檢查局111年度預算案「金融機構檢查」計畫編列2,153萬7千元,係辦理金融機構之檢查、缺失、改善情形追蹤及所報內部稽核報告之處理暨金檢法規之制定修訂等所需經費。經查:
(一)105年起所辦資訊安全專案檢查,銀行業、證券業及保險業有部分缺失
隨著網路科技發展,金融服務數位化為必然發展趨勢,資訊安全提供服務環境信賴度,據檢查局提供資料,歷來對本國銀行、證券業及保險業進行之資訊安全專案檢查,有部分缺失,因程度不同而使嗣後裁處情形有所差異(詳表1)。
表1 105年至110年7月底止資訊安全之專案檢查情形
年度
業別
專案檢查主題
家數
檢查有缺失家數
裁處類型及家數
105
銀行業
本國銀行資訊作業專案檢查
13
13
無
105
銀行業
本國銀行電子商務系統資訊作業專案檢查
4
4
無
105
保險業
壽險業資訊作業專案檢查
2
2
核處罰鍰60萬元、糾正及限期一個月改善1家
核處罰鍰60萬元、限期改善1家
105
保險業
產險業資訊作業專案檢查
6
6
限期改善1家
106
證券業
電子交易專案檢查
5
5
函請改善5家
106
銀行業
本國銀行數位金融服務專案檢查
5
5
無
106
銀行業
本國銀行SWIFT系統資安專案檢查
12
11
罰款800萬元1家並函請改善
107
銀行業
本國銀行金融服務業網路安全規範遵循度專案檢查
9
9
無
107
保險業
電子商務系統專案檢查
5
5
核處罰鍰60萬元及糾正1家
糾正2家
核處罰鍰240萬元、糾正及限期改善1家
核處罰鍰120萬元、糾正1家
108
銀行業
本國銀行主機系統安全維護、監控及緊急應變專案檢查
5
5
無
108
銀行業
本國銀行物聯網設備資安專案檢查
5
5
無
108
銀行業
中華郵政公司資訊系統安全專案檢查
1
1
無
108
保險業
產險公司資訊作業專案檢查
1
1
核處2項糾正1家
109
銀行業
本國銀行主機系統安全維護、監控及緊急應變專案檢查
3
3
無
109
銀行業
本國銀行電子銀行交易面安全設計專案檢查
3
3
無
109
保險業
壽險業資訊作業專案檢查
2
2
核處罰鍰120萬元、糾正1家
109
保險業
電子商務系統專案檢查
3
3
核處罰鍰120萬元、2項糾正2家
核處罰鍰60萬元、2項糾正1家
110
證券業
證券公司資訊作業專案檢查
3
3
刻正辦理中
資料來源:金管會。
(二)檢查作業與金融資安行動方案規劃辦理事項可雙向參考
據金管會公布之金融資安行動方案,資通安全防護基準(電腦系統組態、資訊系統安全發展生命週期防護基準)、資通安全防護基準(資安自律規範)、新興金融科技資安規範、金融作業韌性參考規範及資安監控機制等皆為該方案未來規劃擬訂之項目,容有研蒐國內外學術資料,並佐以實務需求之必要,擬訂後將為金融機構未來運作參據標準。檢查局實地檢查作業流程,含括受檢單位查核資料準備、提供與溝通及後續檢查意見改善溝通,檢查所得資料具外部獨立性及內部資料查察情況,反應資訊安全實務運作及新舊科技演進過程之易見缺失,當可提供研訂相關規範之參考,且基準及監控機制研訂蒐研資訊,亦可供檢查作業精進之需。
綜上,檢查具缺失稽核功能,歷來對本國銀行、證券業及保險業資訊安全專案檢查有部分缺失,鑒於金管會公布之金融資安行動方案,將資安基準及作業規範之研訂列為未來工作事項,爰宜將檢查情形適度與本會橫向交流,俾利基準及規範周延性,並同步提升未來檢查作業。(分機:8660 翁珮珊)