金管會110年度預算案「金融監理-金融監督管理」計畫項下編列資訊服務費2,600萬元，係制定金融機構資安監控組態基準及作業指引，並建置金融資安攻防演練場域。另「施政目標與重點」-「（二）年度重要施政計畫」項下列有重要計畫項目「四、推動金融資安行動方案。」經查：

(一)金融資安行動方案概要

金管會為強化金融業資安防護能力，發布金融資安行動方案，謹就該方案概況說明如下：

1.推動期間及執行單位：109年8月6日至113年底；由金管會及所屬、公會、周邊單位及各金融機構配合執行，自110年度起每半年檢討執行情形，滾動修正。

2.推動措施：強化資安監理、深化資安治理、精實金融韌性及發揮資安聯防等4大政策，共36項措施（詳表1）。

3.推動方式：分依業別屬性、規模、及業務風險，預計於109年底前釐訂分級標準，採差異化管理；透過資源，建立情資分享、事件應變及監控體系；予以調降存款保險費率等降低經營成本誘因以激勵資安良好業者。

4.預期效益：健全資安，提升防護能量，建構金融資安聯防體系，促使金融服務便利、不中斷並確保財產資訊及隱私。

表1　金融資安行動方案36項措施一覽表

政策構面

期程

措施

強化資安監理

4年

訂定資通安全防護基準（電腦系統組態、資訊系統安全發展生命週期防護基準）

2年

一定規模金融機構或純網銀設置資安長

鼓勵遴聘具資安背景之董事、顧問或設置資安諮詢小組

訂定資通安全防護基準（資安自律規範）

增修訂新興金融科技資安規範

增修訂供應鍊風險管理規範

1年

1.開辦董監事資安教育訓練專設課程

持續

定期檢視資安風險與金融監理工具之連結（如業務准駁、資本計提、存保費率及安定基金費率）

推動金管會資安人才培育計畫

提升中高階主管資安知能

因應新興業務調整資安檢查重點

提升資安檢查人員專業技能

深化資安治理

2年

研議金融機構資安治理成熟度評估方法

鼓勵金融機構辦理資安治理成熟度評估

推動攻防演練訓練課程，強化防守能力

1年

訂定金融資安人才職能地圖

協調周邊單位開設金融資安人才養成專班

鼓勵取得國際資安證照

持續

1.鼓勵導入國際資安管理標準

2.鼓勵建置資安監控機制

精實金融韌性

4年

1.訂定金融作業韌性參考規範

2.推動成立資料保全中心

2年

研議資料保全運作機制

辦理金融資安攻防演練競賽

持續

1.鼓勵導入國際營運持續管理標準

2.鼓勵實際作業之營運持續演練

3.辦理金融資安攻防演練

4.辦理重大資安事件應變情境演練

發揮資安聯防

4年

1.建立資安應變支援小組

3年

1.導入AI分析機制

2年

建立資安情資關聯分析平台

建立金融資安應變體系

建立二線資安監控機制及作業標準

推動金融機構與資安監控機制協同運作

持續

加強金融資安國際合作

鼓勵金控建立電腦資安事件應變小組

資料來源：金融資安行動方案。

(二)如涉及個別資訊與金融安全，允宜審慎

據金管會表示，金融機構常為駭客攻擊，爰規劃每年辦理1次DDoS攻防演練，另為考驗跨領域（機構）橫向通報應變與協作之重大資安事件，規劃每2年辦理1次情境演練，110年度預算即涵括建置金融資安攻防演練場域經費；另金融資安行動方案參考美國概念，將研議資料保全運作之避風港計畫，視結果評估推動。惟演練場域恐涉及個別（機構或個人）資訊，允宜審慎並注意資安，另資料保全宜考量集中化風險，避免過於集中單一或少數幾家機構。且金融監理工具（如資本計提、存保及安定基金費率）涉及金融安全穩定性，將資安風險與其連結，須審慎模擬試算並評估其對金融安全之影響。

綜上，金管會推動金融資安行動方案，其中將資安風險與金融監理工具連結，涉及市場監理，且如涉及資料存取，攸關機構及民眾信任度，爰相關決策、擇選及執行宜審慎，俾利資訊保全及金融安定。