【大纪元2023年04月25日讯】(大纪元记者侯骏霖台湾台北报导)全球金融资安情势过去2年出现不少变化,骇客不仅攻击金融机构本身,也锁定委外厂商、软硬体供应商当作跳板,这类攻击事件日益增加。金管会25日表示,银行公会4月10日已发布自律规范,希望借此强化银行业对供应商资安风险的管理。
金管会银行局副局长童政彰指出,金管会曾于2020年发布金融资安行动方案,因应整体金融服务业委外与跨业经营型态的发展,认为银行应增修有关供应链风险的管理规范,并纳入核心,建立包含资通系统软硬体的供应商与维运商、跨机构合作伙伴,相关的风险评估、边际防护、委外稽核等规范。
童政彰说,银行公会2021年订定金融机构资通安全防护基准,金管会认为尚未完整,故请银行公会再考量订定自律规范。他说,《金融机构资通系统与服务供应链风险管理规范》今年4月10日已函送银行公会成员,法规主要有五大重点。
第一,要求金融机构办理委外前,应该要分析、规划供应链资讯的相关安全事项;第二,要求银行选择供应商前,必须执行相关事项;第三,与供应商的委托契约或相关文件,有明列应约定事项。
第四,与供应商契约的存续期间,应注意哪些原则性规范,第7条就有相关规定;第五,供应商服务变更与契约终止时,要符合的相关事项。
由于管理规范中,第一类电脑系统是直接提供客户自动化服务,或营运有重大影响系统,例如分行柜台、ATM自动化服务、Swift系统等;第二类电脑系统是提供间接服务客户的系统,比方说银行作业中心、客服系统;第三类电脑系统即不会接触客户资讯,例如银行内部人资、财会、总务等。
童政彰指出,考量第二类及第三类系统,金融机构需有调整期,因此同意规范实施日(4月10日)起,给予一年的适用缓冲期。此外,条款也要求供应商必须要确保交付的资通系统或程式,没有恶意程式及后门程式,并且取得相关安全性测试结果及供应商安全性承诺,与券商自律规范一致。
