金融资安行动方案出炉! 31家金融机构2021年底要设资安长
在金融科技(FinTech)浪潮下,资安问题越发不可忽视,金管会今(6)日发布「金融资安行动方案」,要求金融机构在4年内建置资安防护体系,且资产兆元以上的银行、保险业者及资本额200亿元以上的证券业者及3家纯网银,累计31家金融机构明年底须设置资安长。
金管会副主委兼资安长邱淑贞表示,依据世界经济论坛(WEF)指出,未来10年须面临2大风险,其中一个就是资安风险,包括网路攻击、个资外泄、资讯服务中断等,提醒金融机构要因应该风险,应有所作为提早预防「超前部署」。
「金融资安行动方案」分别从强化主管机关资安监理、深化金融机构资安治理、精实金融机构资安作业韧性、发挥资安联防功能等4个面向切入,将与各公会订定相关基础自律规范,同时也要求各公司建立监控应变小组,强化金融资安防御能力。
其中,在型塑金融机构重视资安组织文化,金管会要求资产兆元以上的银行与保险业者、纯网银及实收资本额200亿以上的证券业者须设立资安专责单位,目前共有17家银行、8家保险公司、3家纯网银、3家证券公司,累计31家金融机构须在2021年底设置完成。
另在金融服务不中断,邱淑贞指出,由于各金融机构特性、服务性质不一,以国际上标准来看,最大容忍服务中断时间为4小时,目前现行银行要求标准是4小时,但希望能逐步往前推,可以更精进缩短最大容忍中段时间,若有市场性、关键设施的金融机构,应可比自律规范的标准更短,但整体仍待公会讨论后决议。
至于建立营运资料保全避风港,金管会参考美国推动「避风港计划」概念,研议资料保全运作机制,包括资料保护、资料可移性、资料复原性、关键服务持续性等,万一遇到重大灾害时,也有备份能救。以美国为例,大型金融机构自建,小型机构则购买服务,未来将研议订定标准,看要由金融机构本身自建资料保全,或是各家集中在一起保全,也要寻求各界共识。
此外,金管会认为应发挥资安联防,建立金融资安事件应变体系,鼓励金控自建资安监控机制,而周边单位或公会则推动资安应变支援小组,及F-ISAC联防,及早发现网路异常行为,即时掌握资安风险;据了解,目前已有不少金控自建资安监控机制,包括国泰世华银行、玉山银行、中信银行等,希望金融机构能够提升该设备建置。
「金融资安行动方案」将以4年为期分阶段推动,邱淑贞表示,每半年检讨成果,随资安发展趋势及实务运作情形,调整行动方案内容,看金融机构是超前部署或落后,所以因应金融科技快速变化,资安也要快速跟上。