金融資安行動方案2.0 出爐!

閱讀時間約 8 分鐘
raw-image

隨著臺灣金融科技技術愈發進步,許多資安風險也隨之而來。為了因應資安威脅與加強金融資安監理,於2020 年便開始推動金融資安行動方案1.0,並於今年發佈了升級版2.0 的行動方案。究竟金融資安行動方案會如何增進機構的資安防護、又會用什麼方式強化機構間資安防護網的連結呢?讓馬克帶大家一起瞭解吧!


近期金融資安威脅與金融資安監理趨勢

近來臺灣金融科技技術愈發進步,而金融業的市場也隨之變得更加智慧且開放,在各項金融科技產品運用之下,也提供了使用者更加便利的個人化服務。然而,在金融科技手段迅速發展的同時,各項資安風險也隨之而來,舉凡阻斷服務攻擊(DDoS)、進階持續性滲透攻擊(APT)與勒索軟體即服務(RaaS)等。面對資安攻擊,政府與企業必須擬定並時時更新即時性的危機處理作業程序,方有可能在攻擊入侵時全身而退;除此以外,先前新冠疫情肆虐之時,許多企業開放員工異地辦公,兵荒馬亂的即刻改變下,也更顯做好數位轉型與維持數位韌性的重要。

准此,臺灣政府於近期持續推動金融資安行動方案,並提出金融資安監理趨勢準則,提醒各部門與企業應重視各階層資安職責、建立共通資安管理基準與評估機制、建構並實證作業抵禦風險能力,同時應持續提升資安防護與定期評估有效性。期許在不斷的演練與實證下,企業在面臨網路攻防時方能有靈機應變的能力,同時提升數位韌性,創造更安全的資安大環境。

金融資安行動方案1.0 的推動狀況

為了追求更安全且便利的金融服務,臺灣於2020 年8 月開始推動金融資安行動方案1.0。方案的具體措施包含形塑與強化金融機構的資安監理、深化資安治理與人才培育、建構資料保全避風港與加強相關演練、以及建立資安聯防監控與應變體系等;同時,此計劃亦以國際標準ISO 29115 為參照,導入多元金融身份驗證框架與標準。

金融資安行動方案1.0 自2020 年推展至今,在2022 年的主要KPI 已經達成86%、且主要目標均已達標。而其中約有14% 的特定項目需較長時間的期程(花費三至四年),目前在金融資安行動方案2.0 也正持續運作當中。

關於金融資安行動方案1.0 的具體內容,馬克也寫過一篇文章完整介紹,有興趣的朋友歡迎參考部落格:
https://www.markreadfintech.com/p/561


金融資安行動方案2.0 內容與推動重點

我國於2022 年12 月金融資安行動方案2.0 總共包含了九大重點,透過這九大要點提供金融機構目前遵守與防護資訊安全的依循準則。


(一)擴大資安長設置,定期召開資安長聯繫會議

有鑒於電子交易達到一定比例的金融機構,資安的防護對於營運影響十分重要,因此政府推廣擴大資安長設置範圍。資安長的職責包含掌握機構資安情勢、統籌資安政策推動與資源調度、及帶動組織重視資訊安全等。此外,為強化資安長職責,政府也積極規劃辦理資安長聯繫會議,以經驗分享交流與資安戰略研議推動為共同目標,在重大資安事件發生時方能即時優化制度並調動指揮。

(二)因應數位轉型及及網路服務開放,增修訂自律規範

1. 針對客戶身份識別
我國於金融資安行動方案1.0 時便引進了數位身分驗證等級國際標準架構ISO 29115 ,將網路身分驗證(eKYC)依照不同階段的機制區分信賴等級,並建立與業務風險對照的規範,以多元的方式驗證客戶身份(如:自然人憑證、雙因子認證、金融FIDO 等)。
2. 針對第三方服務商
針對核心資訊系統供應商或跨機構資訊服務之第三方合作廠商之風險評估及查核,以維護網路邊際與金融機構的服務韌性。
3. 針對異地辦公型態
數位時代的新興異地辦公型態崛起,更顯企業面臨新模式資安攻擊的可能性,舉凡DeepFake、勒索軟體與供應鏈攻擊等,機構應增強自身防護能力,面對攻擊時方能迅速處理、減少損失。

