立法院全球資訊網 -七、自114年度起，為配合行政院「國家資通安全發展方案」之執行部分項目將由金管基金編列預算支應，允宜充分揭露預算移列等資訊，俾利預算審議，並持續督導金融機構強化資安防護能力

七、自114年度起，為配合行政院「國家資通安全發展方案」之執行部分項目將由金管基金編列預算支應，允宜充分揭露預算移列等資訊，俾利預算審議，並持續督導金融機構強化資安防護能力 日期：113年11月 報告名稱：金融監督管理基金及保險業務發展基金114年度預算評估報告 目錄大綱：壹、金融監督管理基金 資料類別：預算案評估 作者：翁珮珊

據金管基金114年度預算案說明，為強化金融機構資安防禦能力，爰於「推動金融制度、新種金融商品之研究及發展計畫」項下編列電腦軟體服務費1,440萬元，主要係辦理金融機構網際網路服務安全檢測及金融資安攻防演練等所需經費。經查：

(一)金管會為配合行政院「國家資通安全發展方案」，經年於金管會單位預算編列相關經費，自114年度起，部分項目改由金管基金編列預算支應

金管會為配合行政院「國家資通安全發展方案」，經年於金管會單位預算編列相關經費，主要係辦理建構金融資安聯防體系及強化金融資安韌性等計畫，檢視108至112年度預算執行情形，決算數幾與預算數相當，執行率介於95.61%至103.28%間，113年度截至8月底止，累計執行數為191萬元，亦達同期間累計分配數198萬之96.46%；據金管會提供資料，114年度預算案配合推動前揭方案所需共計編列1,988萬，其中辦理金融機構網際網路服務安全檢測540萬元及金融資安攻防演練900萬元，合共1,440萬元將改由金管基金編列預算支應(詳表1)。

表1 108至114年度金管會為配合「國家資通安全發展方案」所編列之相關預算及其執行情形一覽表單位：新臺幣千元；%

項目

年度及預算別

計畫及用途別科目

預算數

決算數

執行率

支用項目

108年

金管會單位預算

金融監理/資訊服務費

34,239

33,950

99.16

建構金融資安聯防體系計畫

109年

金管會單位預算

金融監理/資訊服務費

37,001

37,000

100

強化金融資安聯防體系計畫

110年

金管會單位預算

金融監理/資訊服務費

24,789

23,700

95.61

強化金融機構資安韌性計畫

111年

金管會單位預算

金融監理/資訊服務費

15,928

16,450

103.28

強化金融資安韌性計畫

112年

金管會單位預算

金融監理/資訊服務費

13,287

13,029

98.06

強化金融資安韌性計畫

113年

金管會單位預算

金融監理/資訊服務費

11,867

1,910

強化金融資安韌性計畫

114年

金管會單位預算

金融監理/資訊服務費

5,480

強化金融資安韌性計畫

金管基金

推動金融制度、新種金融商品之研究及發展計畫/電腦軟體服務費

14,400

辦理金融資安攻防演練及金融機構網際網路服務安全檢測

說明：113及114年度預算數為預算案數，113年度決算數係截至8月底止之實際支用數，同期間累計分配數為198萬元。

資料來源：金管會，本中心彙製。

(二)為利預算透明及問責性，允宜充分揭露各項業務於公務預算及金管基金間挪移等相關資訊，俾利預算審議，並持續督導金融機構提升資安防護能力

詢據金管會表示，近年金融機構因應金融科技之發展，於發展數位轉型之同時，亦面臨網路資安攻擊與風險，鑑於國際金融資安情勢日益嚴峻，爰該會賡續辦理金融資安攻防演練及網際網路服務安全檢測等以強化金融機構資安防護能力，該會考量該2項係屬推動金融科技發展所需之經費，故自114年起將相關經費移編於金管基金，尚符本院審議該會年度預算相關決議應將用於強化金融機構資安防護且係屬推動金融科技發展所需之經費編列於金管基金之意旨。惟相關預算案說明皆未提及該2項業務於公務預算及金管基金間移撥情形，鑑於移撥內容及其預算數額等資訊有助於瞭解各業務之整體收支變動趨勢及資源配置情況，爰允宜於預算書充分揭露相關資訊，俾利預算審議；復據該會提供近期金融機構所發生之資安事件，除受駭客入侵外，部分係因內控制度未臻完善或程式設定等因素所致(詳表2)，允宜持續督導金融機構落實資安相關措施以提升防護能量。

