技術分享 | SourceZones 解析金管會「金融資安行動方案」發展

前言

去年(2020年)8月初金融監督管理委員會(以下稱金管會)發布「金融資安行動方案」,以強化金融業資安防護能力,達成安全、便利、營運不中斷之目標。

金融業是「高度利用資訊科技的產業」,近年來營業模式也因為電子化、數位化、大資料及人工智慧的運用而改變。但隨著資安威脅日益嚴峻,比如說網路詐欺、保險員作假帳單等事件層出不窮,金融資安防護的思維亦須更快速的調整因應,訂定金融資安行動方案,以追求安全便利且不中斷的金融服務。

Photo by Pixabay on Pexels.com

回顧

🔸 金融資安行動方案

金融資安行動方案主要以「4大面向」切入,包括強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防功能,並聚焦八大亮點,希望以四年時間來分階段推動,強化金融業資安防護能力。

相關文章介紹:新聞資訊 | 金管會首度推出「金融資安行動方案」,將分4年階段推動

🔸 金融科技發展路徑圖

緊接著同月底,金管會更發布了「金融科技發展路徑圖」,以三年為期推動,並從八大面向推動,要藉由這套金融科技發展路徑圖,形塑友善的金融科技發展生態系,促進相關服務或商業模式的推出,提升金融服務的效率、可及性、使用性及品質。

相關文章介紹:新聞資訊 | 金管會發布「金融科技發展路徑圖」,提升數位金融服務

企業間應如何自我檢視?

金融相關政策及方案,至去年八月金管會公告後,已推動9個月的時間!但,是否對企業及使用者間,有顯著的成效呢?讓我們一同來看看!

為了讓企業方便進行檢視是否有「正確落實」,SourceZones 提出幾點讓企業間可以進行簡單的確認,更協助企業在符合金管會的要求下,能夠順利的導入金融科技,獲得營收。

一、將兩個方案都導入,達到相輔相成的效果

若要能夠提供安全且便利的金融服務,SourceZones 分析「企業間必須將上述兩個方案搭配運用」,首先金融領域產業需要有「資安」這個重要基礎,才能在金融科技上有更好的發展。而加上「金融科技發展路徑圖」,就是進行幫助金融領域產業在臺灣推動「金融科技」的重要依據。

二、實踐資安監控,落實風險管理 

各企業應從「內部管理層」開始重視資安及風險議題,把資安當作業務推動的基礎,讓資安成為整體策略的一部分。更強調應遴聘具資安背景的董事、顧問或設置資安諮詢小組,增加專業人員參與「內部管理層」運作,更應擁有完善的「資安管理政策、資安應變機制、風險監控系統」。

SourceZones 建議若企業至今未導入相關措施,可透過「SourceZones 產品資訊」協助,將可縮短建立開發時程及成本,同時達到金管會之要求。

三、培育金融資安專業人才

企業內部是否有「系統化培育金融資安專業人才」。

出了強化企業內部的資安機制外,同時 SourceZones 也發現,第一金融機構在建置上是缺乏資安人才,第二企業並不清楚自身資安需求所需的人才條件。因此我們發現了幾種情況:企業未評估好資安條件,導致資安系統建置不全。再者,也可能因此在培育上耗費大量資源。

SourceZones 建議,在未有良好的規劃下,直接培育資安人才,將無法正確落實。若企業在規劃上,遇到方向不明確、內容不了解之困難點,都歡迎與 SourceZones 進行聯繫討論,我們將提供與您最好的建議。

金管會揭露「執行成果」與「未來規劃」

一、金融機構落實並重視資安的組織文化

在建置金融機構重視「資安」的組織文化的執行成效上,截至今年Q1止,目前已有12家金融機構由副總經理兼任資安長,另有34家金融機構遴聘資安背景的董事、顧問或設置資安諮詢小組。

金管會也正在研議修法,希望所有本國銀行與一定規模以上的保險公司,需由副總層級兼任資安長,證券業者也要設置資安長。不過,金管會也表示將先從「鼓勵方式」,後續將會慢慢變成「一套正式的相關規範」。

二、持續強化金融供應鏈體系風險評估與管理

隨著金融機構紛紛開始導入新興金融科技技術,伴隨而來的是諸多資安風險。金管會建議公會增修訂新興金融科技資安自律規範,納入行動App、雲端服務、開放銀行、網路身分驗證(eKYC)及資訊服務供應鏈的風險評估等。

