银行自律上路 防堵供应链资安出包

因应整体金融服务业委外与跨业经营型态的发展,金管会认为,银行应增修有关供应链风险的管理规范,建立包含资通系统软硬体的供应商与维运商、跨机构合作伙伴等相关风险评估、边际防护、委外稽核等规范。银行公会在2021年订定金融机构资通安全防护基准时就已对供应商管理有要求,但金管会认为尚不完整,要求银行公会再进一步订定自律规范。因此《金融机构资通系统与服务供应链风险管理规范》在3月29日报金管会核备、4月10日函送银行公会成员。

童政彰说明规范中的电脑系统有分三类,「第一类电脑系统」是直接提供客户自动化服务,或营运有重大影响系统,例如分行柜台、ATM自动化服务、SWIFT系统等;「第二类电脑系统」是提供间接服务客户的系统,比方说作业中心、客服系统;第三类电脑系统即不会接触客户资讯的系统,例如银行内部人资、财会、总务等。童政彰强调,考量第二类及第三类系统需有调整期,因此同意规范实施日(4月10日)起,给予一年的适用缓冲期。

对于外界认为,银行业在供应链出包后的应变与反应强度标准较松。童政彰认为,银行标准与券商自律规范一致,在第五条对于选择供应商前有细致的要求,像是供应商要符合一定标准、资讯交换要签保密协议等,另外在第六条也要求供应商交付的产品与服务组件来源必须是合法的、必须要确保交付的资通系统或程式,没有恶意程式及后门程式,并取得相关安全性测试结果及供应商安全性承诺等。