近年來,我們在台灣社會看見資訊安全越來越受到重視,從消費者端延伸到有數位經營的公司,都無法忽視資訊安全防護機制對企業營運及消費者利益與保護的效益;甚至連政府都頒布條文欲將企業資安內控付諸實行。台灣在去(2021)年12月28日,金管會就宣布了新版的「公開發行公司建立內部控制制度處理準則」正式開始施行,裡面包含了 36 項資安內控措施;到底什麼是「公開發行公司建立內部控制制度處理準則」內的資安內控措施?本文從網路資訊安全服務提供商的角度,以白話解釋如何開始金管會 36 項資安內控執行措施及相關的公司內控處理準則之資訊安全解決方案。
金管會 36 項資安內控措施 – 「公開發行公司建立內部控制制度處理準則」
一、推動一定規模金融機構或純網銀設置資安長(CISO)
二、鼓勵遴聘具資安背景之董事、顧問或設置資安諮詢小組
三、開辦董監事資安教育訓練專設課程
Ans:需由至少副總級以上人員擔任資安長,且能與企業 IT 的技術負責人區隔,以便取得足夠資源執行資安防護相關措施,並避免球員兼裁判可能產生的弊端;另一方面,能將企業對資安的重視程度提高至董監事層級,且在企業內設置負責資安的組織,有專責的資安人員不斷地循環檢視及計畫資安執行措施,並與國際資安腳步接軌,保證企業能具備面對資安危機的臨機應變能力,應先從配置足夠的資安資源開始。
四、定期檢視現行資安風險因子與金融監理工具連結之有效性(如新業務申辦准駁、資本計提、存保費率、安定基金費率等)
Ans:金融監理工具必須進一步納入資安風險因子的考量來檢視各項工具功能的合理、安全與程式語法上的嚴謹與驗證稽核功能,以降低金融監理工具產生資安危機的機率;應聘僱有能力做攻防演練之技術人員或資安服務廠商,從攻防演練來測試各項環節聯結之安全並進行修補或防禦。
五、增修訂資安自律規範,納入網路安全防護及資訊系統安全防護基準內容
六、訂定金融業電腦系統組態基準及資訊系統安全的發展生命週期相關防護基準等參考指引
七、增修訂資安自律規範,納入行動應用程式(APP)、雲端服務、開放銀行 OPEN API、物聯網、網路身分驗證(eKYC)等新興科技安控規範
八、增修訂資安自律規範,納入核心資訊系統供應商及跨機構資訊服務之風險評估及查核等管理機制
Ans:從第五點開始,從內、外、上、下四個層面的資通訊環境皆須採零信任思維,重新檢視,納入資安自律規範,並詳細計畫、記錄、嚴密監控管理與稽核。(包含企業對內部及對外部的所有資通訊環境,小從使用的系統、軟體、應用程式,到系統與服務的獲得來源、存取控制權限與稽核制度,採用的新興科技、跨機構組織的資通訊服務,到全面性的系統架構是否符合 BCP)可從以下措施開始:尋求專業資安稽核組織協助建立內部之資安自律規範、採用嚴格有認證之軟體系統安全檢測服務,並採用兩家以上之服務確保公正客觀,如:源碼掃描、網站系統掃描等…工具。
九、推動本會資安人才培育計畫
十、提升中高階主管資安知能
十一、定期因應新興業務調整資安檢查重點
十二、提升資安檢查人員專業技能,以利檢查作業
十三、鼓勵金融機構導入國際資安管理標準及取得相關驗證
十四、研議訂定金融機構資安治理成熟度評估方法
十五、鼓勵金融機構辦理資安治理成熟度評估
十六、鼓勵金融機構建置資安監控機制
十七、訂定金融資安人才職能地圖
十八、協調周邊單位開設金融資安人才養成專班
十九、鼓勵金融資安人員取得國際資安證照
二十、建置金融機構演練試驗場域,設計訓練教材及自動化攻擊機制,並辦理攻防演練訓練課程
二十一、訂定金融作業韌性參考規範 四年
二十二、鼓勵金融機構導入國際營運持續管理標準及取得相關驗證
Ans:將資安觀念及習慣制度化及普及化;不僅財務、品牌需要有風險控管,資安也須納入風險控管制度。從以下項目開始:提升資安人員專業技能、建立組織、建立治理制度、建立監控及稽核制度,建立持續更新的相關課程與證照,確保資安人員的專業程度,並能評定機構及企業資安治理的成熟度。
