為辦理金融機構之發展、監督、管理及檢查,金管會、銀行局、證券期貨局、保險局及檢查局113年度預算案分別編列「金融監理」計畫3,065萬3千元、「銀行監理」計畫827萬2千元、「證券期貨市場監理」計畫1,008萬9千元、「保險監理」計畫666萬7千元、「金融機構檢查」計畫2,423萬9千元等相關經費。經查:
(一)金管會綜合近年國際資安情勢、金融資安監理趨勢及我國實務運作情形,賡續推出金融資安行動方案2.0
金管會已於109年8月發布「金融資安行動方案」,考量金融資安韌性越趨重要,為強化金融業資安防護能力,該會審視近年金融科技發展趨勢、國內外資安情勢變化及實務運作情形,並參考國際監理政策,進行滾動檢討,於111年12月發布「金融資安行動方案2.0」,謹就該方案概況說明如下:
1.執行單位及推動期間:採公私協力方式,由金管會及所屬、周邊單位及各業別公會等推動各項措施以協助金融機構提升資安防護能力,規劃以3年為期分階段推動,並自112年度起按季檢討成果,滾動修訂相關措施。
2.推動措施:以擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有40項措施,與「金融資安行動方案」相比,新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項。
3.推動方式:依業別屬性、規模、及業務風險採差異化管理,對於資安良好業者,則予以費率優惠等降低經營成本之誘因,並透過資源共享,建立情資分享、事件應變及監控體系,並加強國際合作以掌握國際趨勢,共同強化資安防禦。
4.預期效益:提升金融機構資安防護能量,建構安全的金融服務發展環境,作為金融科技創新發展之基礎,並提供消費者安心、便利與多樣化之金融服務。
(二)金融機構雖已陸續設置資安長,惟其中證券業及保險業設置比率相對較低,且部分金融機構於111年間有資安長異動頻繁之情形
參考歐美等國際資安監理機關重視經營管理階層資安職責及要求獨立資安職能之趨勢,金管會於110年9月間陸續修正相關規定並發布令釋,要求銀行業及符合一定條件之保險公司、證券期貨各服務事業,應於111年3月底前指派副總經理以上或職責相當之人兼任資安長,綜理資安政策推動協調與資源調度等事務,以提升金融機構對資安議題之決策能量,並續於「金融資安行動方案2.0」將擴大資安長設置列為精進方向之一。有關我國金融機構於110年至112年間設置資安長概況分述如下:
1.112年6月底,銀行業、證券業及保險業實際設置家數分別為39家、24家及13家,已較110年數額大幅成長,復檢視其占各該業別全體家數之比率,於上開期間亦概呈逐年成長,銀行業已達100%,而證券業及保險業分別為35.82%及32.5%,比率相對較低(詳表1)。
2.審計部於111年度中央政府總決算審核報告指出,111年部分金融機構資安長異動頻繁,恐不利綜理資訊安全政策之推動及協助董事會對資安情勢之掌握,亟待增進經營階層之資安管理職能,以深化資安治理綜效。
表1 110年至112年我國金融機構設置資安長統計表 單位:家數
業別
年底及項目
銀行業
證券業
保險業
110年
全體家數(A)
39
67
41
實際設置
家數(B)
28
12
8
占比(B)/(A)
71.79%
17.91%
19.51%
111年
全體家數(A)
40
68
40
應設置家數
40
13
8
實際設置
家數(B)
40
23
12
占比(B)/(A)
100%
33.82%
30%
112年
6月底止
全體家數(A)
39
67
40
應設置家數
39
12
8
實際設置
家數(B)
39
24
13
占比(B)/(A)
100%
35.82%
32.50%
資料來源:金管會,本中心彙製。
(三)允宜視推動現況,適時採行相關措施,以深化資安治理綜效
詢據金管會表示,刻正研擬擴大證券商應設置資安長之標準,預計於113年第1季前修正相關規定,保險業部分,則將持續滾動式檢討評估擴大資安長設置標準之妥適性;另該會表示有關金融機構資安長異動頻繁部分,係屬公司治理一環,經洽案關銀行表示,主要係基於升遷或健康因素辦理退休等實務需要而做職務調整,該會將持續關注其職務異動情形,並適時請該等金融機構妥善安排人員職務異動事宜。
綜上,金管會已因應近年資安情勢、監理趨勢及執行成效,賡續發布「金融資安行動方案2.0」,並將擴大資安長設置列為精進方向之一,截至112年6月底止,實際設置家數及其占比皆已較110年成長,其中證券業及保險業設置比例相對較低,審計部則指出111年部分金融機構有資安長異動頻繁之情形,允宜持續視推動現況,滾動調整並適時採行相關措施,以深化資安治理綜效。