《金融》金管會強化金融業資安 公佈導入零信任架構參考指引

資服處處長林裕泰指出，目前金融機構對於資安防護着重焦點不一，此次制定指引主要爲統一標準，將現有的「點」連成「線」，提供更全面的資安防護導入指引，使金融機構能據此逐步導入強化整體資安防護，特別是過往未重兵部署的內網部分。

金管會2022年12月公佈「金融資安行動方案2.0」時，爲因應後疫情時期及數位轉型的資安防護需求，將「鼓勵零信任網路部署，強化連線驗證與授權管控」納爲精進重點之一，此次據此公佈「金融業導入零信任架構參考指引」，鼓勵金融業以零信任思維深化資安防護。

資訊服務處長林裕泰表示，目前金融機構在資安防護上均有一定量能，如雙因子身分驗證、設備健康檢查及網段隔離等。爲鼓勵金融機構在既有基礎上，以零信任思維續深化資安防護，故依據與金融機構研討過程中的凝聚共識，訂定參考指引供金融機構參考運用。

金管會在參考指引中建議金融機構採取風險導向，選擇高風險場域作爲優先導入零信任架構標的，如遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作等6大場域，金融機構可依風險基礎方法進行適當評估，擇定導入優先序及範圍。

導入策略方面，金管會區分4階段分級指標，依序爲靜態指標、融入動態指標、即時指標及最佳化整合指標，建議金融機構盤點高風險場域完整存取路徑，即身分、設備、網路、應用程式及資料，由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面。

林裕泰表示，參考指引屬於行政指導，金融機構在實際導入時仍須考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適，或另外進行適切規畫，不以此參考指引爲限。

同時，金管會將鼓勵金融機構分享實務案例，提供同業交流研討最佳實務，並將透過定期調查各金融機構導入規畫及進程，與各同業公會、周邊單位衡量實際資安防護需求及執行可達性，適時納入資安規範，提升整體資安防禦水準。