援機制。
- 強化多層次備援機制,確保關鍵金融服務可用性:
金管會前已將強化金融機構關鍵資料保全機制列為推動重點,規續推進強化關鍵金融服務多層次備援架構,並考量實際災難發生時的跨區資源調度與指揮運作,透過定期測試與演練驗證,確保任一層故障時皆能切換運作,優先恢復關鍵金融服務,金融機構並應同步針對關鍵供應鏈夥伴評估其災難復原與備援能力,建立相關備援協作機制或研擬替代措施,併納入備援及演練規劃。

[ 推薦閱讀:供應鏈動搖企業防線 資安治理問責全面升級 ]
為期四年 分階段推動
金融資安韌性發展藍圖將以四年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整發展藍圖內容,並依下列方式推動執行:
- 公私協力:
透過公部門、金融周邊單位及各業別公會等,訂定相關管理規範標準、辦理資安人才培育、協力資安監控及應變,以協助金融機構提升資安防護能力。
- 差異化管理:
針對各業別屬性、機構規模及業務風險等,分級規範適當的資安水準,兼顧金融機構實際資安防護業務需求及可執行性。
- 資源共享:
賡續推動資安情資分享與合作、建立金融資安事件應變及監控體系,發揮資安聯防功能,並鼓勵金控或周邊單位(公會)建立資安事件應變小組,透過資源共享及合作,強化金融資安防禦能力。
- 激勵誘因:
透過主管機關監理機制,如將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施。
- 國際合作:
藉由加強與其他國家金融資安機構交流合作或簽定 MOU,掌握國際金融資安情勢,結合國際資安組織,共同強化資安防禦。
[ 推薦閱讀:生成式 AI 重塑金融服務 邁向自主決策 ]
金管會表示,將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















