金融机构资安不安 资本计提、申办业务准驳将有影响

金管会主委黄天牧（图／吴静君摄）

金管会主委黄天牧下周一(14日)将至立法院进行「金融业数位转型下之资安防护」近营专案报告。根据金管会报告显示，金融机构如果发生资安缺失，除会要求导正缺失外若有不足，将提高作业风险资本计提作为措施。另外，金管会也会依据金融机构办理情形为存款保险与保险安定基金祭提的因素或者申办业务准驳考量。

因应数位转型，金管会表示，随着资通讯科技发展及金融机构陆续推动数位化金融服务，已大幅提升民众便利性，为健全金融业发展，保护消费者资料安全，进而维持金融秩序稳定性。

观察国际金融资安发展情势及监理趋势，金管会发布「金融资安行动方案」，强化主管机关资安监理、深化金融机构资安治理、精实金融机构资安作业韧性、发挥资安联防功能等四个面向切入，提出多项资安措施并定期检讨成果。

依资安发展趋势及实务运作情形，持续检讨调整行动方案内容，期能强化金融机构资安防护能力，达成安全、便利、营运不中断目标。

金管会已要求金融机构应设置资安专责单位及主管，配置适当资安人力及资源。另银行业及一定规模之证券商、保险公司应设置副总层级资安长，统筹资安政策推动协调与资源调度。

资安专责单位每年应将资安整体执行情形提报董事会，资安专责主管须与董事长、总经理及总稽核联名出具资安声明书。要求资安人员每年应接受一定时数以上之资安专业课程训练或职能训练。

金管会成立金融资安资讯分析及分享中心(F-ISAC)，搜集研析国内外金融资安情资，适时发布弱点公告、威胁警讯及防护建议，并提供资安技术咨询及训练研讨会等服务。

目前金融机构均已建立分散式阻断服务(DDos)攻击监控与事故应变机制、每年完成程序演练，并与网路服务供应商合作，购买流量清洗等因应措施。

要求银行每半年应针对自动柜员机(ATM)相关伺服器进行弱点扫描，并建立ATM监控与事故应变机制及每年进行程序演练。已要求金融机 构 提供客 户使用的APP，每年须委由专业机构完成安全检测，新功能上线或有调整异动时，亦应办理相关检测。

金融机构就直接提供客户自动化服务或对营运有重大影响之系统，每年委托外部专业机构进行安全检测，其中对外营运之重要网站每年尚须委由第三方专业机构办理资安渗透测试，强化资安防护能量。

此外，金融机构办理资讯系统转换、上线、升级更新等作业，应于事前做好资讯、资安、业务及客服等跨部门联系及演练作业。各金融机构应依据风险评估自行就核心系统订定可容忍中断时间，以及银行业重要非核心系统升级改版相关程序，应比照核心系统规范办理。

金管会表示，金融机构假如发生资安缺失，先依相关法规要求导正缺失，如有不足之处，将提高作业风险资本计提作为补强措施。另已将金融机构资安办理情形纳为存款保险及保险安定基金费率计提因素及申办业务的准驳考量。