新聞稿
金管會發布「金融資安行動方案」2.0,引導金融資安持續精進
2022-12-27
金融監督管理委員會(以下稱金管會)為確保金融系統營運不中斷,提供民眾安心交易環境,賡續發布「金融資安行動方案」2.0版,期能強化金融業資安防護能力。
金管會表示,為追求安全便利不中斷的金融服務,於109年8月6日發布金融資安行動方案,執行迄今已逾兩年,經與金融周邊單位、金融同業公會與金融機構公私協力積極執行下,主要績效指標(如設置資安長、導入國際資安標準、辦理資安攻防演練與競賽、建立金融資安事件應變體系等項)均已達成,占全計畫86%,持續辦理項目占比14%。為因應業務發展與科技進步,持續提升金融機構資安防護能量,金管會再審視近兩年金融科技發展趨勢、國內外資安情勢變化及實務運作情形,並參考國際資安監理政策,滾動檢討研訂金融資安行動方案2.0版,作為下一階段執行之準據。
金融資安行動方案2.0版以擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有40項措施,其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項。謹說明重點如下:
一、 擴大資安長設置,定期召開資安長聯繫會議:金管會已修訂各業別內部控制規範,要求銀行及一定規模以上金融機構設置副總經理層級以上之資安長。考量電子交易達一定比例者,其資安防護對整體營運影響亦高,爰併納入推動設置資安長範圍,統籌資安政策推動協調與資源調度。另為強化資安長職責,規劃另定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。
二、 因應數位轉型及及網路服務開放,增修訂自律規範:考量金融機構因應疫情加速數位轉型的腳步,對數位金融服務之倚賴愈深,傳統金融服務場景亦由金融機構擴展至「金融生態圈」,爰規劃參考數位身分驗證等級國際標準(ISO 29115)架構,將網路身分驗證(eKYC)依登錄、信物管理及驗證等階段運作機制,區分信賴等級,並建立與業務風險對照之規範,以利業者於提供網路金融服務遵循;並將與第三方服務提供者(TSP)業務合作之風險評估與管理納入自律規範研修課題。
三、 深化核心資料保全及營運持續演練:金融資訊安全影響金融穩定,金融核心業務資料之保全更攸關民眾於金融機構財產權之確保。為因應重大資安事件、天然災害等風險,將研議並鼓勵重要金融機構強化重要核心資料保全機制(包含核心資料檔案、資料庫加密與分持,儲存於第三地或雲端備份等機制)。另為實證金融機構運作機制於關鍵時刻能有效運作,規劃依據行業特性訂定核心業務系統備援演練指引(如本異地備援實際運作、切換時效要求等項),以提供金融機構遵循,並持續鼓勵於異地備援演練時,納入對外服務實際運作,驗證其有效性;也鼓勵金融機構併同外部關聯單位辦理資通系統聯合演練,以應災害備援實務需求。
四、 擴大導入國際資安管理標準及建置資安監控機制:金管會自109年鼓勵金融機構導入國際資安管理標準(ISMS)及建置資安監控機制(SOC),主要金融機構均已導入或已有規劃辦理時程,為求落實及有效執行,爰規劃依據業別特性,訂定國際資安管理標準之驗證範圍(如資訊基礎設施、全部核心資通系統、核心業務流程、網路金融服務等),並建立資安監控作業基準(如組織、作業程序、監控範圍、資安威脅偵測與管理機制等),擴大推動至具一定規模或電子交易達一定比例之金融機構。
五、 鼓勵資安監控與防護之有效性評估:資安監控與防護重在早期發現處置與防護網之綿密,惟純粹以守方思維,難免掛萬漏一,爰鼓勵已建置SOC並達一定規模之金融機構引入攻擊方思維,定期藉由網路攻擊手法,如DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬等,檢驗資安監控及防禦部署之有效性。
六、 鼓勵零信任網路部署,強化連線驗證與授權管控:因應疫情帶動異地/居家辦公模式,及資料與服務雲端化、使用者行動化、存取設備多元化,傳統基於信任邊界之網路模型已難以滿足新形態工作需求,爰規劃鼓勵金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路3大核心機制,搭配網路及資源的細化權限管控,以更能因應後疫情時期及數位轉型之資安防護需求。
七、 鼓勵配置多元專長資安人才,擴大攻防演訓量能:為利金融機構資安之全面防護,規劃從需求面鼓勵金融機構重視各式資安人才之配置,及取得相關國際或專業訓練機構核發之資安證照(書),引導金融機構重視資安人員之資格能力,以完備機構內資安維運所需職能。另為強化因應網路攻擊之防禦能量,爰規劃導入美國資安專業組織MITRE發布之攻擊與防禦方法論(MITRE ATT&CK & ENGAGE),開設金融資安演訓專班,提升資安攻防戰略/戰術思維,並擴大演訓量能。
