金管會推金融資安懶人包 金融業強制設資安長門檻出爐

金管會副主委暨資安長邱淑貞今 (6) 日發布「金融資安行動方案」，金管會還特地於金管會網站上放置「懶人包」檔案，讓各金融業可以遵循；同時，金管會也宣布，資產兆元以上的銀行、保險業，2021 年底前需強制設置資安長，而即將問世的 3 家純網銀雖然資產不達兆元，但各家也需要設資安長。

金管會所推的金融資安行動方案，以四年為期分階段推動，每半年檢討成果，期待藉此強化金融業資安防護能力，達成安全、便利、營運不中斷目標。

「金融資安行動方案」分別從「強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能」等四個面向切入。

邱淑貞表示，金融業是高度利用資訊科技的產業，營業模式也因為電子化、數位化、大數據及人工智慧的運用而改變，客戶因為科技創新發展而享有極大便利。隨著資安威脅日益嚴峻，金融資安防護的思維亦須更快速的調整因應，因此觀察國際金融資安情勢、國際金融資安監理趨勢，訂定金融資安行動方案，希望作為各金融機構及公會檢討資安策略、管理制度及防護技術等遵循的指引，以追求安全便利不中斷的金融服務。

金融資安行動方案分別從強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等四個面向切入，提出 36 項資安措施，且將從二方面提供指引功能：(一) 現有資安再優化精進措施，如檢視資安風險因子與金融監理工具連結的有效性、增修訂新興金融科技資安規範等；(二) 規劃資安新思維方向，如推動一定規模金融機構或純網銀設置資安長，強化金融資安韌性，建立資安應變體系等。

關於資安長部分，邱淑貞進一步表示，資產兆元以上的銀行、保險業，2021 年底前需強制設置資安長，而今年即將開業的 3 家純網銀雖然資產不達兆元，但因為所有業務都在網路上執行，資安控管更重要，因此也需強制設置資安長；而資本額 200 億元以上的證券業也需設置。

以資本額來看，需要設置資安長的金融機構，包括 17 家銀行、8 家保險公司與 3 家證券公司，以及 3 家純網銀，總計有 31 家金融機構明年底前都需完成設置副總經理層級的資安長，統籌資安政策推動協調與資源調度。並鼓勵遴聘具資安背景的董事、顧問或設置資安諮詢小組，增納專業人員參與董事會運作，帶動機構重視資安的組織文化。

此次的方案也著重強化新興科技的資安防護，邱淑貞表示，建議公會增修訂資安自律規範，納入行動應用程式 (APP)、雲端服務、開放銀行、Open API、網路身分驗證 (eKYC) 及資訊服務供應鏈的風險評估等當前關注議題，以配合金融科技發展與業務開放。

為提升金融機構客戶對金融系統對抗災難性事件的信心，金管會也參考美國推動的「避風港計畫」概念，研議資料保全運作機制，包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項，視研議結果評估推動方式，達成保護最關鍵資訊之終極目的。