• 登入
  • 註冊網站會員
CIO Taiwan
  • 活動
  • 影音
  • 趨勢分析
  • CIO 雜誌
  • CISO精選
  • 電子報
  • 下載
  • 聯繫我們
沒有結果
查看所有結果
CIO Taiwan
沒有結果
查看所有結果
首頁 CISO精選

金融資安韌性發展藍圖 金融業資安治理再邁一步

2026-03-05
分類 : CISO精選, 精選文章
0
A A
0
金融資安韌性發展藍圖 金融業資安治理再邁一步

◤圖片由 Gemini 生成

資安治理環境日趨成熟:金融業

在接軌國際間「韌性導向」監理的浪潮下,金管會推出金融資安韌性發展藍圖,透過目標治理、全域防護、生態聯防及堅實韌性等四軸架構,建構「可預測、可防禦、可復原」的金融生態系,確保金融關鍵服務的持續運作。

採訪/施鑫澤 文/林裕洋


金融業向來是國家經濟運作的重要基石,然根據世界經濟論壇(WEF)最新公布「2025 年全球網路安全展望報告」指出,在地緣政治緊張局勢、供應鏈日益增長的相互依賴性,以及 AI 技術快速發展帶來應用和挑戰等因素下,對關鍵基礎設施帶來前所未有衝擊。

2025 年 7 月美國貨幣監理署發布「網路安全與金融系統韌性報告」指出,當前金融業主要的網路威脅包含勒索軟體、分散式阻斷服務攻擊(DDoS)攻擊、帳戶盜用、供應鏈風險、地緣政治威脅、AI 威脅、後量子密碼學等。

金管會資訊服務處處長林裕泰指出,為保障民眾財產權及提供穩定金融服務,金管會在 2020 年 8 月發布「金融資安行動方案」、2022 年 12 月發布「金融資安行動方案 2.0」,2025 年 12 月底進一步推出「金融資安韌性發展藍圖」,透過「目標治理」、「全域防護」、「生態聯防」及「堅實韌性」等四軸架構,目標是建構「可預測、可防禦、可復原」的金融生態系,確保臺灣金融關鍵服務在極端情境下也能持續運作。

規劃四大架構 邁向成果導向

隨著資安攻擊手法持續進化,臺灣在最新公布「國家資通安全戰略 2025:資安即國安」中,即針對國家級資安威脅、新興科技挑戰、網路犯罪猖獗等外部威脅,提出「全社會防衛韌性」、「國土防衛與關鍵基礎設施」、「關鍵產業與供應鏈安全」、「人工智慧應用與安全」等四大支柱。

其中,跨支柱準則之一「堅實資安治理機制及防護」,強調零信任架構已成為近年資安治理中不可或缺的一環,透過「絕不信任,永遠驗證」的理念,可有效降低網路攻擊的影響範圍。

因此,金管會金融資安韌性發展藍圖採「四軸架構」策略,透過推動 10 個工作項目、29 項執行措施等,期盼引導金融體系由「合規導向」轉向「成果導向」,旨在形成一個不斷提升資安治理的良性循環,使金融機構的資安防護具備可預測性、可防禦性與可復原性。

首先在「目標治理」架構部分,主要是以成果導向強化決策鏈與問責鏈,即由合規導向轉為成果導向,建立具前瞻性與彈性的資安治理模式,強化高層問責、法規調適與人才韌性,建立可衡量、可提升的治理體系。

[ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ]

此部分將從「強化經營階層資安治理職能與問責機制,鼓勵資安法規調適」、「加強資安人才培育與交流,從共通基準邁向策略目標」等面向著手,透過「提升董事會資安監督能量,資安納入公司治理核心」、「強化金融資安長問責及賦權機制」、「增修訂資安自律規範,鼓勵資安法規調適」等措施。

林裕泰指出,多年前,金管會已推動一定規模或電子交易達一定比例之金融機構設置副總經理層級以上之資安長。為進一步強化資安長職責與權責,確保其有足夠職能、資源和權限執行資安業務,我們進一步參考「美國 NYDFS Part 500 」明訂資安長之職責,包含資安長應對資安業務之合規性負一定責任,每年向董(理)事會報告資安整體執行情形等。

另外,考量各金融機構業務、規模、環境之差異性,適度授權資安長於執行上基於一定理由或特定範圍可採取相當控制措施,以提升資安治理之效率與彈性,建立具「責任、權限、資源」三位一體的金融資安治理架構強化問責鏈、確保決策獨立、提升資安治理彈性與韌性。

落實全域防護,推動資安左移、零信任架構

金管會在金融資安韌性發展藍圖的「全域防護」架構部分,將推動「資安左移」與「零信任架構」,藉由從安全設計到技術韌性的全域防護,提升資安監控效能,前瞻部署 AI、PQC 等新興科技防護,建構可持續演進的安全技術藍圖。