(三)深化核心資料保全及營運持續演練

1. 營運持續管理
金融機構應訂定核心系統備援並支持其業務持續運作必要之系統,同時應持續演練與進行壓力測試,並應訂定最大可容忍之服務中斷時間,營運持續演練管理。
2. 備援環境實作驗證
金融機構應訂定核心業務系統備援指引,如本、異地備援的實際運作,同時鼓勵機構與外部關聯單位進行資通系統聯合演練,以驗證災害備援之實務需求。
3. 核心資料保全
金融機構應強化核心資料保全機制,舉凡第三地與雲端備份、資料庫加密與分持,此外應加強資料復原性以及緊急時刻之關鍵服務持續性等。

(四)擴大導入國際資安管理標準及建置資安監控機制

金管會於2020 年便鼓勵金融機構應導入國際資安管理標準ISO 27001,透過第三方獨立機構檢視管理制度之有效性,以健全金融機構資安管理制度;此外,亦建制資安監控機制,明定包含監控範圍、作業程序、事件管理單位與通報應變機制等等。

(五)鼓勵資安監控與防護之有效性評估

運用DeTT&CT 防禦方法,將金融機構常用之系統設備,投放至MITRE ATT&CK 攻擊視角,並針對對應到的相關攻擊進行分析,以產出相關聯之金融機構資安監控規則,檢驗資安監控與防禦部署之有效性。

(六)鼓勵零信任網路部署,強化連線驗證與授權管控

參照世界重要國家政府推動之規劃,「零信任」概念已進入實務的部署。鼓勵金融機構導入身份鑑別、設備鑑別與信任推斷之三核心機制、同時循環監控,以因應不斷擴大的資安防護需求。

(七)鼓勵配置多元專長資安人才,擴大攻防演訓量能

鼓勵金融機構強化金融資安人才能力建構、重視人才配置,並鼓勵資安人員考取國際證照。再者,規劃導入美國資安專業組織MITRE 發布之攻擊防禦方法論MITRE ATT&CK & ENGAGE,並開設金融資安專班,以提升資安攻防戰術思維。

(八)提升資安情資分享動能,增進資安聯防運作效能

督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析能力,並深化與會員間的情資交流;另輔導金融機構SOC導入依據網路攻擊訂定之資安監控組態基準,以增進資安聯防的運作效能。

(九)辦理資安攻防演練,規劃重大資安事件支援演訓

於策略推演面向,包含推動決策模擬推演,針對時間長短(連續式、階段式)以及特定功能進行推演;於技術操演面向,持續辦理包含分散式阻斷服務攻擊(DDoS)攻防演練、紅/藍隊演練與入侵模擬演練等,同時辦理網路攻防演練與競賽,以完善資安防護環境。

金融資安推動作法與未來願景

延續金融資安行動方案1.0,方案2.0 除了部分新增措施,亦有許多項目是持續推廣與擴大實施的。政府對於金融資安行動方案2.0 推動的作法包含:
1. 差異化管理:依照機構不同的規模與業務,給予不同程度的資安要求,循序漸進地推動管理。
2. 資源共享:創造完善的資源共享機制,建立機構間的情資分享、應變與監控體系。
3. 激勵誘因:對於做好資安防護的業者,給予降低經營成本的誘因,舉凡給予存款保險費率優惠等。
4. 國際合作:結合其他國家的資安組織,共同合作以交流情資並因應網路攻擊。
5. 公私協力:政府相關單位與各產業共同協力合作。

綜合以上所述,金融資安方案2.0 的推動願景為,提供安全、便利且不中斷的金融服務。在數位資訊不斷發展、金融科技日新月異之下,擁有完善的資訊安全應對方案更顯重要。對於金融機構資安的未來願景,政府除了期許能持續提供多元便捷的金融服務、創造安全穩定的數位金融交易環境外,更致力保護消費者的金融資產與個人資料隱私。同時,不管政府單位、金融機構抑或民眾,都應該培養自身縝密的資訊安全意識,不僅在網路服務使用上能更多一層警惕、面對資安攻擊時也方能有從容應對的能力。

馬克碎念

金融科技發展必須建立在安全基礎之上。雖然金融科技帶來許多便利,但同時也增加了資安風險。如果缺乏足夠的資安規劃和監控,將嚴重影響金融服務的可靠性和穩定性。因此,在推動金融創新時,政府與業者必須高度重視資安建設,並持續投入資源來確保金融交易的安全。

