金融機構資安不安 資本計提、申辦業務準駁將有影響

金管會主委黃天牧(圖/吳靜君攝)

金管會主委黃天牧下週一(14日)將至立法院進行「金融業數位轉型下之資安防護」近營專案報告。根據金管會報告顯示,金融機構如果發生資安缺失,除會要求導正缺失外若有不足,將提高作業風險資本計提作爲措施。另外,金管會也會依據金融機構辦理情形爲存款保險與保險安定基金祭提的因素或者申辦業務準駁考量。

因應數位轉型,金管會表示,隨着資通訊科技發展及金融機構陸續推動數位化金融服務,已大幅提升民衆便利性,爲健全金融業發展,保護消費者資料安全,進而維持金融秩序穩定性。

觀察國際金融資安發展情勢及監理趨勢,金管會發布「金融資安行動方案」,強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能等四個面向切入,提出多項資安措施並定期檢討成果。

依資安發展趨勢及實務運作情形,持續檢討調整行動方案內容,期能強化金融機構資安防護能力,達成安全、便利、營運不中斷目標。

金管會已要求金融機構應設置資安專責單位及主管,配置適當資安人力及資源。另銀行業及一定規模之證券商、保險公司應設置副總層級資安長,統籌資安政策推動協調與資源調度。

資安專責單位每年應將資安整體執行情形提報董事會,資安專責主管須與董事長、總經理及總稽覈聯名出具資安聲明書。要求資安人員每年應接受一定時數以上之資安專業課程訓練或職能訓練。

金管會成立金融資安資訊分析及分享中心(F-ISAC),蒐集研析國內外金融資安情資,適時發佈弱點公告、威脅警訊及防護建議,並提供資安技術諮詢及訓練研討會等服務。

目前金融機構均已建立分散式阻斷服務(DDos)攻擊監控與事故應變機制、每年完成程序演練,並與網路服務供應商合作,購買流量清洗等因應措施。

要求銀行每半年應針對自動櫃員機(ATM)相關伺服器進行弱點掃描,並建立ATM監控與事故應變機制及每年進行程序演練。已要求金融機 構 提供客 戶使用的APP,每年須委由專業機構完成安全檢測,新功能上線或有調整異動時,亦應辦理相關檢測。

金融機構就直接提供客戶自動化服務或對營運有重大影響之系統,每年委託外部專業機構進行安全檢測,其中對外營運之重要網站每年尚須委由第三方專業機構辦理資安滲透測試,強化資安防護能量。

此外,金融機構辦理資訊系統轉換、上線、升級更新等作業,應於事前做好資訊、資安、業務及客服等跨部門聯繫及演練作業。各金融機構應依據風險評估自行就核心系統訂定可容忍中斷時間,以及銀行業重要非核心繫統升級改版相關程序,應比照核心系統規範辦理。

金管會表示,金融機構假如發生資安缺失,先依相關法規要求導正缺失,如有不足之處,將提高作業風險資本計提作爲補強措施。另已將金融機構資安辦理情形納爲存款保險及保險安定基金費率計提因素及申辦業務的準駁考量。