為辦理金融機構之發展、監督、管理及檢查,金管會、銀行局、證券期貨局、保險局及檢查局114年度預算案分別編列「金融監理」計畫2,367萬8千元、「銀行監理」計畫731萬7千元、「證券期貨市場監理」計畫1,134萬8千元、「保險監理」計畫676萬7千元、「金融機構檢查」計畫2,967萬8千元等相關經費。為強化金融業資安防護能力,金管會業於109年8月發布「金融資安行動方案」,並就國內外資安情勢變化及實務運作情形等滾動檢討,於111年12月賡續發布「金融資安行動方案2.0」。經查:
(一)金管會推動本國銀行及一定規模之證券期貨及投信投顧業、保險業設置資安長,以強化金融機構對資安議題之決策能量
金管會參考歐美等國際資安監理機關重視經營管理階層資安職責及要求獨立資安職能之趨勢,於110年9月間陸續修正相關規定並發布令釋,要求所有本國銀行及符合一定條件之保險公司、證券期貨各服務事業,應於111年3月底前指派副總經理以上或職責相當之人兼任資安長,綜理資安政策推動及資源調度等事務,以提升金融機構對資安議題之決策能量,並續於「金融資安行動方案2.0」,將擴大資安長設置列為精進方向之一。該會考量資安防護對整體證券市場營運影響日趨重要及配合前揭政策之規劃,業於113年1月修正相關函釋規定,擴大證券期貨及投信投顧業應設置資安長之範圍。
(二)本國銀行皆已設置資安長,餘金融業別之設置比率則介於25.64%至42.19%間,另審計部指出金融機構未具資訊領域經歷之資安長比率有高於上市櫃公司之情形
檢視我國金融機構於110至113年間設置資安長概況,截至113年6月底,銀行業、證券業、期貨業、投信投顧業及保險業實際設置家數分別為39家、27家、5家、10家及10家,皆較110年大幅成長,其占各該業別全體家數之比率於上開期間亦概呈增加,銀行業現已達100%,其餘業別則介於25.64%至42.19%間,相對較低(詳表1);此外,審計部於112年度審核通知指出,按國家資通安全研究院研擬之資安人才類別框架定義,資安長之核心職能包括資安政策制定與規範、資安治理架構與評估、資安監督與管理、資安資源配置等,惟截至112年底,應設置資安長之金融業及上市櫃公司中,分別有22.39%及9.32%未具資訊領域經歷,顯示金融業之資安高階人才相對缺乏。
表1 110至113年我國金融機構設置資安長統計表 單位:家;%
業別
年底及項目
銀行業
證券業
期貨業
投信
投顧業
保險業
110年
全體家數(A)
39
67
14
39
40
實際設置
家數(B)
28
12
1
4
8
占比
(B)/(A)×100%
71.79
17.91
7.14
10.26
20
111年
全體家數(A)
40
68
14
38
39
應設置家數
40
13
2
5
8
實際設置
家數(B)
40
23
2
6
9
占比
(B)/(A)×100%
100
33.82%
14.29
15.79
23.08
112年
全體家數(A)
39
67
14
38
39
應設置家數
39
12
3
5
8
實際設置
家數(B)
39
22
3
7
10
占比
(B)/(A)×100%
100
32.84
21.43
18.42
25.64
113年
6月底
全體家數(A)
39
64
14
38
39
應設置家數
39
19
5
9
8
實際設置
家數(B)
39
27
5
10
10
占比
(B)/(A)×100%
100
42.19
35.71
26.32
25.64
資料來源:金管會,本中心彙製。
(三)允宜持續精進相關輔導措施以強化資安長之專業知能,並密切關注金融機構之業務發展情形,俾適時擴大資安長設置範圍
詢據金管會表示,有關證券期貨及投信投顧業部分,目前尚未列在應設置範圍之業者,係考量其規模較小或電子下單比率較低,已要求業者配置資安人員並應於113年底前取得專業執照,未來將視其電子化業務發展情形,漸進推動設置資安長,保險業部分則刻正檢討設置標準,研議逐步擴大範圍;另該會表示為提升資安長資安專業知能,業請周邊單位規劃辦理相關資安教育訓練,並將藉由定期召開資安長聯繫會議及重大資安事件情境演練等措施,研討當前資安情勢、推動策略及關鍵議題,以強化資安長職能。
綜上,金管會業將擴大資安長設置列為「金融資安行動方案2.0」精進方向之一,截至113年6月底止,實際設置家數及其占比皆較110年成長,其中全體本國銀行皆已設置,其餘業別設置占比則介於25.64%至42.19%間,相對較低,另審計部亦指出金融機構未具資訊領域經歷之資安長比率有高於上市櫃公司之情形,允宜持續精進相關輔導措施以強化其專業知能,並視金融機構業務發展情形,滾動調整資安長設置範圍,俾深化其資安治理綜效,進而建構安全之金融服務發展環境。