本文共676字
經濟日報 記者黃登榆/台北報導
金融業資安風險再度升溫,銀行公會公布最新版《金融機構資通系統與服務供應鏈風險管理規範》。新版規範首次要求銀行在選任供應商時,必須揭露持股25%以上的實質受益人與控制權來源國,等於將「外資背景」納入資安審查範圍,防堵境外勢力透過供應鏈滲透金融系統。
今年初有疑似陸資背景的科技公司,繞道新加坡來台承接國內銀行的信用卡核心系統升級專案。金管會要求銀行公會檢視資通安全相關管理規範,並強化管理機制,也計畫跨部會合作,針對管理資安廠商意見交換。
新版規範共九條,重點包括:核心系統全面納管:所有核心資通與第一類電腦系統都須遵循規範;第二、第三類系統若單筆採購超過1,000萬元,也要納入管理。供應商要過資安「安檢」:銀行在委外前須進行資訊安全可行性分析與集中度評估,並將安全成本納入採購規畫。
最值得注意的是須揭露持股結構與來源國,若供應商的控制權來源國持股逾25%,銀行須確認其符合國內法規與資安要求。新版規範對契約條款要求更嚴密,例如不得任意轉包他人,契約須明訂資料安全、異常通報、退場替換等機制。此外,新版規範要求持續稽核與教育訓練,金融機構需定期進行第三方稽核或安全訪視,並監督供應商人員接受資安訓練。
這項修訂呼應金管會推動的「供應鏈資訊安全」政策,讓銀行在AI、雲端與跨境資料處理等高風險環境下,能建立統一的資安門檻。換言之,從採購、簽約到服務結束,供應商都要被「全程監控」。近年國際間屢傳供應鏈遭駭事件,歐美多國監理機關紛紛要求金融業揭露實質控制權與供應商來源國。銀行業者表示,台灣此次修訂不僅與國際趨勢接軌,也象徵資安防線已從「內控」延伸至整條產業鏈。
※ 歡迎用「轉貼」或「分享」的方式轉傳文章連結;未經授權,請勿複製轉貼文章內容
留言