政府機關設置資安長已行之有年,但國內企業一直未能出現這樣的風潮,因此,從2017年開始,對於國內產業對於設置資安長(CISO)的議題,開始持續受到熱烈的探討,期望驅策各產業公司增設資安管理高層,以利資安政策推動與資源協調。 蘇貞昌說,金融業高度利用資訊科技,營業模式與各項金融服務,也隨著數位時代來臨而日新月異,政府也因應這樣的趨勢,做出與時俱進的法制修正。 例如,在7月30日院會中通過的「電子支付機構管理條例」,開放跨機構間互通的金流服務,增加民眾支付的便利性。 金管會副主委邱淑貞在行政院會後記者會說,目前規劃希望規模比較大的、資產在1兆元以上的金融機構設置資安長,金融機構的資訊安全不只在前台交易,中台風險管理、後台稽核全部都跟資訊安全有關。 為強化金融業資安防護能力,金管會已啟動「金融資安行動方案」計畫,透過「強化主管機關資安監理」、「深化金融機構資安治理」、「精實金融機構資安作業韌性」及「發揮資安聯防功能」4個面向,提出共計36項資安措施。 (中央社記者謝方娪台北27日電)強化金融業資安,金管會銀行、保險與證期局今天公布內控法規修正草案,明定符合條件的業者須設副總以上層級資安長,待法規上路,業者將有6個月調整期,預估最晚明年第1季65家業者都會設置完畢。
基本上,現在新成立的台灣資安主管聯盟,可看做去年高科技資安聯盟的擴大版,出席支持聯盟成立的行政院副院長沈榮津也指出,這樣的團體不只是高科技業需要,需擴及其他產業。 金慶柏表示,加入聯盟不需要繳會費,而未來會透過使用者付費的方式來進行 。 第三,資安產業服務能量鏈結,臺灣約有400家資安產品與服務廠商,年營收共約530億元,未來須著重在CISO的角色與相關資安服務能量鏈結。
金管會資安長: 金融業明年金檢重點 大股東干政、資安、防詐入列
近年來,資安成熟度的概念已成主流,現在我們看到金管會也期望推動相關機制,而他們又是如何進行? 這是要求組織重視資安的另一個作法,同時也讓金管會,有能力掌握金融業者資安現況。 目前,已有幾家金融業者和上市櫃公司,早一步在今年公開的年報中,自行先揭露了資安策略。
例如,一開始可能以因應CISO需求為主,之後再讓更多資安產業公司成為贊助會員,甚至共同促進資安產業能立足臺灣,面向全世界。 美國以聯邦機構為主,所影響的是帶動了相關資訊產業的產品和環境必須擁抱零信任架構,美國國防部更是訂出了一套零信任框架與藍圖,對於商用雲端服務更有一套詳細的零信任規範,這都間接帶動了資訊業者擁抱零信任。 另外,2.0版將修訂與第三方合作風險評估相關的規範,也可以讓不同金融機構都有一套共同的TSP風險評估方式,可以讓TSP有一套基本的資安風險要求基準,這也是擴大生態圈的另一個重要基礎。 新制共有兩大重點,第一,各服務事業符合一定條件者,應指派副總經理以上或職責相當人選兼任資安長,綜理資安政策推動和資源調度事務,並須於新制施行後6個月內調整完成。 (中央社記者謝方娪台北7日電)金管會今天表示,證期局、銀行局將在9月下旬正式發布資安新規,新制上路後,尚有17家證券業者和25家銀行最晚須在2022年第1季設置資安長。
金管會資安長: 資安長如何做好在董事會任職的準備
金控、銀行業者已全數設置了副總層級資安長,營收兆元以上的保險業者也已落實,證券則是分級進行。 金管會也將這個成功經驗,進一步推廣到上市櫃公司,在去年宣布,鼓勵上市櫃公司分三級設置專責單位與資安長。 找到屬於自己的平衡 金管會資安長2023 在數位化轉型下,資安很多工作環節都與資訊安全相關,除了處理與其他單位間的工作問題外,還隨時加三不五時出現事件通報,資安長簡直要像超人般的能力,才能應付這些接踵而至的問題與緊急狀況,因此資安長就像英雄電影中,維護地球和平的超人般扮演著保護企業數位世界的安全。 例如,讓合規、有效之間達到平衡,讓單位間,內外衝突化解以求平衡,業務與資安的平衡。 這個平衡,不是齊頭式,全部一視同仁的平衡,因為人的時間、資源有限,不可能兼顧所有事物,所以要按照重要性去妥善分配資源。
