金管會要求,符合此條件的上市櫃公司,需在2023年底前設置資安專責主管與至少一名資安專責人員。 針對第三級分類,也就是第一級以外的上市櫃公司,最近3年度稅前純益有連續虧損,或最近年度每股淨值低於面額,金管會則採取鼓勵這類公司設置至少1名資安專責人員,且無時間上的限制。 金管會資安 高晶萍表示,金管會也會提醒上市櫃公司,若有投資這類金融資產,有重大損失、或對股東權益或證券價格有影響,需要發布重訊,財報上也需妥適表達和揭露。 從分級標準來看,以第一級的條件而言,包含資本額100億元以上的大型公司,或是前一年底屬於臺灣50指數的高市值公司,同時,將電子商務與人力銀行產業納入。
隨著更多公司年報的揭露,在2021到年報刊印日,公司若有發布資安重大訊息,理論上在事件調查結果、影響程度的揭露上,會有更進一步的公開說明,同樣值得外界留意。 另外須關注的是,在我們檢視的10多家公司2021年報中,發現有一家上櫃公司,可能沒有注意新的年報規範,雖然在其他重要風險及因應措施上,有說明資安風險評估分析及因應措施,以及資安具體管理方案,但在營運概況的章節上,並未看到資通安全管理策略與架構方面的說明。 在京城銀行公布的資訊中,說明共有90名資安人力,包括去年12月新設資訊安全長一職,第二道防線資安推動單位3人,以及第一道防線資安執行單位86人,以及說明投入資安費用共1,284萬元;在統一超公布的資訊中,說明年度資安費用3,774萬,主要投入於網站防護、存取管理與安全性檢測的資安防護產品。 基本上,資安風險也是企業經營風險的一環,部分公司前幾年就開始主動揭露資安做為──早在臺灣政府的法規要求之前,已有少數企業會在風險管理的面向上,揭露資通安全風險及管理措施,台積電就是一例。 而活動當日平行論壇,更提供我國多家資服業者介紹其數位創新應用與雲端解決方案之機會,與亞太各國業者進行媒合,促成商機合作。
金管會資安: 金融FIDO、銀行產業金融FIDO可以做到全通路核身驗證中心、跨機構查驗認證機制、多租戶數位身分管理,快速便利的登入帳號,又能確保個人隱私不會洩漏於第三方。一般行業
一方面,金融機構在疫情期間,調整營運作業模式,改採分區辦公、異動辦公或居家辦公,因而出現了許多利用疫情發動的攻擊,例如偽冒客戶聯繫居家辦公同仁進行詐騙轉帳,或更多結合釣魚郵件及語音釣魚等社交工程攻擊的手法。 金管會在去年建置了情資管理分析平臺,到了去年7月更發布了情資分享辦法,以雜湊值、IP位址、網域名稱、網路/主機產物,一直到攻擊工具及攻擊手法TTP,來定義出情資影響力,希望能加速各會員的情資分享。 這個4年計畫,經過2年多的推動,在金管會資安監理、金融機構資安治理和資安作業韌性,資安聯防體系的提升和強化上,帶來了不少重大成果。
第三階段則是第一階段以外,近3年稅前淨利有連續虧損、或近1年每股淨值低於面額的上市櫃公司。 關於國際合作方面,他們在2018年與美國FS-ISAC合作,成為其全球情資分享體系會員,在2019年,也與日本F-ISAC簽署合作協議,並與歐盟FI-ISAC、以色列CERT-IL及南韓FSI建立情資交換管道。 證交所已發起多項協助上市櫃公司的行動,例如,今年起,將資安納入內部控制制度查核作業的選定稽核項目,不定期查核;將在上市櫃公司董事進修課程中,加入資安課程。 金管會資安 在近期修正法令的施行中,汪厚燊提醒,重大資安事件若預估損失超過公司股本2成,或是三億元,應即時發布重大訊息說明記者會。 疫情不只帶來考驗,也加速了金融創新與變革,零接觸金融進一步走向高峰,「今年底可望達到6兆臺幣!」金管會資訊服務處處長蔡福隆說。
金管會資安: 白話解釋如何開始金管會 36 項資安內控執行措施 – 「公開發行公司建立內部控制制度處理準則」
金管會對第三級沒有強制要求,鼓勵 266 家公司可設置至少 1 名資安專責人員。 第二級為第一級以外的上市櫃公司,最近 3 年度稅前純益沒有連續虧損,且最近年度財報每股淨值未低於面額者。 金管會統計,共有1321家上市櫃符合第二級條件,應在 2023 年底前設置資安專責主管及至少 1 名資安專責人員。 金管會統計,符合第一級條件共有 111 家上市櫃公司,應在 2022 年底前設置資安長及「資安專責單位」,該單位必須包含資安專責主管及至少 2 名資安專責人員。 蔡福隆點出,金融資安行動方案,也鼓勵金融機構,定期將核心業務改由備援中心執行,一段時間再切回原中心,如此發生問題時,業者才敢快速切換。
