擴大資安長設置！金管會「金融資安行動方案2.0」 - 銀行

數位時代：擴大資安長設置！金管會「金融資安行動方案2.0」，5大重點一次看
https://www.bnext.com.tw/article/73445/
2022.12.28

時序進入年底，金管會27日宣布「金融資安行動方案」2.0版，將以3年為期分階段推
動，並於每季檢討資安防護成果。

此方案是延續2020年8月發布的1.0版，當時已經要求國內資產達一定規模的銀行、證
券、保險、投信、證交所、櫃買中心、期貨交易所等，共計65家金融業者，在今（2022）
年3月底前須強制設立「資安長」（Chief Information Security Officer，CISO），同
時鼓勵金融機構內部聘請具資安背景之董事、顧問，或設置資安諮詢小組。

金管會表示，雖然1.0方案執行至今已達到主要績效指標，但考量近期因為新冠肺炎
疫情趨動數位轉型、地緣政治風險，以及ATM遭盜領事件屢見不鮮，所以擴大及精進各項
推動措施。

針對「金融資安行動方案」2.0版，可整理出5大重點：

1. 擴大資安長設置，以及定期召開資安長聯繫會議

根據金管會，考量「電子交易達一定比例者」，其資安防護對於公司營運的影響甚高
，因此一併納入推動設置資安長範圍。

就目前情況來看：國內銀行業（包含純網銀、郵局）已經全部設置資安長，券商將從
13家調整為20家。保險業的電子交易比例差異較大，因此會再評估檢討，至今已有13家自
行設置資安長。至於電子支付機構部分，也將適時納入評估範圍。

此外，未來將定期辦理「資安長聯繫會議」，基本上每半年召開會議一次，要求各資
安長針對當前資安情勢、推動策略及關鍵議題等共同研商，並增進金融機構間交流與聯防。

2. 強化數位身分驗證安全性

考量金融機構因應疫情加速數位轉型的腳步，對數位金融服務的倚賴加深，傳統金融
服務場景也由金融機構擴展至「金融生態圈」。

有鑑於此，金管會規劃參考數位身分驗證等級國際標準（ISO 29115）架構，將網路
身分驗證（eKYC）依登錄、信物管理及驗證等階段運作機制，區分信賴等級。

簡單來說，將加強民眾使用金融服務時的身分識別、驗證，防止身分盜竊。

3. 深化核心資料保全

為了因應重大資安事件、天然災害等風險，將研議重要金融機構強化重要核心資料保
全機制。包含核心資料檔案、資料庫加密與分持，儲存在第三地或雲端備份等機制，以此
強化備份及復原機制，提升數位韌性。

4. 鼓勵零信任網路部署

「零信任」（zero trust）是一種資安防護策略。基於「永不信任，持續驗證」的理
念，其針對所有資料存取皆透過身分鑑別、設備鑑別及信任推斷等驗證程序，再予以放行
。此方法有助於確認任何來源的存取資料，皆保證一致安全性。

在「金融資安行動方案」2.0版當中，金管會鼓勵金融機構採取零信任網路部署，以
因應後疫情時代、數位轉型下的資安防護需求。

5. 規劃資安攻防演練

為了強化金融機構處理資安事件的能力，金管會將持續辦理分散式阻斷服務攻擊
（DDoS）攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。

同時，也規劃建立重大資安事件虛擬指揮及應變體系，結合重大資安事件演練，併同
驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等運作機制。

責任編輯：林美欣

>>>>>
金管會新聞稿／金管會發布「金融資安行動方案」2.0，引導金融資安持續精進2022-12-27
https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0,2&mcustomize=news_view.
jsp&dataserno=202212270001&dtable=News
縮址：https://reurl.cc/GXqk6y

相關新聞：資安需求高漲 人才嚴重不足 企業急徵資訊長
https://readers.ctee.com.tw/cm/20221222/a14aa14/1219903/

--