例如,除了上述的公司需發布重大資安事件重大訊息,在年報資訊需揭露資通安全管理作法,金管會在11月25日,公布另一項法規命令修正的預告,要求上市櫃公司配置適當的資安人力,將進一步規範公司在資安治理面,需建立一定的基礎。 在此當中,將依據公司規模與經營能力,做出不同要求,以第一級而言,符合資本額百億元,前一年底屬台灣50指數成分公司,或主要經營電商、人力銀行等條件的上市櫃公司,必須在2022年底之前,設置資安長並成立專責單位,預計此修正草案將在通過預告期後,也就是明年初,就會正式發布施行。 身為全球知名高科技公司,華碩集團也致力推動資訊安全管理組織與政策,並在為強化企業永續經營前提下,已成立資安管理委員會並由執行長監督管理。 目前,資安管理委員會已推動 ISO 管理系統,建立符合國際標準的管理程序,規劃、執行及檢討內部的資安活動,驗證各項活動及其相關結果,以符合資訊安全管理系統之目標要求,藉以掌握公司資訊安全的可能缺失,適時執行矯正行動及追蹤確認,確保其有效性及持續之改善。 符合上述三項規定的公司都是臺灣最賺錢的企業,依據法令要求,應該都已經在2022年底前,設立資安長和成立至少兩名資安專責人員的資安專責單位。 華碩集團的資安管理委員會成員是不同領域專家所組成,透過固定舉辦例會以進行內部團隊持續分享,並由執行長對資訊安全策略進行監督,加速新政策佈達與各單位意見溝通的機制建立。
金管會資安長: 台灣大、中華電信科技減碳 助企業綠色轉型
資深技術顧問許力仁也提到,以往DDoS平均100Gb的攻擊流量,到去年已達400Gb。 以香港、新加坡發的例子來看,即便ISP業者提供流量清洗的服務,但當攻擊超過70Gb時,為不影響到其他用戶,ISP業者還是會直接停止受害者的網路服務。 此外,他也提醒像HTTP GET Flood這類的應用層攻擊,還是得靠WAF應用程式防火牆進行阻擋。 如果是用AWS這的雲端服務,雖然供應商有提供WAF防護,但如何與本地端的WAF進行一致性的分析,則成為企業在雲端應用的另一個難題。 實務上像IPS、IDS等網路安全設備,為避免警示訊息過多造成判讀上的困擾,一般都都會調整為僅顯示高風險威脅。
- 另外,在深化核心資料保全上,金管會也將針對各業別,訂定核心系統備援的演練指引,例如針對重要檔案,除了自己儲存,還需要有更多備份或雲端儲存,來保障客戶財產資料。
- 找到屬於自己的平衡 在數位化轉型下,資安很多工作環節都與資訊安全相關,除了處理與其他單位間的工作問題外,還隨時加三不五時出現事件通報,資安長簡直要像超人般的能力,才能應付這些接踵而至的問題與緊急狀況,因此資安長就像英雄電影中,維護地球和平的超人般扮演著保護企業數位世界的安全。
- 從超前部署思維,到成為最佳示範的堅持,都是金管會資訊服務處不斷追求金融革新的動力。
- 為此,2021 年華碩集團在 TWNIC 協助下,籌組「高科技資安聯盟」,涵蓋上游的 IC 設計、封裝測試、系統組裝等,目前只有 10 家台灣高科技業者受邀加入。
- 「學生時期,我讀的是海洋船舶相關科系,因為對控制領域有興趣而進入太空產業」林致宏分享個人職涯歷程並指出,太空產業需要的人才非常廣泛,包含軟體、硬體、電機、通訊、物理、數學、天文等不同領域,任何對太空這個產業懷抱夢想和熱情的人,都可以在太空領域發揮所長,找到自己的一片天。
- 國民黨新北市立委參選人蔣欣璋也說,政府必須更積極查驗進口食品,嚴加防範不符合食安商品流入市面,不能被動地等到民眾買回家、吃下肚,看到新聞才知道吃下有問題的食品。
隨金融科技發展,金管會推進第二階段監理科技運用,將責成銀行公會研擬對本國銀行流動性建立預警指標,可望讓銀行資金調度更有效... 二、揭露位置和時點,金管會將修規、規範上市櫃公司的年報上,需新增「永續資訊專章」,並提前與財務報告同步,均在每年3月做公告。 「永續資訊揭露」可看出一家企業執行永續的真實情況,若僅是很模糊敘述,減碳目標就存疑,若是很精細敘述或量化,顯示該企業有能力減碳,投資人可依此做投資判斷,機構法人對該企業ESG投資評等也會有異。 企業接軌國際、在年報上揭露永續資訊後,金管會指出有四大效益,一、有助企業納入國際指數成分股及ESG評等,國際能見度增加,二、吸引更多永續資金投入台灣,三、防止企業「漂綠」,四、加速永續轉型和承諾。
