金融資安行動方案出爐! 31家金融機構2021年底要設資安長
在金融科技(FinTech)浪潮下,資安問題越發不可忽視,金管會今(6)日發佈「金融資安行動方案」,要求金融機構在4年內建置資安防護體系,且資產兆元以上的銀行、保險業者及資本額200億元以上的證券業者及3家純網銀,累計31家金融機構明年底須設置資安長。
金管會副主委兼資安長邱淑貞表示,依據世界經濟論壇(WEF)指出,未來10年須面臨2大風險,其中一個就是資安風險,包括網路攻擊、個資外泄、資訊服務中斷等,提醒金融機構要因應該風險,應有所作爲提早預防「超前部署」。
「金融資安行動方案」分別從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等4個面向切入,將與各公會訂定相關基礎自律規範,同時也要求各公司建立監控應變小組,強化金融資安防禦能力。
其中,在型塑金融機構重視資安組織文化,金管會要求資產兆元以上的銀行與保險業者、純網銀及實收資本額200億以上的證券業者須設立資安專責單位,目前共有17家銀行、8家保險公司、3家純網銀、3家證券公司,累計31家金融機構須在2021年底設置完成。
另在金融服務不中斷,邱淑貞指出,由於各金融機構特性、服務性質不一,以國際上標準來看,最大容忍服務中斷時間爲4小時,目前現行銀行要求標準是4小時,但希望能逐步往前推,可以更精進縮短最大容忍中段時間,若有市場性、關鍵設施的金融機構,應可比自律規範的標準更短,但整體仍待公會討論後決議。
至於建立營運資料保全避風港,金管會參考美國推動「避風港計劃」概念,研議資料保全運作機制,包括資料保護、資料可移性、資料復原性、關鍵服務持續性等,萬一遇到重大災害時,也有備份能救。以美國爲例,大型金融機構自建,小型機構則購買服務,未來將研議訂定標準,看要由金融機構本身自建資料保全,或是各家集中在一起保全,也要尋求各界共識。
此外,金管會認爲應發揮資安聯防,建立金融資安事件應變體系,鼓勵金控自建資安監控機制,而周邊單位或公會則推動資安應變支援小組,及F-ISAC聯防,及早發現網路異常行爲,即時掌握資安風險;據瞭解,目前已有不少金控自建資安監控機制,包括國泰世華銀行、玉山銀行、中信銀行等,希望金融機構能夠提升該設備建置。
「金融資安行動方案」將以4年爲期分階段推動,邱淑貞表示,每半年檢討成果,隨資安發展趨勢及實務運作情形,調整行動方案內容,看金融機構是超前部署或落後,所以因應金融科技快速變化,資安也要快速跟上。