site logo: www.epochtimes.com

金融機構成勒索攻擊目標 銀行推自律規範聚焦供應商資安

人氣: 246
【字號】    
   標籤: tags: , , , ,

【大紀元2023年04月25日訊】(大紀元記者侯駿霖台灣台北報導)全球金融資安情勢過去2年出現不少變化,駭客不僅攻擊金融機構本身,也鎖定委外廠商、軟硬體供應商當作跳板,這類攻擊事件日益增加。金管會25日表示,銀行公會4月10日已發布自律規範,希望藉此強化銀行業對供應商資安風險的管理。

金管會銀行局副局長童政彰指出,金管會曾於2020年發布金融資安行動方案,因應整體金融服務業委外與跨業經營型態的發展,認為銀行應增修有關供應鏈風險的管理規範,並納入核心,建立包含資通系統軟硬體的供應商與維運商、跨機構合作夥伴,相關的風險評估、邊際防護、委外稽核等規範。

童政彰說,銀行公會2021年訂定金融機構資通安全防護基準,金管會認為尚未完整,故請銀行公會再考量訂定自律規範。他說,《金融機構資通系統與服務供應鏈風險管理規範》今年4月10日已函送銀行公會成員,法規主要有五大重點。

第一,要求金融機構辦理委外前,應該要分析、規劃供應鏈資訊的相關安全事項;第二,要求銀行選擇供應商前,必須執行相關事項;第三,與供應商的委託契約或相關文件,有明列應約定事項。

第四,與供應商契約的存續期間,應注意哪些原則性規範,第7條就有相關規定;第五,供應商服務變更與契約終止時,要符合的相關事項。

由於管理規範中,第一類電腦系統是直接提供客戶自動化服務,或營運有重大影響系統,例如分行櫃台、ATM自動化服務、Swift系統等;第二類電腦系統是提供間接服務客戶的系統,比方說銀行作業中心、客服系統;第三類電腦系統即不會接觸客戶資訊,例如銀行內部人資、財會、總務等。

童政彰指出,考量第二類及第三類系統,金融機構需有調整期,因此同意規範實施日(4月10日)起,給予一年的適用緩衝期。此外,條款也要求供應商必須要確保交付的資通系統或程式,沒有惡意程式及後門程式,並且取得相關安全性測試結果及供應商安全性承諾,與券商自律規範一致。

評論