資安防護需要公私部門及民眾的共同參與。政府可以設定政策與標準,企業可以投入資源強化防護,民眾也應提高資安意識,謹慎查看帳戶變動並避免輸入個資。只有大家一起通力合作,才能有效降低資安風險,維持金融服務的安全與穩定,金融科技的創新也才能穩定地往前進。



留言0
查看全部
avatar-img
發表第一個留言支持創作者!
LULA 2020年在邁阿密成立,不僅專注於汽車租賃、卡車運輸和汽車共享平台的保險,還跨足了供應鏈與物流技術、金融科技和保險科技領域,使LULA 成為一家業務多元化的公司,致力簡化保險流程,降低成本,提高效率。他們的獨特之處還體現在資本效率,讓他們在市場上獨具競爭力。
金管會自 2015 年起推動金融科技、於 2020 年 8 月發布「金融科技發展路線圖 1.0」,以 3 年階段推動金融科技發展旨在實現普惠、創新、韌性與永續等四大目標、打造友善的金融科技發展生態系統。而今年 8 月金管會推出「金融科技發展路徑圖 2.0」,為後續 3 年的金融科技新藍圖持續邁進。
Loft 專注運用科技改變市場,提高交易的透明度、簡化流程,並將零散的資訊收攏起來,創立新的房地產交易生態圈。不僅提升消費者的購屋體驗,也為屋主提供一個平台獲取公平的交易體驗,現在讓我們一起深入探索 Loft 如何利用科技來迎接房地產市場的新世代。
近來,在充滿挑戰的全球市場中,英國持續維持金融科技投資首選目的地的特性,其在世界排名第二、是最接近美國的競爭者,並超過位居第三的印度。究竟英國的金融科技領域投資現況如何、政府提出了哪些產業輔導措施,而現在的英國又有哪些金融科技新創成為世界新興融資亮點呢?讓馬克帶你一起解密英國金融科技領域的近況吧!
隨著時代進步,當消費行為轉至投資時,卻鮮少有人會就投資領域與企業是否合乎自身價值觀為優先考慮,而主要仍斟酌市場趨勢與投資前景等金錢導向。新創公司Giraffe 誕生,旨在創造使投資者得依照自身價值觀進行投資的平臺,進而影響投資環境與總體金融世界,讓我們一起來認識這個新興導向的投資平臺吧!
2014年克里米亞危機後的制裁和與國際金融系統的隔離,俄羅斯的金融狀況受到一定程度的限制。俄羅斯本土銀行無法發行新的Visa和MasterCard銀行卡的情況下,若須海外購物的民眾該怎麼做呢?而未來俄羅斯的整體金融趨勢又會如何受到國際政治和經濟因素的影響?讓這篇文章帶你深度了解俄羅斯的金融產業近況吧
LULA 2020年在邁阿密成立,不僅專注於汽車租賃、卡車運輸和汽車共享平台的保險,還跨足了供應鏈與物流技術、金融科技和保險科技領域,使LULA 成為一家業務多元化的公司,致力簡化保險流程,降低成本,提高效率。他們的獨特之處還體現在資本效率,讓他們在市場上獨具競爭力。
金管會自 2015 年起推動金融科技、於 2020 年 8 月發布「金融科技發展路線圖 1.0」,以 3 年階段推動金融科技發展旨在實現普惠、創新、韌性與永續等四大目標、打造友善的金融科技發展生態系統。而今年 8 月金管會推出「金融科技發展路徑圖 2.0」,為後續 3 年的金融科技新藍圖持續邁進。
Loft 專注運用科技改變市場,提高交易的透明度、簡化流程,並將零散的資訊收攏起來,創立新的房地產交易生態圈。不僅提升消費者的購屋體驗,也為屋主提供一個平台獲取公平的交易體驗,現在讓我們一起深入探索 Loft 如何利用科技來迎接房地產市場的新世代。
近來,在充滿挑戰的全球市場中,英國持續維持金融科技投資首選目的地的特性,其在世界排名第二、是最接近美國的競爭者,並超過位居第三的印度。究竟英國的金融科技領域投資現況如何、政府提出了哪些產業輔導措施,而現在的英國又有哪些金融科技新創成為世界新興融資亮點呢?讓馬克帶你一起解密英國金融科技領域的近況吧!
