Newsletter
金管會發布「金融資安韌性發展藍圖」
金融監督管理委員會(以下稱金管會)為因應國家政策,確保金融系統營運不中斷,於2025年12月30日發布「金融資安韌性發展藍圖」,期能強化金融業資安防護能力及營運韌性。「金融資安韌性發展藍圖」訂有29項措施,金管會將其歸納為十大重點,謹就其重點摘述如下:
一、強化經營階層資安治理職能與問責機制,鼓勵資安法規調適:金管會將持續推動提升金融機構董事會資安監督能量,強化資安長職責與權責,建立具「責任、權限、資源」三位一體的金融資安治理架構,強化問責鏈、確保決策獨立、提升資安治理彈性與韌性;另爰鼓勵於法規之增修,適度授權資安長可採取相當控制措施,以提升資安治理之效率與彈性。
二、加強資安人才培育與交流,從共通基準邁向策略目標:金管會將鼓勵金融機構盤點資安人才分布情形及缺口,健全資安職能配置;另規劃舉辦論壇、工作坊或案例研討,深化資安人才之知識共享及技術提升;並引導金融機構從合規導向轉向目標導向,建立「可量測、可成長、可差異化」監理架構。
三、資安左移,安全納入設計:鼓勵金融機構導入軟體安全開發、測試及部署流程,將資安左移至較前且較低成本的階段解決,並產出軟體物料清單(SBOM),建立漏洞監控與版本更新之機制;另將研訂應用程式介面(API)安全基準,以強化API安全防護。
四、推動零信任架構,提升資安防護基準:金管會先前已發布「金融業導入零信任架構參考指引」,將持續推動高風險場域優先導入;並將定期調查各金融機構導入規劃及進程,衡量實際資安防護需求及執行可達性。
五、強化資安監控及防護有效性:金管會已鼓勵金融機構建置資安監控機制(SOC),現將持續擴增資安監控及組態基準涵蓋範圍(包含雲端),及鼓勵金融機構定期檢驗資安監控及防禦部署之有效性。
六、前瞻部署,因應新興科技的挑戰:將研訂金融業AI系統安全防護及檢測參考指引,以涵蓋傳統網路威脅及AI特有攻擊類型;另將研訂金融業後量子密碼學(PQC)遷移參考指引,俾供金融業準備因應此等技術變革。
七、強化供應鏈資安,健全金融資安生態系:規劃依產業特性、供應商接觸資通系統之類別及資料敏感度等面向對於第三方服務供應商及外包商進行分級,研訂資安責任之委外契約參考條款,並鼓勵金融機構建立供應鏈風險評估機制,與其關鍵供應商等合作進行聯合資安演練。
八、加強資安情資分析與協同防禦:金融資安資訊分享與分析中心(F-ISAC)前已建置資安情資關聯分析平台,規劃強化既有情資自動化分享機制及導入自動化分析機制,研議修訂情資分享獎勵辦法以鼓勵分享情資;另規劃建立金融資安漏洞通報與回應管道,及深化與國際合作夥伴交流,以強化跨境事件的預警與應變。
九、辦理資安攻防演訓,強化資安事件應處能量:持續辦理金融資安攻防演練;另將持續辦理重大資安事件應變情境演練,驗證金融機構與金控集團電腦資安事件應變小組、周邊單位或公會之資安應變支援小組、F-ISAC等資安聯防體系間之通報、協調及支援機制。
十、強化多層次備援機制,確保關鍵金融服務可用性:將推進強化關鍵金融服務多層次備援架構,並透過定期測試與演練驗證,確保任一層故障時皆能切換運作;金融機構並應同步針對關鍵供應鏈夥伴評估其災難復原與備援能力,建立相關備援協作機制。
於人工智慧及數位時代,資安風險對於金融機構之重要性與日俱增,預期未來金融業所涉及之資安相關法規及政策將有持續發展變遷之趨勢,值得業者密切注意。