(2024 1月更新)
金管會公布 113 年度金融檢查重點,將「資安」列為重點關注項目,並將雲端跨境委外業者的資安和風險管控措施納入金融機構的定期查核項目。其他年度金檢重點包含「公司治理」、「防制詐騙」、「金融消費者權益保護(含個人資料保護/身心障礙者及高齡客戶權益保護/理專銷售作業控管)」、「不動產授信風險管理」及「虛擬資產平台及交易業務事業(VASP)」。
新版上雲規範給予金融機構一年的緩衝期,業者可在 2024 年八月前依規定向主管機關申報相關資訊。
為加速金融創新、提高金融業數位韌性,金管會再次大幅鬆綁金融上雲委外規範,不只銀行、保險和證券鬆綁步調一致,更大幅簡化上雲申請流程,業者不再需要每套系統都得送審,可使金融業更靈活地應對數位時代的挑戰,創造更多未來數位發展機會。
然而,金融機構將業務資料和應用程式遷移到雲端環境時,應特別注意資安防護,若是跨雲建置複雜的金融系統,則更須建構完備的資安措施,以確保資料的保密性、完整性和可用性。因此金管會在此次公布的新版規範中,也要求金融機構負起最終委外責任,更強化多項雲端治理要求。¹
雲端安全為金融業務的轉型關鍵
台灣金融業者正積極迎接雲端浪潮,並以新版委外規範為契機,加速其數位轉型。然而,隨著金融業對雲端技術的依賴日益增長,相對應的風險也逐漸擴大。未經妥善保護的雲端資料隨時可能成為駭客攻擊的目標,導致機敏資料外洩,因此,加強雲端安全已成為上雲過程中的首要任務。
以下是亞利安科技建議金融業上雲前所應採取的資安防護:
1.強化存取控制
實施嚴格的存取控制,確保只有經授權的用戶和應用程式能夠存取雲端資源,並使用身份驗證、授權機制,如單一簽入(SSO)和多因素驗證(MFA)以提高安全性。
2.制定資安政策和程序,確保合規性及法規遵從
建立明確的資安政策和程序,包括雲端政策、資料管理政策、存取控制政策等,以規範相關單位對雲端服務的使用和存取控制,確保各項雲端操作符合金融業監管機構和其他相關法規或規範要求,如 NIST 800-53、ISO 27001 等,並定期進行合規性審查及資安風險評估,以評估潛在威脅和漏洞。
3.雲端安全工具
使用雲端安全工具,如入侵檢測系統(IDS)和入侵防禦系統(IPS)、資訊權限管理(IAM)工具等,以提高雲端安全性。
4.安全監控和日誌管理
建立雲端環境的監控和日誌系統,以監控用戶、系統活動、安全事件和潛在威脅。自動化警報和事件檢測,以便快速識別潛在風險並即時應對。
5.持續進行監控、配置管理及更新
雲端環境是動態且須持續監控的,應確保雲端資源的正確配置並定期更新資安措施,以防止漏洞和錯誤配置。可使用自動化工具進行管理配置,減少人為錯誤,即時因應新的威脅,優先處理高風險項目。
6.資料分類和標籤
將資料分類為機敏、機密或一般性,確認哪些資料需要更強的保護措施,然後運用適當的標籤和加密技術,確保資料在雲端中受到妥善保護。
7.資料加密
對雲端儲存或傳輸的機敏資料進行加密,並有效管理密鑰,確保資料的存取受到保護。
8.第三方供應商評估與管理
定期評估雲端服務提供商及第三方供應商的安全性和合規性,確保他們符合相應的資安標準,並建立明確的供應商風險管理程序。
9.員工資安意識培訓
教育、培訓員工,使他們能提高資安意識,識別、應對資安風險,包括惡意軟體、釣魚攻擊、社交工程攻擊等安全威脅。
亞利安協助金融業解決上雲痛點
雲端治理及威脅控管是企業邁向雲端的關鍵環節,是一個持續且須不斷評估、更新的過程。各項資安防護措施也應與企業的上雲治理策略及系統建置生命週期相結合,包括規劃、設計、實施、測試和監控等,方能維護雲端環境的安全性、合規性和效率,因應日新月異的威脅風險。
為協助金融業者識別、解決雲端安全問題,亞利安科技引進諸多資安解決方案,如 Thales CipherTrust 資料保護平台、TOPPAN IDGATE 身分驗證、Qualys VMDR 全方位弱點管理、檢測和回應、Orca 雲端安全平台(CNAPP)、IONIX 外部攻擊面管理、Proofpoint 資安意識培訓 等,均有助於金融業者掌握資產及資安風險,並以快速、輕鬆且具高效益的方式解決關鍵雲端資安問題,完善保護客戶資料和金融系統安全。
如欲了解更多產品資訊,歡迎隨時與我們聯繫。