隨著時代進步,當消費行為轉至投資時,卻鮮少有人會就投資領域與企業是否合乎自身價值觀為優先考慮,而主要仍斟酌市場趨勢與投資前景等金錢導向。新創公司Giraffe 誕生,旨在創造使投資者得依照自身價值觀進行投資的平臺,進而影響投資環境與總體金融世界,讓我們一起來認識這個新興導向的投資平臺吧!
2014年克里米亞危機後的制裁和與國際金融系統的隔離,俄羅斯的金融狀況受到一定程度的限制。俄羅斯本土銀行無法發行新的Visa和MasterCard銀行卡的情況下,若須海外購物的民眾該怎麼做呢?而未來俄羅斯的整體金融趨勢又會如何受到國際政治和經濟因素的影響?讓這篇文章帶你深度了解俄羅斯的金融產業近況吧
你可能也想看
Google News 追蹤
Thumbnail
Hi 我是 VK~ 在 8 月底寫完〈探索 AI 時代的知識革命:NotebookLM 如何顛覆學習和創作流程?〉後,有機會在 INSIDE POSSIBE 分享兩次「和 NotebookLM 協作如何改變我學習和創作」的主題,剛好最近也有在許多地方聊到關於 NotebookLM 等 AI 工具
Thumbnail
國泰CUBE App 整合外幣換匯、基金、證券等服務,提供簡便、低成本的美股定期定額投資解決方案。 5分鐘開戶、低投資門檻,幫助新手輕鬆進軍國際股市;提供人氣排行榜,讓投資人能夠掌握市場趨勢。
Thumbnail
這是張老師的第三本書,我想前二本應該也有很多朋友們都有讀過,我想絕對是受益良多,而這次在書名上就直接點出,著重在從投資的角度來切入
Thumbnail
隨著年齡的增長,工作者在人力資源市場上的性價比會逐漸下降。這是一個不可避免的現象,也是我們必須正視的現實。本文將探討為什麼這種情況會發生,以及我們應該如何應對,通過投資將現有收入轉化為未來的財務保障。
Thumbnail
My paper: 負擔「特別義務」電信事業的認定與OTT業務之適用 市場公平競爭是確保消費者權益與促進經濟發展,及鼓勵產業創新的重要機制。
Thumbnail
出版社:人民東方出版社(東方社) 作者:(美)邁克爾‧赫德森 出版日期:2023.09 isbn:978-7-5207-3311-3   這本書在說什麼: 在說這本書說什麼,我先說說作者的背景吧! 邁克爾是世界知名的經濟學家,在紐約大學攻讀經濟學碩士、博士被華爾街聘為先計經濟學
Thumbnail
金融投資是具有風險性的,大多時候建議 考慮為小孩未來財務管理規劃時 盡量謹慎行事。如果要替為小孩做理財投資,有些事項必須注意: 投資期限: 長期的投資能讓資本實現穩健的增值。考慮長期持有金融商品,充分發揮時間複利威力。 多元投資: 不要將所有資金放在同一個籃子裡。分散投資標的可
Thumbnail
隨著臺灣金融科技技術愈發進步,許多資安風險也隨之而來。為了因應資安威脅與加強金融資安監理,於2020 年便開始推動金融資安行動方案1.0,並於今年發佈了升級版2.0 的行動方案。究竟金融資安行動方案會如何增進機構的資安防護、又會用什麼方式強化機構間資安防護網的連結呢?讓馬克帶大家一起瞭解吧!
Thumbnail
全球金融市場近期飽受疫情、通膨、快速升息等多重壓力的影響,導致美元需求激增,流動性緊縮。為了應對這種危機,全球主要六大央行周日(19日)晚間宣布,將透過現有的美元互換協議,聯手向全球金融市場注資,以確保美元有足夠的流動性。 什麼是美元互換協議? 美元互換協議是指兩大央行協商交換貨幣,之後再把取得的貨
Thumbnail
如今全球金融資訊連動已是即時反映市場問題,救市是一時,但今非昔比,市場現況急漲急跌反映市場,是如今成熟市場價格機制、供求機制、競爭機制和風險機制,結合了密不可分的程式交易和高頻交易,所帶出來的結果呈現,預估每當在市場急速反應下,未來也將有機會更快速回歸市場需求表態,也代表著景氣循環的過程將會縮減且迅
Thumbnail