預計從「資安左移,安全納入設計」、「推動零信任架構,提升資安防護基準」、「強化資安監控及防護有效性」、「前瞻部署,因應新興科技的挑戰」等項目著手。

其中,金管會為協助落實「資安左移,安全納入設計」目標,將協助企業從「鼓勵導入軟體安全開發、測試及部署流程(CI╱CD)」、「建立軟體供應鏈透明化與弱點追蹤機制」、「研訂 API 安全基準,建立 API 安全管理機制」等策略著手。如考量到傳統軟體開發流程著重於功能實現與滿足使用者需求,安全性檢測常被延後至測試階段或功能上線前才進行,導致系統設計初期的安全缺陷未能及早發現。

金管會參考美國 NIST SSDF 框架、國際組織 OWASP SAMM 模型,及相關應用程式安全驗證標準等,鼓勵金融機構導入軟體安全開發、測試及部署流程。如此一來,即可在軟體分析設計階段進行風險評估或威脅建模,將安全控制嵌入設計、開發、測試與部署流程中,於實作與測試階段以安全開發為原則,並適時將安全性工具整合到後續發佈與部署流程。

「此外,考量 API 為金融業系統間溝通之重要橋樑,且 API 常具有較高之權限與風險,OWASP 亦已發布 Top 10 API Security Risks50,金管會規劃於銀行公會既有開放銀行 Open API 規範之基礎上,研訂更完整且涵蓋 Partner API 及 Internal API 之 API 安全基準,依據存取資料之機敏性及對象等,區分 API 類別及等級,落實 API 資安管控。」林裕泰解釋:「在軟體供應鏈透明化部分,則協助藉由軟體成分分析,識別其使用的組件(含開源、第三方元件)及其依賴組件,產出軟體物料清單(SBOM),達到提升軟體組件透明度與可追溯性,並連結弱點資料庫或已知被利用漏洞,建立漏洞監控與版本更新的機制。」

打造生態聯防 即時回應威脅

隨著駭客攻擊手法持續進化,傳統仰賴單一設備防禦的做法,早已無法對抗惡意威脅入侵。金管會在金融資安韌性發展藍圖的「生態聯防」架構部分,是希望透過推動「強化供應鏈資安,健全金融資安生態系」、「加強資安情資分析與協同防禦」等項目,強化供應商於資安之透明性及可歸責性,並透過跨業聯防協作提升供應鏈之資安成熟度,增進資安聯防運作效能,提升整體金融生態系韌性。

在「 強化供應鏈資安,健全金融資安生態系」方面,鑑於金融業對於第三方服務供應商與外包商的依賴程度日益加深,供應鏈組成亦愈趨於多元且複雜。金管會因應供應鏈攻擊增溫趨勢,規劃依產業特性、供應商接觸資通系統之類別及資料敏感度等面向進行分級,研訂資安責任之委外契約參考條款,如資安服務水準協議、資料保護責任、對於資安事件之通報時限及資安風險揭露等。

未來,金融機構將可以此為基礎,要求供應商提供其產品或服務之安全性檢測證明及軟體物料清單、配合一定程度之資安測試及演練等,提供金融機構參考強化其供應商資安管理。

林裕泰說,在「強化資安情資關聯分析及情資分享動能」部分,2017 年底金管會成立 F-IASC 推動金融資安聯防,已建立金融機構間的橫向鏈結。另於 2022 年底建置資安情資關聯分析平台,並提供自動化情資介接及情資分享獎勵機制。

未來,為增加情資介接可用性及廣度,規劃強化既有情資自動化(API)分享機制,提供會員可依需求種類取得情資,並研議修訂情資分享獎勵辦法,鼓勵會員蒐集分享生態系關聯曝險情資。

推動建置聯防 SOC 提升分析效率

金管會為降低金融機構外部曝險,自 2025 年起模擬駭客角度,檢測金融業者對外之網際網路服務是否存在未修補之漏洞、使用不安全的加密機制或錯誤的組態設定等,並將檢測結果轉化為資安情資由 F-ISAC 通報金融機構應處,除將賡續辦理外。此外,F-ISAC 規劃建立金融資安漏洞通報與回應管道,擴大金融資安漏洞通報來源,並於初判後轉介金融機構應處,降低網路攻擊的風險。

此外,為能對參與金融機構回傳事件單做更有效率之關聯分析,金管會亦持續鼓勵金融機構建置資安監控機制並督導 F-ISAC 建置聯防 SOC,並由 F-ISAC 輔導金融機構 SOC 導入資安監控及組態基準,以增進聯防 SOC 對金融機構饋送事件單關聯分析之即時性及有效性。為更增進聯防 SOC 對事件單的分析價值,規劃導入自動化分析機制,強化事件單中關鍵資訊,如攻擊手法、影響範圍、攻擊鏈位置的萃取與比對,並結合威脅情資庫進行關聯分析,藉由建立事件單內容分類與優先度標準,提升 SOC 在事件研判、趨勢掌握與預警通報上的精準度與即時性,進而提供金融機構更高效的分析結果。