八、 提升資安情資分享動能,增進資安聯防運作效能:督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析之深度及廣度,並深化與會員間之情資分析與交流,以利及時提供更為精確完整的早期預警與防護建議。另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂之資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作之監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資之回饋,提升金融機構SOC與聯防SOC協同運作效能。
九、 辦理資安攻防演練,規劃重大資安事件支援演訓:為強化金融機構資安事件應變能力,將持續規劃辦理金融機構分散式阻斷服務攻擊(DDoS)攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。另為利跨機構支援之實務運作,將規劃建立重大資安事件虛擬指揮及應變體系,結合重大資安事件演練,併同驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等之運作機制。
金融資安行動方案2.0版將以三年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容。為利行動方案推動,將依下列方式推動執行:
一、 公私協力:透過公部門、金融周邊單位及各業別公會等,訂定相關管理規範標準、辦理資安人才培育、協力資安監控及應變,以協助金融機構提升資安防護能力。
二、 差異化管理:針對各業別屬性、機構規模及業務風險等,分級規範適當的資安水準,兼顧金融機構實際資安防護業務需求及可執行性。
三、 資源共享:賡續推動資安情資分享與合作、建立金融資安事件應變及監控體系,發揮資安聯防功能,並鼓勵金控或周邊單位(公會)建立資安事件應變小組,透過資源共享及合作,強化金融資安防禦能力。
四、 激勵誘因:透過主管機關監理機制,如將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施。
五、 國際合作:藉由加強與其他國家金融資安機構交流合作或簽定MOU,掌握國際金融資安情勢,結合國際資安組織,共同強化資安防禦。
金管會表示將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎,提供消費者安心、便利與多樣化之金融服務。
檢附「金融資安行動方案」2.0版及相關附件。
聯絡單位:資訊服務處
聯絡電話:(02)8968-0806
如有任何疑問,請來信:本會民意信箱
金管會表示,為追求安全便利不中斷的金融服務,於109年8月6日發布金融資安行動方案,執行迄今已逾兩年,經與金融周邊單位、金融同業公會與金融機構公私協力積極執行下,主要績效指標(如設置資安長、導入國際資安標準、辦理資安攻防演練與競賽、建立金融資安事件應變體系等項)均已達成,占全計畫86%,持續辦理項目占比14%。為因應業務發展與科技進步,持續提升金融機構資安防護能量,金管會再審視近兩年金融科技發展趨勢、國內外資安情勢變化及實務運作情形,並參考國際資安監理政策,滾動檢討研訂金融資安行動方案2.0版,作為下一階段執行之準據。
金融資安行動方案2.0版以擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有40項措施,其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項。謹說明重點如下:
一、 擴大資安長設置,定期召開資安長聯繫會議:金管會已修訂各業別內部控制規範,要求銀行及一定規模以上金融機構設置副總經理層級以上之資安長。考量電子交易達一定比例者,其資安防護對整體營運影響亦高,爰併納入推動設置資安長範圍,統籌資安政策推動協調與資源調度。另為強化資安長職責,規劃另定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。
二、 因應數位轉型及及網路服務開放,增修訂自律規範:考量金融機構因應疫情加速數位轉型的腳步,對數位金融服務之倚賴愈深,傳統金融服務場景亦由金融機構擴展至「金融生態圈」,爰規劃參考數位身分驗證等級國際標準(ISO 29115)架構,將網路身分驗證(eKYC)依登錄、信物管理及驗證等階段運作機制,區分信賴等級,並建立與業務風險對照之規範,以利業者於提供網路金融服務遵循;並將與第三方服務提供者(TSP)業務合作之風險評估與管理納入自律規範研修課題。
三、 深化核心資料保全及營運持續演練:金融資訊安全影響金融穩定,金融核心業務資料之保全更攸關民眾於金融機構財產權之確保。為因應重大資安事件、天然災害等風險,將研議並鼓勵重要金融機構強化重要核心資料保全機制(包含核心資料檔案、資料庫加密與分持,儲存於第三地或雲端備份等機制)。另為實證金融機構運作機制於關鍵時刻能有效運作,規劃依據行業特性訂定核心業務系統備援演練指引(如本異地備援實際運作、切換時效要求等項),以提供金融機構遵循,並持續鼓勵於異地備援演練時,納入對外服務實際運作,驗證其有效性;也鼓勵金融機構併同外部關聯單位辦理資通系統聯合演練,以應災害備援實務需求。
