我是廣告 請繼續往下閱讀
為追求安全便利不中斷的金融服務,金管會在20201年8月6日發布金融資安行動方案,執行迄今已逾2年,為因應業務發展與科技進步,持續提升金融機構資安防護能量,金管會滾動檢討研訂金融資安行動方案2.0版,作為下一階段執行的準據,並以擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有40項措施,其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項。
至於相關重點,包括擴大資安長設置,定期召開資安長聯繫會議,金管會已修訂各業別內部控制規範,要求銀行及一定規模以上金融機構設置副總經理層級以上之資安長。考量電子交易達一定比例者,其資安防護對整體營運影響亦高,爰併納入推動設置資安長範圍,統籌資安政策推動協調與資源調度。另為強化資安長職責,規劃另定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。
因應數位轉型及及網路服務開放,也增修訂自律規範,規劃參考數位身分驗證等級國際標準(ISO 29115)架構,將網路身分驗證(eKYC)依登錄、信物管理及驗證等階段運作機制,區分信賴等級,並建立與業務風險對照之規範,以利業者於提供網路金融服務遵循;並將與第三方服務提供者(TSP)業務合作的風險評估與管理納入自律規範研修課題。
另深化核心資料保全及營運持續演練,將研議並鼓勵重要金融機構強化重要核心資料保全機制,規劃依據行業特性訂定核心業務系統備援演練指引如本異地備援實際運作、切換時效要求等項;也鼓勵金融機構併同外部關聯單位辦理資通系統聯合演練,以應災害備援實務需求。
同時,擴大導入國際資安管理標準及建置資安監控機制,規劃依據業別特性,訂定國際資安管理標準的驗證範圍如資訊基礎設施、全部核心資通系統、核心業務流程、網路金融服務等,並建立資安監控作業基準如組織、作業程序、監控範圍、資安威脅偵測與管理機制等),擴大推動至具一定規模或電子交易達一定比例的金融機構。
還有鼓勵資安監控與防護有效性評估。金管會說明,資安監控與防護重在早期發現處置與防護網之綿密,惟純粹以守方思維,難免掛萬漏一,爰鼓勵已建置SOC並達一定規模的金融機構引入攻擊方思維,定期藉由網路攻擊手法,如DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬等,檢驗資安監控及防禦部署的有效性。
金管會也規劃鼓勵金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路3大核心機制,搭配網路及資源的細化權限管控,以更能因應後疫情時期及數位轉型之資安防護需求。同時,鼓勵配置多元專長資安人才,擴大攻防演訓量能。另規劃導入美國資安專業組織MITRE發布的攻擊與防禦方法論,開設金融資安演訓專班,提升資安攻防戰略/戰術思維,並擴大演訓量能。
同時,提升資安情資分享動能,增進資安聯防運作效能,督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析的深度及廣度,並深化與會員間之情資分析與交流,以利及時提供更為精確完整的早期預警與防護建議。另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂的資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作的監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資的回饋,提升金融機構SOC與聯防SOC協同運作效能。
為強化金融機構資安事件應變能力,也將持續規劃辦理金融機構分散式阻斷服務攻擊(DDoS)攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。另為利跨機構支援實務運作,將規劃建立重大資安事件虛擬指揮及應變體系,結合重大資安事件演練,併同驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等的運作機制。