正所謂「套件」如其名,Pandas 運算套件在資料處理領域的受歡迎程度完全可與善於賣萌的大熊貓相媲美。當然,Pandas 的名稱其實來自經濟學術語—面板資料 (panel data)。 眾所皆知,金融領域存在巨量的資料處理與分析,而Pandas 運算套件就是當時就職於AQR Capi
Thumbnail
Hi 我是 VK~ 在 8 月底寫完〈探索 AI 時代的知識革命:NotebookLM 如何顛覆學習和創作流程?〉後,有機會在 INSIDE POSSIBE 分享兩次「和 NotebookLM 協作如何改變我學習和創作」的主題,剛好最近也有在許多地方聊到關於 NotebookLM 等 AI 工具
Thumbnail
國泰CUBE App 整合外幣換匯、基金、證券等服務,提供簡便、低成本的美股定期定額投資解決方案。 5分鐘開戶、低投資門檻,幫助新手輕鬆進軍國際股市;提供人氣排行榜,讓投資人能夠掌握市場趨勢。
Thumbnail
這是張老師的第三本書,我想前二本應該也有很多朋友們都有讀過,我想絕對是受益良多,而這次在書名上就直接點出,著重在從投資的角度來切入
Thumbnail
隨著年齡的增長,工作者在人力資源市場上的性價比會逐漸下降。這是一個不可避免的現象,也是我們必須正視的現實。本文將探討為什麼這種情況會發生,以及我們應該如何應對,通過投資將現有收入轉化為未來的財務保障。
Thumbnail
My paper: 負擔「特別義務」電信事業的認定與OTT業務之適用 市場公平競爭是確保消費者權益與促進經濟發展,及鼓勵產業創新的重要機制。
Thumbnail
出版社:人民東方出版社(東方社) 作者:(美)邁克爾‧赫德森 出版日期:2023.09 isbn:978-7-5207-3311-3   這本書在說什麼: 在說這本書說什麼,我先說說作者的背景吧! 邁克爾是世界知名的經濟學家,在紐約大學攻讀經濟學碩士、博士被華爾街聘為先計經濟學
Thumbnail
金融投資是具有風險性的,大多時候建議 考慮為小孩未來財務管理規劃時 盡量謹慎行事。如果要替為小孩做理財投資,有些事項必須注意: 投資期限: 長期的投資能讓資本實現穩健的增值。考慮長期持有金融商品,充分發揮時間複利威力。 多元投資: 不要將所有資金放在同一個籃子裡。分散投資標的可
Thumbnail
隨著臺灣金融科技技術愈發進步,許多資安風險也隨之而來。為了因應資安威脅與加強金融資安監理,於2020 年便開始推動金融資安行動方案1.0,並於今年發佈了升級版2.0 的行動方案。究竟金融資安行動方案會如何增進機構的資安防護、又會用什麼方式強化機構間資安防護網的連結呢?讓馬克帶大家一起瞭解吧!
Thumbnail
全球金融市場近期飽受疫情、通膨、快速升息等多重壓力的影響,導致美元需求激增,流動性緊縮。為了應對這種危機,全球主要六大央行周日(19日)晚間宣布,將透過現有的美元互換協議,聯手向全球金融市場注資,以確保美元有足夠的流動性。 什麼是美元互換協議? 美元互換協議是指兩大央行協商交換貨幣,之後再把取得的貨
Thumbnail
如今全球金融資訊連動已是即時反映市場問題,救市是一時,但今非昔比,市場現況急漲急跌反映市場,是如今成熟市場價格機制、供求機制、競爭機制和風險機制,結合了密不可分的程式交易和高頻交易,所帶出來的結果呈現,預估每當在市場急速反應下,未來也將有機會更快速回歸市場需求表態,也代表著景氣循環的過程將會縮減且迅
Thumbnail
正所謂「套件」如其名,Pandas 運算套件在資料處理領域的受歡迎程度完全可與善於賣萌的大熊貓相媲美。當然,Pandas 的名稱其實來自經濟學術語—面板資料 (panel data)。 眾所皆知,金融領域存在巨量的資料處理與分析,而Pandas 運算套件就是當時就職於AQR Capi