2016年8月22日

中央存保:發展金融科技應強化對資訊安全的控管能力




數位網路記者陳漢墀台北報導/2016,8,22】
    中央存款保險股份有限公司(下稱中央存保)為提供主管機關及金融機構對資訊安全潛在威脅之因應對策,特舉辦「金融科技與資訊安全座談會」,繼819日下午邀請專家學者針對銀行業發展金融科技之資訊安全制度面,及面對各種資安如何加強防禦進行熱烈討論後,822日上午則由金管會資訊服務處蔡福隆處長說明「金融資安資訊分享與分析中心(Financial Information Sharing and Analysis Center,F-ISAC)」議題,均引起在場來賓廣大迴響,與會政府機關及業界代表超過150人參與,顯示本次議題深受金融業者與外界矚目。
    中央存保董事長雷仲達在致詞時表示,鑒於金融業資訊安全面臨的威脅及風險不斷增加,中央存保已向主管機關提報將要保機構資安執行情形納入差別費率指標之建議,以引導金融機構重視資訊安全,並奉主管機關同意備查;此外,美國聯邦金融機構檢查委員會自20167月起將金融機構之資安準備狀況納入「資訊科技風險檢查評等系統」之重要評核項目,並將檢查結果做為未來監理強度之參考,這些都顯示金融監理機關對資訊安全的重視。本次座談會主要建議摘要如下:
對政府與主管機關之資安制度建議
一、主管機關及銀行公會就金融科技發展時所面臨之資安議題,均已參考國際標準研訂相關安全規範,俾業者及消費者能在安全環境下發展業務及進行交易,相關規範仍可參考本座談會建議及金融科技之發展持續強化。
二、資訊安全監理應與國家整體資訊安全策略共同發展,並與國際Fintech法規接軌。
三、建議設立資安資訊分享中心(CERT, F-ISAC),以彙集資安事件,分析並提供風險資訊與處理實務予各機構參考。另針對有通報資安事件機構者,宜有鼓勵制度,以擴大資安事件樣本。
四、在資安即國安之戰略思維下,政府應積極部署網路犯罪調查人力,充實數位鑑識、惡意程式解析技能,以面對各種新形態犯罪之挑戰。

對銀行業者及相關Fintech業者之資安管理建議
一、 資安管理應提高至董監事層級,並設置專任的資安長CISO(chief information security officer)風險管理與資本計提的適當性仍為資安管理的重點。
二、 發展Fintech相關新興業務應依照作業風險框架來管理,須辨識可能的各項風險及衝擊,並於進行系統規劃時務必把資安預算列入規劃,並增加資安預算,以強化資安基礎設施。
三、 金融業針對資訊安全應從被動的防禦攻擊轉為主動防禦,包含攻防演練、威脅事件應變、攻擊行為分析與攻擊溯源、國內外資安威脅情資分析等。
四、 建議設置資安緊急事件應變小組及事件處理標準程序,並應有數位證據保全、蒐證及定期稽核之作業演練及規劃執行。
五、 針對系統漏洞及程式更新建立管理機制,並定期檢視國際規範以符規定。
六、 建立員工對客戶隱私保護意識文化之重視,並加強資安教育訓練,有助提升顧客的信任。
其他資安機制建議
一、 建議設立管理流程驗證機制,針對資訊安全制度及流程完整度進行驗證評估,以發現改善空間,避免產生資安漏洞
二、 建議建置軟體硬體檢測中心,協助檢測AppWeb security、行動裝置、網路設備之效能及安全性,避免不當或惡意軟體危害。
三、 建置關鍵基礎設施備援檢測中心,辦理定期評估、壓力測試、災備復原演練等,協助各機構評估、擬定情境條件及應變計畫。
四、 建制資安能量中心,兼具人才養成及服務能量提升。
    資訊安全是發展金融科技之基礎,在金融科技蓬勃發展的同時,金融業更應提升風險管理意識,及早預防及監控金融科技所可能衍生的資訊安全威脅。本次座談會提供許多資訊安全的相關建議與新思維,期以帶動政府及金融業者對資訊安全的投入及控管能力。「資通安全,人人有責」、「資安即國安」,期望在主管機關與金融業者的合作下,我國的金融科技能穩健發展並提升金融產業之競爭力。

                          

沒有留言: