金融業導入CRI工具，KPMG：可有效提升資安治理及合規效率

在數位金融蓬勃發展的時代，資安事件對金融體系的衝擊日益嚴重。無論是國際銀行遭駭客入侵，或是層出不窮的國內網路詐騙事件，都顯示資安已成為金融機構穩健營運的關鍵基礎。金管會於2020年8月6日推動之「金融資安行動方案」中第二構面深化資安治理項目中，關於「推動金融資安治理成熟度評估」建議採用美國聯邦金融機構檢查委員會（以下簡稱FFIEC）網路安全評估工具(Cybersecurity Assessment Tool, CAT)，讓金融機構進行自主評量，該工具也經由財金資訊股份有限公司進行在地化相關作業。然而，FFIEC將於2025年8月31日不再繼續維護CAT工具，這也讓持續進行資安成熟度作業的金融機構開始尋求適合的替代評估工具。在這樣的背景下，美國網路風險研究所（Cyber Risk Institute）的資安風險指標(Cyber Risk Index Profile，簡稱CRI Profile)應運而生，為金融機構提供一套系統性、自我檢核的資安成熟度評估工具，協助掌握資安現況並規劃精進方向。

一、CRI是什麼？金融機構該如何透過CRI進行資安成熟度評估I？

CRI由美國網路風險研究所所研發，是一套可量化的資安成熟度模型，涵蓋六大功能領域：治理（Governance）、識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover），此六大功能領域也對齊NIST Cybersecurity Framework的核心架構。CRI不僅針對資安技術防禦，更強調組織治理、風險管理與持續營運能力，是一種全面、策略性的評估工具。

金融業向來是駭客鎖定的高風險標的，且牽涉龐大用戶資料、金融資產與社會信任。一旦資安出現破口，不僅造成金額損失，更可能動搖金融秩序穩定。因此，透過CRI進行資安成熟度評估有助於：

1.量化現有資安能力與成熟度

2.找出治理面與作業面潛在風險

3.優化資安資源配置與投資決策

4.與主管機關資安指引接軌

5.提升機構內部資安文化與意識

二、CRI應用流程：從自評到精進

在實務應用上，金融機構導入CRI進行資安成熟度評估，通常分為下列幾個步驟：

1.組成資安評估小組

CRI評估需要跨部門參與，包括資安部門、資訊部門、風控部門、法令遵循部門、稽核部門等。由高層主導並指定負責人，有助於確保評估過程具權威性與落實性，也建議可尋求專業第三方從旁協助金融機構進行評估作業，避免評估作業盲點。

2.辨識金融機構應有之資安成熟度落點

CRI透過影響分級問卷（Impact Tiering Questionnaire），將金融機構之衝擊嚴重度分為4個層級：

●Tier1：國家/超國家影響層級（National/Super-National Impact）

●Tier2：次國家級影響層級（Subnational Impact）

●Tier3：產業影響層級（Sector Impact）

●Tier4：在地影響層級（Localized Impact）

金融機構透過完成影響分級問卷確定其影響等級後，即可確認相應之診斷聲明（Diagnostic Statement）進行評估作業。

3.收集內部作業資料與政策：透過問卷、制度文件、系統流程紀錄等方式蒐集資訊，以供CRI診斷聲明進行評估確認。例如，是否定期進行弱點掃描？是否有事件通報與應變機制？

4.進行評估與分析作業：

(1)依據蒐集資訊，各分層應所需完成之診斷評估項目數量如下：

●Tier1：318項診斷評估項目

●Tier2：311項診斷評估項目

●Tier3：282項診斷評估項目

●Tier4：208項診斷評估項目

(2)資安評估小組應對應其佐證資料，將答案區分為下述等評估等級：

●Yes（符合），該項目可給予1分

●No（不符合），該項目不給分

●Partial（部分符合），該項目可給予0.5分

●Not Applicable（不適用），該項目可給予1分

●Yes-Risk Based（基於風險管控符合），該項目可給予0.7分

●Yes-Compensating Control（採補償性控管符合），該項目可給予0.7分

●Not Tested（未測試），該項目不給分

●To Be Assessed（待評估），該項目不給分

可以透過該Profile Level題目總數除以得分，確認該診斷評估的成熟度百分比。

5.產出評估報告

透過資安成熟度評估報告，內容包含各功能域得分、強項與弱項分析，以及優先改善建議。這份報告不僅作為資安管理參考，也可作為董事會與監理單位報告依據。

6.擬定資安強化計畫

根據評估結果擬定3到5年資安強化藍圖，納入預算與資源配置，例如：若「回應」面向較弱，可加強人員訓練或演練機制。

三、挑戰與展望：制度化與在地化

儘管CRI評估有助於資安成熟度提升，但在實務推動上仍有挑戰。首先，CRI原為國際工具，需要本土化翻譯與解釋；其次，自評機制可能產生主觀偏差，須結合第三方查核與驗證；最後，小型金融業者在人力與資源有限的情況下，需尋求聯合導入或共享機制以降低導入門檻。展望未來，建議主管機關與金融機構可共同合作，推動以下幾項重點：

1.建立CRI在地化版本，除應翻譯成本國語言外，針對影響分級問卷（Impact Tiering Questionnaire）內容應可檢視是否符合臺灣地區金融機構的分級。

2.推動金融機構共享資源，提供模組化問卷、診斷平台與參考資料庫，讓金融機構能有效進行評估作業。

3.設立資安成熟度獎勵機制，金融機構應針對評估及強化之結果，於部門或是人員之績效指標（KPI）給予獎勵，主管機關也可從資安補助或評鑑進行加分，以鼓勵自主提升。

CRI不僅是一套工具，更是一種「資安即治理」的實踐方法。對金融機構而言，它提供的不只是資安診斷，更是一套持續強化營運韌性的指南。在面對瞬息萬變的資安威脅時，唯有透過制度化、科學化的工具，才能確保每一筆交易、每一筆資料都建立在堅固的資訊安全基礎上。（本文由KPMG安侯企業管理股份有限公司執行副總經理林大馗、協理郭宇帆/提供）