根據資通安全管理法規定,包括三家國營銀行及財金公司在內,已被要求必須訂定衝擊容忍度,之前有國營銀行提報4小時,被金管會打回票,要求改為2小時。
知情官員表示,根據資通安全管理法規定,國家重要基礎設施必須依規定訂定資安維護計畫,台銀、土銀及輸銀,還有像財金公司、證交所等單位,都屬於國家重要基礎設施,必須適用資通安全管理法規定。
據了解,之前有國營銀行提報的資安維護計畫中,對於衝擊容忍度的時間是訂4小時,結果被金管會要求調整為2小時。
官員表示,資通安全管理法適用的銀行,只有三家國營銀行,其餘銀行並不適用,因此,未來金管會將透過銀行公會自律規範方式,要求所有銀行都必須訂定衝擊容忍度。
官員指出,網路銀行業務愈來愈普遍,銀行資安維護更顯重要,為強化銀行資安,除透過公會訂定衝擊容忍度外,金管會也要求各銀行,每年必須自行找外面的資訊廠商,做滲透測試。
行政院資安處跟金管會資訊服務處也找過幾家民營銀行,做模擬攻擊演練,藉此促使銀行對資安維護更加提高警覺。
英、法等國外監理機關近來也將資訊系統等作業風險抵禦能力,列入監理重點,金管會要求五家在英國設有分行的台資銀行,必須將因應當地新規定的相關作為,提報總行後執行。
金管會主委顧立雄今年7月率團訪問歐洲時,與法國監理機關進行雙邊會議時,法國方面說明已將網路安全列為優先監理重點,衝擊容忍度是2小時。
金管會在拜會英國審慎監理總署(PRA)時,英國方面也說明,將強化作業風險抵禦能力,列為今年到明年的監理策略目標。
英國相關監理機關已發布「建構英國金融業之作業風險抵禦能力」討論文件,重點包括要求金融機構應辨識其核心業務、 設定衝擊容忍度等。
由於台資銀行英國分行,大多使用母行的資訊系統,因此英國監理機關未來將加強與母行及母國監理機關的溝通聯繫。
在英國設有分行的台資銀行,也向金管會說明,「建構英國金融業之作業風險抵禦能力」討論文件,強調銀行對客戶提供金融服務及IT,如何確保營運不中斷,以及若系統發生問題導致營運中斷將如何即時修復,預計在明年完成整體監理架構。
沒有留言:
張貼留言