強化堅實韌性 關鍵服務不中斷

在強化金融產業營運韌性的目標下,金管會在金融資安韌性發展藍圖的「堅實韌性 」架構中, 期盼透過「辦理資安攻防演訓,強化資安事件應處能量」、「強化多層次備援機制,確保關鍵金融服務可用性」等做法,以演訓、備援與風險分層確保關鍵金融服務不中斷,達成可持續運作與快速恢復。

在「辦理資安攻防演訓,強化資安事件應處能量」部分,考量到傳統資安防禦方法較偏重防禦面,往往陷入被動守勢而受制於駭客。金管會為強化因應駭客攻擊之防禦能量,導入 MITRE 發布之攻擊與防禦方法論(MITRE ATT&CK與ENGAGE),延續金融資安行動推動措施,透過辦理金融機構 DDoS、網路攻防或其他資安演練,增進第一線防守量能。

[ 推薦閱讀:使用 AI 做鏈上風控的風險與邊界 ]

在強化多層次備援機制,確保關鍵金融服務可用性部分,為讓國際間對營運持續管理有共通語言及完整框架可供遵循,國際標準組織已訂有以營運持續管理為主題之國際標準,金管會鼓勵金融機構導入國際營運持續管理標準,參採最佳實務做法,透過第三方獨立機構驗證符合來自內部、法規、及客戶的各種要求,並據以向利害關係人溝通其面臨衝擊之準備。

在龐大經濟利益驅動下,可預期未來資安威脅不會因金融機構防禦能力提升而減弱,反而會因科技持續性的革新而更加複雜。因此,金融體系必須從「防止發生」的心態,轉向「快速反應、快速恢復」的韌性邏輯。

金管會透過四大策略擘劃金融資安韌性發展藍圖,結合國際監理趨勢、臺灣實務現況與科技發展方向,透過強化高層治理的問責鏈、導入前瞻的技術防護(如資安左移、零信任、AI╱PQC 部署)、擴大供應鏈的協同防禦,並透過多層次備援與常態化演訓,實現安全、可信、可持續創新的臺灣金融生態系。


(本文授權非營利轉載,請註明出處:CIO Taiwan)

564x96 Cio Taiwan形象稿
標籤: 金融業
上一篇文章

數據驅動治理問責機制,讓資安管理防護可衡量

下一篇文章

由上而下的資料保護框架 守住企業核心價值

相關文章

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題
CISO精選

主權 AI 議題升溫!美國總統令:AI Cybersecurity 躍升國安議題

2026-07-07
AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊
CISO精選

AI 與網安的強強聯手出擊!七大 AI 網安新創大直擊

2026-07-04
1d11_1
精選文章

Harness Engineering 與 FDE 崛起 落實 AI 轉型

2026-07-02
下一篇文章
由上而下的資料保護框架 守住企業核心價值

由上而下的資料保護框架 守住企業核心價值

2026 Elite Vendor

追蹤我們的 Facebook

近期文章

  • SentinelOne AI 全棧式安全平臺邁向自動化 SOC
  • Dynatrace以確定性AI建立信任,驅動代理自主維運
  • Al Agent 治理 萬里雲以 Apigee 築起零信任防線
  • Confluent數據驅動AI落地 偉康成就金融智能樞紐
  • 突破預算枷鎖 萬里雲推 Self-Funding 戰略轉型

📈 CIO點閱文章週排行

  • 【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    【醫療轉型】屏東義大攜手思科建構「數位免疫網」:打造智慧醫療新典範,讓醫學中心照護深入偏鄉

    0 分享
    分享 0 Tweet 0
  • 群聯電子攜手新立資訊導入 SynxDB,打造高效能數據平台,加速良率分析與 AI 應用布局

    0 分享
    分享 0 Tweet 0
  • 醫療業:AI 眼鏡如何成為智慧醫院的關鍵基礎設施

    0 分享
    分享 0 Tweet 0
  • 【重點包】虛擬資產服務法三讀 穩定幣納管、VASP 全面監理

    0 分享
    分享 0 Tweet 0
  • InfoSec Taiwan 2026:重新定義 AI 時代的「信任邊界」

    0 分享
    分享 0 Tweet 0
  • 魏董事長說三星做夢 韓國人還關心台灣什麼事?

    0 分享
    分享 0 Tweet 0
  • 【專訪】振生半導體執行長張振豐

    0 分享
    分享 0 Tweet 0
  • AI 時代的新課題:企業如何建立 Token 治理?