金管會資安長: 金融消保
繼9月金管會明文規定,符合一定規模的金融業者必須設立資安長,當時估計可能有65家銀行、保險公司,證券商、期貨商、投顧業者,將依法設立資安長。 最近金管會將資安長與專責單位的要求,延伸到上市櫃公司,他們針對3種資格的企業,分別要求配置指定的資安人力與資源,希望企業能因此更加重視資安。 在「資安人力設置」這塊上,政府在 2021年12月28日 金管會資安長2023 正式施行「公開發行公司建立內部控制制度處理準則」,此規定只要符合一定條件者,則需「分別設置資安專責單位、資安專責人員以及資安長」,簡單來說就是「只要公司有賺錢,就要有相對的資安規範與資安長的設置」,藉此降低企業發生重大資安事件的後續影響。 金管會提醒,應於今年底前完成資安人力設置的上市櫃公司,應適當評估面臨的資安風險及需求,儘早規畫安排需投入的設備資源及配置資安專責人力,若有必要調整內部組織架構或人員職務,應配合修訂相關內控制度並提報董事會通過後實施,以提升資安防護能力。 零信任的重要性:基於網路與數據的複雜度提升,企業必須全面考量設備及使用者身份識別安全,零信任策略不僅能保護資產不受攻擊,更同時提升企業資安與生產力。
- 不管是威脅攻擊,還是新任務的指派,唯有將它們視為日常工作的一部分,隨時做好心理準備,將更有助資安長們有更多的餘裕空間與時間,找到屬於自身與安全的平衡。
- 45%的受訪者表示目前公司的資安長是向資訊長彙報,17%則是向執行長彙報,另外有11%則是彙報給營運長;進一步詢問受訪者認為資安長應該彙報給誰?
- 金管會對第三級沒有強制要求,鼓勵 266 家公司可設置至少 1 名資安專責人員。
- 在修訂的法規後,符合規模百億元,或主要經營電商等條件的上市櫃公司,共約111家,將需於2022年底設立資安長並成立專責單位。
- 創立於 1989 年的華碩集團,以提供頂尖主機板起家,隨後跨足至高品質的個人電腦、螢幕、顯示卡、路由器等,至今已成為全球知名的跨國科技企業,可提供個人、企業所需的全方位科技解決方案。
- (中央社記者余祥台北17日電)金管會今天在行政院會上報告「金融資安行動方案」,將推動規模比較大、資產在新台幣1兆元以上的金融機構設副總層級的資安長,至於是專任或兼任,則由銀行依照業務需要決定。
- 全球科技風險十年最高 首先就威脅攻擊來看,BSI英國標準協會台灣分公司總經理蒲樹盛舉曾預測出金融海嘯、ISIS組織興起的世界經濟論壇報告為例,2018全球風險中科技風險高居第二,這在過去十年從未有過,而科技風險中又以網路攻擊佔第一位。
也希望藉由這樣的交流,達到某種程度的產業虛擬聯防,大家一起為客戶提供更安全的金融服務來努力。 全球科技風險十年最高 首先就威脅攻擊來看,BSI英國標準協會台灣分公司總經理蒲樹盛舉曾預測出金融海嘯、ISIS組織興起的世界經濟論壇報告為例,2018全球風險中科技風險高居第二,這在過去十年從未有過,而科技風險中又以網路攻擊佔第一位。 蒲樹盛進一步指出,像目前IoT裝置未能蓬勃興起的原因之一在於網路頻寬不足,但在今年5G的規格確定後,明年開始上線測試,預計後年普及,網路頻寬的增加也將帶動另一波IoT裝置的大量使用。 以心律調節器為例,以往在不用聯網的封閉環境下使用較無安全風險,一旦聯結網路後,經檢驗竟有高達8,000個漏洞。 而這些不安全且為數龐大的IoT裝置,當然就成為駭客發動DDoS攻擊的最佳工具。
金管會資安長: 金融資訊
一旦發生重大資安事件,就會對公司營運帶來損失,但資安長如果不懂公司的業務,就無法判斷資安事件對公司營運影響的範圍有多大。 所以,李維斌口中的「讓公司活下去」,其實背後所隱含的意義就是:公司的資安長,對於公司業務也必須有掌握的深度和力度。 由資訊安全治理、管理與稽核三個層面切入,並從組織營運的角度思考資訊安全,藉由策略規劃、專案的執行與維運落實資安。
