防堵供应链资安出包 金管会祭自律规范强化控管

童政彰说明，金管会在2020年发布金融资安行动方案时，就已要求强化供应链控管。因应整体金融服务业委外与跨业经营型态的发展，金管会认为银行应增修有关供应链风险的管理规范，建立包含资通系统软硬体的供应商与维运商、跨机构合作伙伴等相关风险评估、边际防护、委外稽核等规范。

童政彰指出，银行公会在2021年订定金融机构资通安全防护基准时就已对供应商管理有要求，但金管会认为尚未完整，故请银行公会再进一步订定自律规范。因此《金融机构资通系统与服务供应链风险管理规范》在今年3月29日就报会核备、4月10日函送银行公会成员。

童政彰指出，此自律规范主要有五大重点。一要求金融机构办理委外前，应该要分析、规划供应链资讯的相关安全事项；二，要求银行选择供应商前，必须执行的相关事项；三，与供应商的委托契约或相关文件，有明确约定事项。四，与供应商契约的存续期间，应注意哪些原则性规范（第7条）。五，供应商服务变更与契约终止时，要符合的相关事项。

此规范中的电脑系统有分三类，「第一类电脑系统」是直接提供客户自动化服务，或营运有重大影响系统，例如分行柜台、ATM自动化服务、SWIFT系统等；「第二类电脑系统」是提供间接服务客户的系统，比方说作业中心、客服系统；第三类电脑系统即不会接触客户资讯的系统，例如银行内部人资、财会、总务等。

童政彰指出，考量第二类及第三类系统需有调整期，因此同意规范实施日（今年4月10日）起，给予一年的适用缓冲期。

对于外界认为，银行业在供应链出包后的应变与反应强度标准较松。童政彰指出，银行标准与券商自律规范一致，在第五条对于选择供应商前有细致的要求，像是供应商要符合一定标准、资讯交换要签保密协议等，另外在第六条也要求供应商交付的产品与服务组件来源必须是合法的、必须要确保交付的资通系统或程式，没有恶意程式及后门程式，并且取得相关安全性测试结果及供应商安全性承诺等等。