國際駭客11月來台測金融業資安戰力 金管會辦紅藍演習對抗賽

金融業是一個高度利用資訊科技的產業，為健全金融產業發展，金管會將於 11 月邀請國際駭客擔任「紅隊」、國內金融業組成「藍隊」，進行金融資安演習對抗賽，預計 7、8 月將公布兩隊名單，這也是國內首度金融業資安的測試與培訓。

金管會主委顧立雄表示，各國金融監理單位對於強化金融業資訊安全措施愈來愈重視，近年來駭客攻擊方式已朝向全球化與專業化發展，我國金融資安也因應此一發展趨勢，朝向以風險為導向的資安防護機制發展，希望建立更完善的資安防護機制。

顧立雄表示，我國現階段金融資安政策，是透過結合金融監理、設置資安專責單位與主管、完備資安法規及強化金融資安檢查等四大策略，來完善金融資安制度，並推動業者落實執行。

首先是將金融資安與金融監理結合，例如將資訊安全辦理情形納入金融業者申報業務准駁的考量，以及將資安納為存保費率計提之因素，讓資安做得好的銀行，適用較低的存保費率等，也就是以降低業者經營成本作為鼓勵。

其次，完善金融資安組織方面，金管會要求金融機構應設置資安專責單位及相當層級的專責主管，且應配置適足的人力，並就資產規格達一定規模以上的金融機構，必須設置資安長，也要求提升董事會資安職能，促使金融機構最高經營管理階層重視資安。

以銀行為例，要求將每年資安執行情形向董事會報告，督促董事會重視並確保資安內管的有效性。

第三，在完備資安規範方面，金管會督導各業別公會自行訂定相關資安自律規範，提供各業別相關資安業務遵循。因應資安威脅與新興科技發展，資安相關法令規章亦須持續檢討並適時修訂。例如為避免物聯網設備被駭客利用成為攻擊工具，危及金融資安，訂定物聯網設備的安全性規範。

第四，成立金融資安資訊分享與分析中心，金管會配合行政院資安聯防政策，已於 2017 年 12 月成立金融資安資訊分享與分析中心 (FISAC)，建構金融業間的資安情資早期預警及通報分享機制，未來亦將與其他領域及國際金融資安單位進行情資交換及聯防，以提升金融市場資安應變與防護能力。