證期局副局長郭佳君也指出,「證券商」實收資本額達新台幣100億元以上、或電子下單達一定比率的券商(包括:網際網路下單加計電子式專屬線路下單(DMA)成交金額達公司成交金額60%、經紀業務成交金額市占率達全市場2%,且自然人客戶數達公司客戶數50%者)必須設資安長。 高科技產業,近幾年遭到駭客組織攻擊時,幾乎都只能獨立對抗,華碩因此籌組台灣高科技資安聯盟。 金管會資安長 該條款明訂:公司要敘述說明包括資通安全風險管理架構、資通安全政策與具體管理方案,以及投入資通安全管理的資源。 而這裡的資源,包括人力、作為與預算,例如投入人員總數、相關會議召開次數,或是投保情形等。
金管會資安長: 金融資安重固本與新科技風險,金管會下一步推軟體供應鏈安全
不只有助於氣象預測,「獵風者」更是臺灣太空史上的重大里程碑,其高達 82% 的自製率,充份展現臺灣發展太空產業的技術和實力,對於實現臺灣整體太空產值在 2029 年衝到兆元大關的目標,又更有信心。 IRent、格上租車陸續發生個資外洩事件,繼交通部公路總局開罰後,證交所今也對和泰汽車、和潤、裕融3家公司違反內控制度,... 本次年會另一個探討的焦點,則是與智慧裝置有關──這些裝置促成了Society 5.0、虛實整合系統(CSP)等趨勢,但也帶來新的資安問題,而需要駭客之間通力合作,推進資安的發展。 在新版準則中,第十八條營運概況記載事項中,增訂第六款(原第六款移為第七款),就是主要對資安資通安全的要求。 由上述三點來看,這意味著,公司從明年2022年(111年)開始編製的年報,也就是從2021年(110年)公司年報起,將需載明上述資安管理作為。 零信任架構雖然全球火熱,但美國、歐盟等都以政府機關為對象來推動零信任架構,只有少數如新加坡是鼓勵關鍵基礎設施提供者在關鍵系統上採用零信任架構。
第三級為第一級以外的上市櫃公司,最近3年度稅前純益有連續虧損,或最近年度每股淨值低於面額。 金管會對第三級並沒有強制要求,而是鼓勵266家公司可設置至少1名資安專責人員。 第二階段是要求其餘上市櫃公司,除了最近3年稅前純益連續虧損或最近1年度每股淨值低於面額者以外,應在2023年底前配置資安主管及資安人員。 (中央社記者謝方娪台北23日電)金管會今天首度召開金融機構資安長聯繫會議,會議上達成強化供應鏈資安韌性、共同提升資安聯防效能2大共識;另若228連假期間發生異常資安事件,必須在30分鐘內通報金管會。 第三級為第一級以外的上市櫃公司,最近 3 年度稅前純益有連續虧損,或最近年度每股淨值低於面額。
金管會資安長: 銀行員洩客戶個資 金管會:可重罰5千萬
在1.0版要求下,截至去年底為止,銀行、保險和證券業共有75位資安長,金管會將定期舉辦這群資安長的聯繫會議。 而且未來將不只這個人數規模,金管會將要求交易量達到一定比例的業者也要設置資安長。 為提升金融機構客戶對金融系統對抗災難性事件的信心,金管會也參考美國推動的「避風港計畫」概念,研議資料保全運作機制,包括資料保護、資料可移性、資料復原性及關鍵服務持續性等項,視研議結果評估推動方式,達成保護最關鍵資訊之終極目的。 金管會資安長 〔記者王孟倫/台北報導〕金管會昨公布「金融資安行動方案」,共四大面向、26項新增資安措施;其中,凡資產達一定規模的金融機構,2021年底前,須強制設置資安長(副總經理層級),符合標準的有17家銀行、3家純網銀、8家保險公司及3家證券商,合計31家。
金管會每半年,也會針對證券市場舉行一次會測,要求證券所和券商,將重點業務切換至備援中心執行,一段時間後再切換回來。 聯防機制不只在攻擊發生時發揮作用,平時還有不少未雨綢繆的預防措施,像是分享其他產業的資安事件情資、定期攻防演練,以及供業者交流經驗的教育訓練課程等。 他回顧,金融資安聯防在這幾年進步許多,早期,金融業者單打獨鬥,獨自攬起所有資安工作。