四、 擴大導入國際資安管理標準及建置資安監控機制:金管會自109年鼓勵金融機構導入國際資安管理標準(ISMS)及建置資安監控機制(SOC),主要金融機構均已導入或已有規劃辦理時程,為求落實及有效執行,爰規劃依據業別特性,訂定國際資安管理標準之驗證範圍(如資訊基礎設施、全部核心資通系統、核心業務流程、網路金融服務等),並建立資安監控作業基準(如組織、作業程序、監控範圍、資安威脅偵測與管理機制等),擴大推動至具一定規模或電子交易達一定比例之金融機構。
五、 鼓勵資安監控與防護之有效性評估:資安監控與防護重在早期發現處置與防護網之綿密,惟純粹以守方思維,難免掛萬漏一,爰鼓勵已建置SOC並達一定規模之金融機構引入攻擊方思維,定期藉由網路攻擊手法,如DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬等,檢驗資安監控及防禦部署之有效性。
六、 鼓勵零信任網路部署,強化連線驗證與授權管控:因應疫情帶動異地/居家辦公模式,及資料與服務雲端化、使用者行動化、存取設備多元化,傳統基於信任邊界之網路模型已難以滿足新形態工作需求,爰規劃鼓勵金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路3大核心機制,搭配網路及資源的細化權限管控,以更能因應後疫情時期及數位轉型之資安防護需求。
七、 鼓勵配置多元專長資安人才,擴大攻防演訓量能:為利金融機構資安之全面防護,規劃從需求面鼓勵金融機構重視各式資安人才之配置,及取得相關國際或專業訓練機構核發之資安證照(書),引導金融機構重視資安人員之資格能力,以完備機構內資安維運所需職能。另為強化因應網路攻擊之防禦能量,爰規劃導入美國資安專業組織MITRE發布之攻擊與防禦方法論(MITRE ATT&CK & ENGAGE),開設金融資安演訓專班,提升資安攻防戰略/戰術思維,並擴大演訓量能。
八、 提升資安情資分享動能,增進資安聯防運作效能:督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析之深度及廣度,並深化與會員間之情資分析與交流,以利及時提供更為精確完整的早期預警與防護建議。另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂之資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作之監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資之回饋,提升金融機構SOC與聯防SOC協同運作效能。
九、 辦理資安攻防演練,規劃重大資安事件支援演訓:為強化金融機構資安事件應變能力,將持續規劃辦理金融機構分散式阻斷服務攻擊(DDoS)攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。另為利跨機構支援之實務運作,將規劃建立重大資安事件虛擬指揮及應變體系,結合重大資安事件演練,併同驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等之運作機制。
金融資安行動方案2.0版將以三年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容。為利行動方案推動,將依下列方式推動執行:
一、 公私協力:透過公部門、金融周邊單位及各業別公會等,訂定相關管理規範標準、辦理資安人才培育、協力資安監控及應變,以協助金融機構提升資安防護能力。
二、 差異化管理:針對各業別屬性、機構規模及業務風險等,分級規範適當的資安水準,兼顧金融機構實際資安防護業務需求及可執行性。
三、 資源共享:賡續推動資安情資分享與合作、建立金融資安事件應變及監控體系,發揮資安聯防功能,並鼓勵金控或周邊單位(公會)建立資安事件應變小組,透過資源共享及合作,強化金融資安防禦能力。
四、 激勵誘因:透過主管機關監理機制,如將資安風險因子納為業務准駁、資本計提、存款保險費率、保險安定基金費率之參考因子,引導金融機構主動積極執行資安措施。
五、 國際合作:藉由加強與其他國家金融資安機構交流合作或簽定MOU,掌握國際金融資安情勢,結合國際資安組織,共同強化資安防禦。
金管會表示將持續提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎,提供消費者安心、便利與多樣化之金融服務。
檢附「金融資安行動方案」2.0版及相關附件。
聯絡單位:資訊服務處
聯絡電話:(02)8968-0806
如有任何疑問,請來信:本會民意信箱
- 瀏覽人次: 26666
- 更新日期: 2022-12-28
金管會電子地圖