    0 分享
    分享 0 Tweet 0
  • 三大電信開放 API 串聯金融業 TWCA 建構行動身分認證生態

    0 分享
    分享 0 Tweet 0
  • FDE 前線部署工程師,讓 AI 真正落地的角色

    0 分享
    分享 0 Tweet 0

數位及平面

  • CIO Taiwan 網站
  • CIO 雜誌紙本
  • CIO 雜誌 HYREAD 版
  • CIO 雜誌 Zinio 版

關注社群

  • Line 加入好友
  • Facebook 粉絲頁

合作夥伴

  • CIO 協進會

關於我們

  • 公司介紹及工作機會
  • 隱私權政策

旗訊科技股份有限公司|統編:84493719|台北市 100 中正區杭州南路一段 15-1 號 19 樓|TEL: 886-2-23214335
Copyright © Flag Information Co.,Ltd. All Rights Reserved.

CIO Taiwan 歡迎你回來!

可用 使用者名稱 或 Email 登入

忘記密碼 註冊

歡迎註冊 CIO Taiwan 網站會員

請設定 Email 及 使用者名稱(使用者名稱不接受中文、將來無法更改)

欄位皆為必填 登入

找回密碼

請輸入 使用者名稱 或 Email 以重設密碼

登入
  • 登入
  • 註冊
沒有結果
查看所有結果
  • 活動
  • 影音
  • 產業速報
  • 新聞速寫
  • 風雲人物
  • 產業瞭望
  • 專欄
  • 精選文章
  • 原生現場
  • 供應商視野
  • 線上調查
  • CIO 雜誌
  • 電子報
  • 下載
  • 聯繫我們

© 2020 CIO Taiwan 版權所有

7/28 活動延期通知

因高雄市政府於7/28早上宣布全日停班停課,因此「智慧醫療研討會高雄場」活動延期舉辦。主辦單位將另行公告研討會相關訊息,歡迎報名參加!

您已閒置超過 3 分鐘了,為您推薦其他文章!點擊空白處、ESC 鍵或關閉回到網頁

Owennini1200

魏董事長說三星做夢 韓國人還關心台灣什麼事?

文/林宏文 近來韓國朋友對台灣電子業相當關注,除了 Computex 熱鬧開展,

【金融業】後量子密碼遷移 PQC 的落地實務

一場針對 PQC 當前落實程度進行深度研討的論壇,匯聚了產、官觀點,金融業在後量

【影】臺灣以三面向打造全球無人機發展亞洲中心 資安與國際認證為關鍵 

文/鄭宜芬 台灣卓越無人機海外商機聯盟(TEDIBOA)9日於台中舉辦「台灣卓越

邁向 AI 優先企業 Gartner:資料與分析成企業新關鍵競爭力

整理/鄭宜芬 Gartner預測,2030 年有逾十分之一企業轉型為 AI 優先

軟體元件創造絕佳用戶體驗

文/葉宏謨 1960 年代至 1990 年代之前,企業資訊系統都是量身打造的,稱

數發部攜人事總處發布「AI公務人才認定指引」Beta版 四大核心亮點

整理/鄭宜芬 面對AI技術快速演進的浪潮,為使公務人員具備紮實的AI素養、以科技

監理鬆綁催生金融新場景 玉山攜北市聯醫打造跨域「金融處方箋」

文/鄭宜芬 隨著金管會逐步鬆綁法規限制,金融服務突破傳統業務邊界,朝向跨產業整合

擔心AI取代自己?不如就讓AI取代現在的自己

文/王義智(資策會 MIC 產業服務中心主任) 我最近動手寫了一些程式,利用 A

商業署最高補助 50% AI 驅動服務業邁向數據決策

文/鄭宜芬 面對人力短缺、成本波動與消費型態快速變化,服務業進入更重視營運效率與

文章分類

  • 產業速報
  • 專欄
  • 影音
  • 風雲人物
  • CXO分享
  • 產業瞭望
  • 原生現場
  • 精選文章
  • 趨勢分析
  • 供應商視野
  • 新聞速寫
  • 下載
  • Sponsors

熱門標籤

  • 最新文章
  • 雲端運算
  • 人工智慧
  • 數位轉型
  • 製造業
  • 物聯網
  • 資料與分析
  • 資安
  • 區塊鏈
  • 5G
  • 儲存
  • 基礎架構

活動

  • CIO價值學院 四堂課
  • 智慧醫療研討會 台北/高雄場
  • 金融科技高峰會 春季/秋季場
  • 製造業CIO論壇 台北/台中/高雄場
  • 商業服務科技論壇
  • 亞太CIO論壇
  • CISO資安學院 金融/醫療/新竹場
  • CIO Insight 調查

影音

  • 影音