當金融機構終止或結束作業委託時,要確保能順利移轉至另一雲端服務業者,或者是移回自行處理,並且確保原受託雲端服務業者留存資料全數刪除或銷毀,還要留存刪除或銷毀記錄。 金管會資安 一是金融機構應確保本身、主管機關及中央銀行,或其指定的人能取得雲端服務業者執行受託作業的相關資訊,包括客戶資訊及相關系統的查核報告,以及實地查核權力。 林裕泰解釋,資安監控聯防(F-SOC)部分,正積極推動金融機構加入,目前參與F-SOC有44家金融機構,證券期貨業五家、銀行業30家、保險業九家,今年度還會擴大招募,希望持續提升量,今年目標家數是50家,將比去年增加六家。
金管會資安: 上市櫃公司接連被駭客攻擊!金管會:三大面向強化資安
近年來,國內金融機構的資安問題頻傳,引起立院財委會的關注,因此,邀請金管會、央行及財政部等單位進行專案報告說明。 金管會資安2023 金管會證期局副局長高晶萍表示,後續有針對此事進行檢討,主因當時券商還未完全落實登入系統採雙因子驗證,讓駭客有機可趁,證交所已要求所有券商改善;截至今年6月底,所有券商均已完成登入系統採雙因子認證。 金管會資安 例如金管會推動由上而下的資安聯防機制,就是以最佳示範為目標來實作,後來也果真成了醫界參考的聯防作法。
所以,不能只是金融機構各自有備援機制就夠,恐怕還需要第三方儲存機制,這樣會更安心。 雖然金融機構有備份與備援機制,但是,不能確保百分之兩百的安全,所以,金管會希望能透過第三方來保存關鍵的金融資產資訊,比如顧客在銀行的最終存款餘額等。 信任需要累積,所以,黃天牧提到,一開始F-ISAC先向國外購買情資,再分享給會員機構,比如F-ISAC會分析美國、歐洲、亞洲的重要資安趨勢,提醒會員機構所需注意的地方。
金管會資安: -具 FIDO 國際身分認證 高強度安全性-跨平台、瀏覽器、系統,滿足企業彈性身分認證方案-支援多達25個的認證系統
從2014年開始,星展銀行推動Gandalf轉型架構,強力投資科技軟實力,大幅擴大資訊人員的規模,改變資訊人才在組織中的占比,展現了推動數位轉型的決心。 截至今日,星展所有系統開發、維運等IT作業,9成是由自家IT人員負責,有超過1萬名IT人員,換句話說,全集團總員工數約2.9萬人中,資訊人員占比已經超過三分之一。 中國信託銀行在今年10月進行2021數位金融大調查,抽樣調查了中信銀行20歲到64歲的顧客,總計回收950份有效網路問卷,並在近期發布調查報告。
- 這幾年持續發生的許多資安事件,突顯這已是常態發生的情況,加上政府近年持續推動資安即國安的政策,因此,行政院與金管會都相當重視這方面的議題,而且,不只是政府需要資安,產業也需要資安,於是,基於這樣的背景之下,政府要求臺灣證券交易所(證交所),以及證券櫃檯買賣中心(櫃買中心),成立「強化上市櫃資安措施任務小組」。
- 洪組長提到全台目前還無人將線上點燈整合 ERP 系統,所以部分流程仍須仰賴人工。
- 金管會提醒,應於今年底前完成資安人力設置的上市櫃公司,應適當評估面臨的資安風險及需求,儘早規畫安排需投入的設備資源及配置資安專責人力,若有必要調整內部組織架構或人員職務,應配合修訂相關內控制度並提報董事會通過後實施,以提升資安防護能力。
- (中央社記者謝方娪台北28日電)金管會今天公布2021年至今,金融三業(銀行、保險及證券期貨業)發生3件重大資安事件,包含去年券商複委託下單系統遭駭客撞庫攻擊、今年6月固網電信業者網路服務斷線以致券商及期貨商下單系統異常等。
- 其中,第一階段為資本額逾100億元、前一年底為台灣50指數成分股、主要經營電商媒介商品或服務的113家上市櫃公司,須在2022年底完成指派資安長並設置資安單位,資安單位必須包含資安專責主管及至少2名資安專責人員。
- 第二級為第一級以外的上市櫃公司,同時最近 3 年度稅前純益沒有連續虧損,且最近年度財報每股淨值未低於面額者。