表2　112年至113年7月底止金融業者資訊安全事件一覽表

期間

金融機構

事件概述

112年

1家銀行

1.該行因瞬間流量達歷年最高，致ATM、網路銀行及行動銀行等通路之跨行交易有緩慢或無法完成交易之情事。

2.該行因核心系統主機磁碟周邊零件之執行效率降低，影響部分新臺幣交易失敗。

1家銀行

該銀行發生客戶個人資料洩漏，影響客戶數約1萬4,010人，經查該銀行有未妥適建立個人電腦管理者權限及可攜式設備控管相關規範、未能依內部規範留存使用個人資料軌跡、未落實執行作業系統上線前及更新時，資安監控軟體之測試，以及資安監控軟體派送至工作站後未能確認其執行結果等缺失事項。

1家信用合作社

發生防火牆電源鬆脫、核心帳務主機主控台通訊斷線；因颱風臨休，致財金公司換日後與該社帳務主機臨休狀態不符等造成部分跨行交易受影響。

1家證券商及1家期貨商

電子下單系統異常，經查其存有未確實對憑證系統連線機制進行參數容量測試、未確實執行應用系統壓力測試作業、所訂網際網路下單服務品質相關規定未包含完整之交易安全性及穩定性、未訂定憑證系統故障復原標準作業程序，及憑證系統資料庫主機未有足夠之資源配置等情事，2公司均與受影響客戶全數達成和解。

1家保經公司

該公司內部平台程式異常，於搜尋引擎輸入特定關鍵字可篩出該公司所屬業務員資料，致業務員資料約97筆遭瀏覽。

1家保代公司

該公司內部系統遭駭客入侵查看資料，致4筆保戶資料遭外部瀏覽。

113年截至7月底

1家銀行

1.該行ATM之跑馬燈公告則數超過廠商設定之系統上限，導致ATM異常引起不斷重新開機，進而影響該行ATM暫停服務。

2.該行因OTP系統伺服器記憶體資源使用率達到峰值，惟於重啟OTP系統至恢復到正常期間，該行APP與網路銀行之交易持續增加，導致中台「前置查詢服務」發生壅塞，進而影響部分客戶進入App與網路銀行使用轉帳功能。

1家保經公司

該公司內部系統程式遭駭客入侵，約有4筆保戶接獲詐騙訊息，未造成財務損失。

資料來源：金管會及其相關新聞稿，本中心彙製。

綜上，近年金管會為配合行政院「國家資通安全發展方案」，經年於單位預算編列相關經費，部分屬推動金融科技發展之項目自114年度起將由金管基金編列預算支應，惟查114年度金管基金預算案，雖列有辦理項目，惟未說明其係配合前揭方案所執行及其原係編列於單位預算等相關資訊，鑑於該等資訊有助於瞭解各業務之收支變動趨勢及資源配置情況，允宜充分揭露相關資訊，俾利預算審議，另近期部分金融機構發生駭客入侵或因內控制度未臻完善、程式設定等因素而衍生之資安事件，宜持續強化金融機構資安防護能力。

下載

七、自114年度起，為配合行政院「國家資通安全發展方案」之執行部分項目將由金管基金編列預算支應，允宜充分揭露預算移列等資訊，俾利預算審議，並持續督導金融機構強化資安防護能力-附件1(doc) (odt) (pdf)

2024-11-01