《金融》金管会强化金融业资安 公布导入零信任架构参考指引

资服处处长林裕泰指出，目前金融机构对于资安防护着重焦点不一，此次制定指引主要为统一标准，将现有的「点」连成「线」，提供更全面的资安防护导入指引，使金融机构能据此逐步导入强化整体资安防护，特别是过往未重兵部署的内网部分。

金管会2022年12月公布「金融资安行动方案2.0」时，为因应后疫情时期及数位转型的资安防护需求，将「鼓励零信任网路部署，强化连线验证与授权管控」纳为精进重点之一，此次据此公布「金融业导入零信任架构参考指引」，鼓励金融业以零信任思维深化资安防护。

资讯服务处长林裕泰表示，目前金融机构在资安防护上均有一定量能，如双因子身分验证、设备健康检查及网段隔离等。为鼓励金融机构在既有基础上，以零信任思维续深化资安防护，故依据与金融机构研讨过程中的凝聚共识，订定参考指引供金融机构参考运用。

金管会在参考指引中建议金融机构采取风险导向，选择高风险场域作为优先导入零信任架构标的，如远距办公、云端存取、系统维运管理、应用系统管理、服务供应商、跨机构协作等6大场域，金融机构可依风险基础方法进行适当评估，择定导入优先序及范围。

导入策略方面，金管会区分4阶段分级指标，依序为静态指标、融入动态指标、即时指标及最佳化整合指标，建议金融机构盘点高风险场域完整存取路径，即身分、设备、网路、应用程式及资料，由外而内缩小攻击表面并增进防御纵深、由内而外扩大防护表面。

林裕泰表示，参考指引属于行政指导，金融机构在实际导入时仍须考量既有资讯与资安环境、资安防护水准、资源及人力、业务风险、相关解决方案成熟度等因素调适，或另外进行适切规画，不以此参考指引为限。

同时，金管会将鼓励金融机构分享实务案例，提供同业交流研讨最佳实务，并将透过定期调查各金融机构导入规画及进程，与各同业公会、周边单位衡量实际资安防护需求及执行可达性，适时纳入资安规范，提升整体资安防御水准。