▲金管會副主委邱淑貞 。(圖/記者陳依旻攝)
記者陳依旻/台北報導
總統蔡英文希望我國金融業能加強韌性,金管會今(27)日發布資安行動方案2.0回應,金管會副主委邱淑貞指出,未來電子交易達一定比例者也要設置資安長,2.0版將以3年為期分階段推動,每季檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容。
此次「資安行動方案2.0」版訂有40項措施,其中,新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項,主要重點如下:
一、 擴大資安長設置,定期召開資安長聯繫會議;不僅銀行及一定規模以上金融機構設置副總經理層級以上之資安長,電子交易達一定比例者也要,此外,為了強化資安長職責,規劃另定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商、增進金融機構間交流與聯防。
金管會補充,目前所有銀行都有設置資安長,其餘證券期貨者原本在1.0版本是設定電子下單比例達60%者要設置資安長,2.0則下修到資本額40億需設置,而保險業者有設資安長的公司有8家、自願有4家,總計已12家設置,未來會再評估。
二、 因應數位轉型及及網路服務開放,增修訂自律規範;考量金融機構因應疫情加速數位轉型的腳步,可參考數位身分驗證等級國際標準(ISO 29115)架構,將網路身分驗證(eKYC)依登錄、信物管理及驗證等階段運作機制,區分信賴等級,並建立與業務風險對照之規範,以利業者於提供網路金融服務遵循,並將與第三方服務提供者(TSP)業務合作之風險評估與管理納入自律規範研修課題。
三、 深化核心資料保全及營運持續演練:研議並鼓勵重要金融機構強化重要核心資料保全機制,包含核心資料檔案、資料庫加密與分持,儲存於第三地或雲端備份等機制;其次,規劃依據行業特性訂定核心業務系統備援演練指引,如本異地備援實際運作、切換時效要求等項。
四、 擴大導入國際資安管理標準及建置資安監控機制:金管會自109年鼓勵金融機構導入國際資安管理標準(ISMS)及建置資安監控機制(SOC),主要金融機構均已導入或已有規劃辦理時程,為求落實及有效執行,所以規劃依據業別特性,訂定國際資安管理標準之驗證範圍如資訊基礎設施、全部核心資通系統、核心業務流程、網路金融服務等,並建立資安監控作業基準如組織、作業程序、監控範圍、資安威脅偵測與管理機制等),擴大推動至具一定規模或電子交易達一定比例之金融機構。
五、 資安監控與防護之有效性評估:鼓勵已建置SOC並達一定規模之金融機構引入攻擊方思維,定期藉由網路攻擊手法,如DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬等,檢驗資安監控及防禦部署之有效性。
六、 鼓勵零信任網路部署,強化連線驗證與授權管控:金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路3大核心機制,搭配網路及資源的細化權限管控,以更能因應後疫情時期及數位轉型之資安防護需求。
七、 配置多元專長資安人才,擴大攻防演訓量能:金融機構重視資安人員之資格能力,以完備機構內資安維運所需職能。另為強化因應網路攻擊之防禦能量,所以,規劃導入美國資安專業組織MITRE發布之攻擊與防禦方法論(MITRE ATT&CK & ENGAGE),開設金融資安演訓專班,提升資安攻防戰略/戰術思維,並擴大演訓量能。
八、 提升資安情資分享動能,增進資安聯防運作效能:督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析之深度及廣度,並深化與會員間之情資分析與交流,以利及時提供更為精確完整的早期預警與防護建議。
另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂之資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作之監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資之回饋,提升金融機構SOC與聯防SOC協同運作效能。
九、 辦理資安攻防演練,規劃重大資安事件支援演訓:為強化金融機構資安事件應變能力,將持續規劃辦理金融機構分散式阻斷服務攻擊(DDoS)攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。
另為利跨機構支援之實務運作,將規劃建立重大資安事件虛擬指揮及應變體系,結合重大資安事件演練,併同驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等之運作機制。
邱淑貞指出,金管會主委黃天牧上任的四大施政重點,分別為綠色金融、深化信託業務、強化公司治理、資安到位,針對第四施政重點「資安到位」,金管會今日發布資安行動方案2.0。
在發布之前,邱淑貞指出,資安行動方案1.0發布之後,經檢視,這兩年設定目標值達標率為86%,剩下14%要持續執行,資安工作無法停止,隨著資訊技術要多樣化、數位化催生今日的2.0版本引導金融業持續精進。
讀者迴響