金融機構系統頻出包 金管會三面向完備資安規範

有鑑於各金融機構系統屢出包,加上駭客防不勝防,立法院財委會周四 (17 日) 將探討金融資安相關議題,對此,金管會表示,已從建立資安專責制度等三大面向完備金控銀行的資安規範;並且督導銀行公會提出資安自律規範。

金管會表示,為健全金融業發展,保護消費者資料安全,進而維持金融秩序穩定性,已積極強化金融機構資訊安全相關監理政策,首先,透過完備資安規範,以提升金融機構對資訊安全的重視,並強化其資安防護能力,金管會為此已訂定「金融控股公司及銀行業內部控制及稽核制度實施辦法」第 38 條之 1 規定,包括:

(一) 建立資安專責制度:要求金融機構應設置資安專責單位及主管,並配置適當資安人力及資源;其中,資產達新臺幣一兆元以上者,應設置具職權行使獨立性的資安專責單位,並指派協理以上人員擔任主管。

(二) 提升董事會資安職能:資安專責單位每年應將資安整體執行情形提報董事會,資安專責主管須與董事長、總經理及總稽核聯名出具資安聲明書。

(三) 推動資安人才培訓:要求資安人員每年應接受一定時數以上的資安專業課程訓練或職能訓練。

此外,考量科技發展日新月異,相關安全設計需因應線上業務及其技術發展與時俱進,監理機關如以法令規定要求細部安全設計,恐缺乏應具彈性及業務發展需要,因此,金管會督導銀行公會提出資安自律規範。

資安自律規範也有三項,分別為:電子銀行之安控規範、定期資安檢測及演練、強化核心系統穩定性並研議營運不中斷相關措施;其中,有關資安檢測部分包括:資安滲透測試、強化銀行 APP 資安控管、建立分散式阻斷服務 (DDoS) 攻擊的監控與事故應變機制、強化 ATM 資安防護。

金管會表示,金融機構如果發生資安缺失,該會將先依相關法規要求導正缺失,如有不足之處,將提高作業風險資本計提作為補強措施。另金管會也已將金融機構資安辦理情形納入申辦業務的准駁考量,及列為存款保險費率與保險安定基金費率計提的因素,藉此嚴控金融業重視金融資安。