SourceZones 根據在市場多年的實務經驗,建議各金融機構在運用新興金融科技發展與創新業務的同時,必須考量相關資安風險,並兼顧服務安全性。此外,也應該強化金融供應鏈體系風險評估與管理,以降低企業可能的風險成本。

三、近期將發布「金融資安職能地圖」協助培育資安人才

除了內部觀念建置加強外,金管會也一直強調要「系統化培育金融資安專業人才」。金管會表示近期將會訂定人才培訓地圖,發布金融資安職能地圖給予各企業參考。

在培育金融資安專業人才部分,金管會將分為兩部分來思考與推動,一方面是鼓勵金融機構的資安人員取得國際資安證照,另一方面,是加強實務方面的訓練。會有兩部分的考量原因是,雖然各個機構都採購了許多資安設備,但資安人員卻對這些設備的使用了解及並不夠深入。因此金管會希望各機構可以加強實務上的使用經驗,發揮資安產品的最大效果。

四、強化資安人員處理資安事件應變能力

金管會預計在今年建置攻防演練場域,以強化資安演練廣度與深度。金管會強調希望透過此攻防演練場域,讓金融機構透過模擬演練,強化金融機構資安人員處理資安事件的應變能力,提升資安人才培育容量。

五、推動金融資安治理成熟度評估

此外,金管會開始推動「金融資安治理成熟度評估」,參考美國聯邦金融機構檢查委員會(FFIEC)訂定的CAT(Cybersecurity Assessment Tool)。希望可以協助金融機構可以評估自身的資安狀態。

截至去年底,金管會統計,國內已有超過8成(30家)的銀行業者,以及逾9成(39家)的保險業者,證券業則有13家業者,都已導入國際資安管理標準(ISMS)驗證;在持續不中斷部分,正推動國際營運持續管理標準(ISO 22301),以及將備援演練納入實際業務運作。

SourceZones 與您一起解決!

解析近九個月的執行效益,SourceZones 發現大多數的金融機構都已導入方案及措施,但實際上成效如何呢?根據我們上述的分析結果,看起來離金管會的目標還是有很大段距離。

源鋭資訊在金融、證券領域打滾多年,發現「資安與風險管理」一直是金融機構遇到的難點之一。雖然各機構擁有一套資安系統,資安犯罪事件還是持續在發生當中。舉例來說,在年初就有不少金融機構發生簡訊詐欺事件,可說是防不勝防啊!

SourceZones 擁有專業的顧問團隊及實力派的技術背景,加上多年的實務經驗,已打造出完整的資安監控與風險管理系統,致力可以協助強化各機構的資安效能。也許你會問:「你們的系統有們什麼不同的嗎?如何幫我們解決金管會的要求呢?」,接下來,讓我一一為您解答!

🔹 專業資安團隊

SourceZones 擁有強大的技術與顧問團隊,在金融領域具有深入與廣泛的專案執行經驗,擁有數名金融業、電商領域專家並嫻熟銀行、保險、財務管理作業流程及資訊系統結構,長期服務來自金融領域的各行各業。以確保您的企業在「資安」的規劃上,可以達到預期的效果並符合金管會之要求。

🔹 無痛導入技術

根據 SourceZones 這幾年的客戶反饋,我們了解到當他們(客戶)開發到一半的系統,突然要融入我們的方案,他們的考量點是什麼?無庸置疑,客戶最介意的是:「能不能成功與他們的系統達到 100% 建置!」。

透過我們前期的完整規劃流程,多次與客戶溝通討論,反覆確認需求等流程,我們充分瞭解客戶想要的是什麼,再透過專業的開發團隊擬定出符合客戶需求的方案,成功與客戶系統無痛接軌!

🔹 降低導入成本

當然,許多企業擔心整個流程會耗費過多的人力、資金與時間成本。這點 SourceZones 也為您考量到了!使用 SourceZones 的產品,可以幫您解決前期規劃的成本、資安人才的培訓成本、資安監控機制成本、系統建置開發的成本、系統維護成本等。

🔹 符合法規要求

SourceZones 對於金融領域的法規,具備十足的把握,我們透過專業金融知識,協助客戶在建置上可以輕鬆符合金管會的要求。我們也提供完整的顧問服務,幫助客戶解決在金融領域上遇到的困難。

想了解更多資安及風險管理方案嗎?趕快與我們聯繫

參考文章:

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s