二十三、鼓勵一定規模金融機構於異地備援演練時,納入實際業務運作驗證
二十四、定期辦理金融機構 DDoS 或其他資安攻防演練
二十五、研議辦理金融資安攻防演練競賽
二十六、規劃並辦理重大資安事件應變情境演練
二十七、研究核心資料類型、資料格式標準、資料安全保存及取用等運作機制及安全標準
二十八、視研議結果推動成立資料保全中心,並分階段推動試辦
二十九、建立資安情資關聯分析平台,提供金融機構早期預警與防護建議
三十、加強與國際金融資安機構合作或簽訂 MOU,掌握國際金融資安情勢
三十一、鼓勵金控建立電腦資安事件應變小組,提供集團內成員必要協助
三十二、推動周邊單位或公會建立資安應變支援小組,適時協助業者處理資安事件
三十三、建立因應重大資安事件,跨機構支援協處應變體系
三十四、建置聯防 SOC 及訂定資安監控作業標準
三十五、推動金融機構 SOC 與聯防 SOC 協同運作
三十六、研議導入 AI 分析機制,進行警訊及事件關聯分析
Ans:以達成 BCP 為依據準則來即時與國際資安腳步接軌,定期進行資安危機之演練,且建立資安危機應變中心,保持動態面對資安危機,並與相關資安專業機構採取聯盟機制,共同針對資安危機準備臨機應變之能力,並開始導入 AI 分析,加速未來應變速度。
上述這 36 項措施源於金管會「公開發行公司建立內部控制制度處理準則」第九條之一提到的資安行動方案,金管會副主委邱淑貞表示,這些措施分別從四個面項及二方面切入並提供指引,四個面項:強化主管機關資安監理、深化金融機構資安治理、精實金融機構資安作業韌性、發揮資安聯防;二方面:(一) 現有資安再優化精進措施,如檢視資安風險因子與金融監理工具連結的有效性、增修訂新興金融科技資安規範等;(二) 規劃資安新思維方向,如推動一定規模金融機構或純網銀設置資安長,強化金融資安韌性,建立資安應變體系等。也著重強化新興科技的資安防護,邱淑貞建議公會增修訂資安自律規範,納入行動應用程式 (APP)、雲端服務、開放銀行、OPEN API、網路身分驗證 (eKYC) 及資訊服務供應鏈的風險評估等當前關注議題。
話說回來,簡單白話能理解的就是,一切的營運及服務只要有牽涉到數位,資訊安全絕對是不可抹滅的重點項目,且在未來是重點中的重點,因為資安能影響一間公司甚至一個服務的存活,並延伸影響到使用者與消費者,金管會亦認為,「沒有百分之百的資訊安全,所以必須建立平時與終極防護能量」;因此,企業、機構,都必須從 BCP 的最高原則來建立資安防護的心法,而這 36 項措施則是提供大家建立資安防護心法的 guideline,若是一個小服務,也不必把 BCP 為前提之下資安防護措施建造想得太高大尚,有第一步行動開始才是最重要的,而第一步,不一定是最難,因為,資訊安全防護其實就在每個人身邊,從資安的新聞固定分享來培養人員的資安意識,或是採用防疫實戰包的傳輸加密、資料備份,都能是一步開始,事情往往是這樣的,有了開始,後面就更容易水到渠成,也建議大家,在資安防護建立的這條路上,除了採用一些服務開始以外,人員定期的資安敏感度培養,以及加入資安相關協會、組織、社群或與資安服務廠商保持良好的往來管道,以即時更新資安危機消息、形成聯防結構,更能在真正遇到資安危機時,具備更快速的應變能力與抵禦能力!
相關參考網頁及文件下載點:
防疫實戰包 – https://cloudmax.tw/3nQFvYK
2021 中小企業持續營運計劃入門手冊 – https://cloudmax.tw/3g2UdHl
金管會資安內控行動方案懶人包 – https://cloudmax.tw/3G6FO7O
歡迎轉載!請見:轉載原則。
Photo by Scott Graham from Unsplash