銀行自律上路 防堵供應鏈資安出包
因應整體金融服務業委外與跨業經營型態的發展,金管會認爲,銀行應增修有關供應鏈風險的管理規範,建立包含資通系統軟硬體的供應商與維運商、跨機構合作伙伴等相關風險評估、邊際防護、委外稽覈等規範。銀行公會在2021年訂定金融機構資通安全防護基準時就已對供應商管理有要求,但金管會認爲尚不完整,要求銀行公會再進一步訂定自律規範。因此《金融機構資通系統與服務供應鏈風險管理規範》在3月29日報金管會核備、4月10日函送銀行公會成員。
童政彰說明規範中的電腦系統有分三類,「第一類電腦系統」是直接提供客戶自動化服務,或營運有重大影響系統,例如分行櫃檯、ATM自動化服務、SWIFT系統等;「第二類電腦系統」是提供間接服務客戶的系統,比方說作業中心、客服系統;第三類電腦系統即不會接觸客戶資訊的系統,例如銀行內部人資、財會、總務等。童政彰強調,考量第二類及第三類系統需有調整期,因此同意規範實施日(4月10日)起,給予一年的適用緩衝期。
對於外界認爲,銀行業在供應鏈出包後的應變與反應強度標準較鬆。童政彰認爲,銀行標準與券商自律規範一致,在第五條對於選擇供應商前有細緻的要求,像是供應商要符合一定標準、資訊交換要籤保密協議等,另外在第六條也要求供應商交付的產品與服務組件來源必須是合法的、必須要確保交付的資通系統或程式,沒有惡意程式及後門程式,並取得相關安全性測試結果及供應商安全性承諾等。