Ans:從第五點開始,從內、外、上、下四個層面的資通訊環境皆須採零信任思維,重新檢視,納入資安自律規範,並詳細計畫、記錄、嚴密監控管理與稽核。 「資安不是各別金融機構的問題。」所以,金管會在2017年推動建置F-ISAC(金融資安資訊分享與分析中心),由財金公司負責維運,目的就是要把每一家金融機構在資安受影響的資訊集中,進行整體分析,再提供給其他會員機構參考。 如同銀行資安控管要求一項,金管會第七項要求是,金融機構應訂定緊急應變計畫,降低因作業委託而可能有服務中斷的風險。
金管會資安: FIDO 數位身分-無密碼登入
金管會主委黃天牧 6 日在立法院答詢時表示,3 月底已發函各金融業者,提醒注意 ChatGPT 可能引起的資安、個資風險。 初期,金管會將先研議資料保全機制的可行方案,建立一套作業程序、標準、資料格式規範等,更重要是與金融機構形成推動的共識,找出一個安全及經濟有效的模式。 為了讓資安聯防發揮得更徹底,金管會也祭出了新政策,包括鼓勵金控建立電腦資安事件應變小組(CSIRT),推動公會與周邊單位建立資安應變支援小組,以及整合F-ISAC聯防。 黃天牧透露,這將是金融資安行動方案第3年的規畫,要讓資安應變機制也能資源共享。
首先,由於2021年9月時,銀行、保險、證期業者已先受規範,要求指派副總以上層級擔任資安長,成為法規明訂條文,緩衝期限是到2022年3月底。 關於上市櫃公司應配置資訊安全人力的一定條件,金管會已有規範,將採循序漸進方式推動辦理,總共分為三級,實施範圍與時程如上表所示。 若從產業別來看,當中其實包含了水泥、食品、電機、汽車、電信、海運與金融保險業,以及半導體、光電、電子零組件與電腦及週邊設備等。 2021年金管會修法,只要近三年度稅前純益沒有連續虧損,最近年度財務報告每股淨值未低於面額者,都是符合第二級規定的公司,必須在2023年前,設立資安專責主管和至少一名資安專責人員。 儘管疫情逐漸退燒,線下參拜人潮陸續回籠,但洪組長透露,現在四、五十歲以下的香客早已習慣線上服務,他直言:「就算他們來拜拜,也懶得排隊點燈。」而奉天宮自推出線上服務以來,每年的線上服務使用人數已成長 6 倍以上,印證了線上服務已成趨勢的現實。
金管會資安: 金管會︰3大類公司 年底前須設資安長
其次,將推動上市櫃公司加入所屬領域ISAC,或是TWCERT/CC,促進資安情資分享。 汪厚燊表示,目前國內的資安情資分享平臺,包括金融領域的F-ISAC、科技領域的SP-ISAC、醫療領域的H-ISAC、能源領域的E-ISAC、通訊領域的C-ISAC、交通領域的T-ISAC。 由於上市櫃公司產業不同,還有其他沒辦法加入上述專屬領域,他們將推動公司加入不限產業均能加入的TWCERT/CC,鼓勵免費申請成為會員。 首先,由於上市櫃公司產業特性不一,規模大小也不同,因此,證交所2021年底訂定上市櫃公司資通安全管控指引,讓企業能夠在資安管理的規畫上,有步驟與項目可作為依循,當中亦包含許多注意事項,像是委外須注意哪些事情,而在資安通報應變、情資評估,以及如何持續精進,也都有提供相關建議。 針對提升上市櫃公司對資訊安全的重視,臺灣證券交易所副經理汪厚燊表示,主要從3大面向來促進與協助,透過資訊公開、公司治理與監理協助這些層面,推動不同產業公司強化資通安全防護。 這幾年持續發生的許多資安事件,突顯這已是常態發生的情況,加上政府近年持續推動資安即國安的政策,因此,行政院與金管會都相當重視這方面的議題,而且,不只是政府需要資安,產業也需要資安,於是,基於這樣的背景之下,政府要求臺灣證券交易所(證交所),以及證券櫃檯買賣中心(櫃買中心),成立「強化上市櫃資安措施任務小組」。
另為積極協助上市(櫃)公司完善資通安全防護及管理機制,證交所及櫃買中心並已訂定資通安全管控指引供公司參考。 至於資訊安全綜合險保障範圍較全面,包括被保險人受網路攻擊、電腦勒索或管理錯誤行為等所致財產損失,以及對第三人個資受侵害等等的賠償責任。 金管會已經定調開放銀行(Open Banking)採取香港模式,由業者自願,分三階段先後開放銀行商品資料查詢、客戶資料查詢和交易資料。 負責訂定OpenAPI共通標準的財金公司,在7月3日首度對外發表了初版標準,第一個使用OpenAPI的第三方應用也預計在8月登場。 金管會也採取這種國際慣用的委外監督方式,納入這次委外辦法修正上,允許銀行業者,可以視情況需要委託專業第三人輔助監督作業。 不只如此,多家使用同一個雲端供應商的銀行業者,還可以聯合委託具備資訊專業的獨立第三人查核,這也減輕了銀行業者的負擔。
