【時報記者林資傑台北報導】金管會為強化數位時代金融機構的資安防護,宣布制定「金融業導入零信任架構參考指引」,參採美規「永不信任、持續驗證」的概念,鼓勵金融業透過持續及多種類驗證手段,持續強化對系統或資料存取控制的安全性,持續深化資安防護。
資服處處長林裕泰指出,目前金融機構對於資安防護著重焦點不一,此次制定指引主要為統一標準,將現有的「點」連成「線」,提供更全面的資安防護導入指引,使金融機構能據此逐步導入強化整體資安防護,特別是過往未重兵部署的內網部分。
金管會2022年12月公布「金融資安行動方案2.0」時,為因應後疫情時期及數位轉型的資安防護需求,將「鼓勵零信任網路部署,強化連線驗證與授權管控」納為精進重點之一,此次據此公布「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。
資訊服務處長林裕泰表示,目前金融機構在資安防護上均有一定量能,如雙因子身分驗證、設備健康檢查及網段隔離等。為鼓勵金融機構在既有基礎上,以零信任思維續深化資安防護,故依據與金融機構研討過程中的凝聚共識,訂定參考指引供金融機構參考運用。
金管會在參考指引中建議金融機構採取風險導向,選擇高風險場域作為優先導入零信任架構標的,如遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作等6大場域,金融機構可依風險基礎方法進行適當評估,擇定導入優先序及範圍。
導入策略方面,金管會區分4階段分級指標,依序為靜態指標、融入動態指標、即時指標及最佳化整合指標,建議金融機構盤點高風險場域完整存取路徑,即身分、設備、網路、應用程式及資料,由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面。
林裕泰表示,參考指引屬於行政指導,金融機構在實際導入時仍須考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適,或另外進行適切規畫,不以此參考指引為限。
同時,金管會將鼓勵金融機構分享實務案例,提供同業交流研討最佳實務,並將透過定期調查各金融機構導入規畫及進程,與各同業公會、周邊單位衡量實際資安防護需求及執行可達性,適時納入資安規範,提升整體資安防禦水準。
發表意見
當您使用本網站留言服務時,視為已承諾願意遵守中華民國相關法令及一切使用網際網路之國際慣例。若您是中華民國以外之使用者,並同意遵守所屬國家或地域之法令。
您同意並保證不得利用本留言服務從事侵害本公司或他人權益及相關違法或未經本公司事前同意之行為(以下簡稱禁止行為),否則您除應自負文責外,並同意本公司逕行移除或修訂您的留言內容或限制您的留言權利或封鎖您的帳號,絕無異議。前述禁止之行為,包括但不限於: