金融業資安風險再度升溫，銀行公會公布最新版《金融機構資通系統與服務供應鏈風險管理規範》。新版規範首次要求銀行在選任供應商時，必須揭露持股25%以上的實質受益人與控制權來源國，等於將「外資背景」納入資安審查範圍，防堵境外勢力透過供應鏈滲透金融系統。

今年初有疑似陸資背景的科技公司，繞道新加坡來台承接國內銀行的信用卡核心系統升級專案。金管會要求銀行公會檢視資通安全相關管理規範，並強化管理機制，也計畫跨部會合作，針對管理資安廠商意見交換。

新版規範共九條，重點包括：核心系統全面納管：所有核心資通與第一類電腦系統都須遵循規範；第二、第三類系統若單筆採購超過1,000萬元，也要納入管理。供應商要過資安「安檢」：銀行在委外前須進行資訊安全可行性分析與集中度評估，並將安全成本納入採購規畫。

最值得注意的是須揭露持股結構與來源國，若供應商的控制權來源國持股逾25%，銀行須確認其符合國內法規與資安要求。新版規範對契約條款要求更嚴密，例如不得任意轉包他人，契約須明訂資料安全、異常通報、退場替換等機制。此外，新版規範要求持續稽核與教育訓練，金融機構需定期進行第三方稽核或安全訪視，並監督供應商人員接受資安訓練。

這項修訂呼應金管會推動的「供應鏈資訊安全」政策，讓銀行在AI、雲端與跨境資料處理等高風險環境下，能建立統一的資安門檻。換言之，從採購、簽約到服務結束，供應商都要被「全程監控」。近年國際間屢傳供應鏈遭駭事件，歐美多國監理機關紛紛要求金融業揭露實質控制權與供應商來源國。銀行業者表示，台灣此次修訂不僅與國際趨勢接軌，也象徵資安防線已從「內控」延伸至整條產業鏈。