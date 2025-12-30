金管會今日發布「金融資安韌性發展藍圖」，其中近二年來外界陸續強調的「金融業戰時兵推」，在該藍圖中亦要求強化多層次備援機制，來確保關鍵金融服務可用性。該藍圖將以四年為期分階段推動，每季檢討成果。

金管會也指出，金管會在新的藍圖裡，將續推進強化關鍵金融服務多層次備援架構，並考量實際災難發生時的跨區資源調度與指揮運作，透過定期測試與演練驗證，確保任一層故障時皆能切換運作，優先恢復關鍵金融服務，金融機構並應同步針對關鍵供應鏈夥伴評估其災難復原與備援能力，建立相關備援協作機制或研擬替代措施，併納入備援及演練規劃。

金管會指出，此一藍圖的發布，是為因應「國家資通安全戰略2025」及「第七期國家資通安全發展方案」等政策，及確保金融系統營運不中斷，提供民眾安心交易環境。

金管會在109年8月發布「金融資安行動方案」、111年12月發布「金融資安行動方案2.0」，執行迄今已逾五年，目的就是為了金融服務不中斷，先前包括設置資安長及遴聘具資安背景董事、顧問或設置資安諮詢小組、增修訂資安自律規範或作業指引、導入國際資安管理標準、訂定金融資安人才職能地圖、建立資安監控機制及聯防機制、辦理資安攻防演練與競賽、建立金融資安事件應變體系等項等任務及目標已達成，因此訂定「金融資安韌性發展藍圖」，作為繼續強化金融資安的最新計畫。

尤其金管會觀察到國際間正積極推動「韌性導向」的監理，強調金融機構在面對網路攻擊、運作中斷或其他不確定性時，須具備快速回應與復原的能力，這也是「金融資安韌性發展藍圖」訂定的重要目標，該藍圖以目標治理、全域防護、生態聯防、堅實韌性為四軸架構，訂有29項措施，目標是建構「可預測、可防禦、可復原」的金融生態系。

金管會也說明十大重點如下：

一、強化經營階層資安治理職能與問責機制，鼓勵資安法規調適：金管會前已推動一定規模或電子交易達一定比例之金融機構設置資安長，及鼓勵金融機構遴聘具資安背景之董事或設置資安諮詢小組，將持續推動提升董事會資安監督能量，強化資安長職責與權責，建立具「責任、權限、資源」三位一體的金融資安治理架構，強化問責鏈、確保決策獨立、提升資安治理彈性與韌性；另考量資安法遵要求愈趨繁複，且更新速度可能難以因應資安威脅演變，因此鼓勵於法規增修，併同就既有法規重疊、滯礙或策略目標進行調適或前瞻布局，適度授權資安長可採取相當控制措施，以提升資安治理效率與彈性。

二、加強資安人才培育與交流，從共通基準邁向策略目標：金管會將鼓勵金融機構盤點資安人才分布情形及缺口，健全資安職能配置；並藉以調修建立與「零信任」執行相關的「成熟度分級」評估指標，引導金融機構從合規導向轉向目標導向，建立「可量測、可成長、可差異化」監理架構。

三、資安左移，安全納入設計：傳統軟體開發流程著重於功能實現與滿足使用者需求，安全性檢測常被延後進行，增加潛在資安風險，且將增加修復成本及延宕專案期程，爰鼓勵金融機構導入軟體安全開發、測試及部署流程，將資安左移至較前且較低成本的階段解決，並產出軟體物料清單(SBOM)，建立漏洞監控與版本更新之機制；另將研訂應用程式介面(API)安全基準，以強化API安全防護。

四、推動零信任架構，提升資安防護基準：金管會已於113年7月發布「金融業導入零信任架構參考指引」，將持續推動高風險場域優先導入，並漸進提升成熟度；並將透過定期調查各金融機構導入規劃及進程，衡量實際資安防護需求及執行可達性，評估將實作參考原則漸進納入資安基礎規範，提升整體資安防禦水準。

五、強化資安監控及防護有效性：金管會自109年起鼓勵金融機構建置資安監控機制(SOC)，並研析駭客組織攻擊手法，制定金融資安監控及組態基準，提供金融機構參考運用，將持續擴增資安監控及組態基準涵蓋範圍(包含雲端)，及鼓勵金融機構定期檢驗資安監控及防禦部署之有效性。

六、前瞻部署，因應新興科技的挑戰：考量AI系統的資安風險更複雜與隱蔽，將研訂「金融業AI系統安全防護及檢測參考指引」，以涵蓋傳統網路威脅及AI特有攻擊類型；另因應量子電腦已證實對「非對稱式加密技術」構成嚴重威脅，影響網路交易、電子簽章及身分驗證等加密安全，將研訂金融業後量子密碼學(PQC)遷移參考指引，提供金融業據以建立PQC遷移計畫，及視量子電腦及PQC發展成熟度適時推動金融機構辦理PQC遷移作業。

七、強化供應鏈資安，健全金融資安生態系：因應金融業對於第三方服務供應商與外包商的依賴程度日益加深，規劃依產業特性、供應商接觸資通系統之類別及資料敏感度等面向進行分級，研訂資安責任之委外契約參考條款，並鼓勵金融機構建立供應鏈風險評估機制，與其關鍵供應商、第三方服務商、系統整合商等上下游合作，分享威脅、保護資訊、強化控管，聯合資安演練，降低整體供應鏈的資安風險。

八、加強資安情資分析與協同防禦：金融資安資訊分享與分析中心(F-IASC)已於111年底建置資安情資關聯分析平台，規劃強化既有情資自動化分享機制及導入自動化分析機制，並研議修訂情資分享獎勵辦法，鼓勵會員蒐集分享生態系關聯曝險情資；另規劃建立金融資安漏洞通報與回應管道，及定期舉辦跨國線上交流會議，深化與國際合作夥伴交流及提升國際能見度，並強化跨境事件的預警與應變效益。

九、辦理資安攻防演訓，強化資安事件應處能量：為強化金融機構因應駭客攻擊防禦能量，將持續辦理金融資安攻防演練，並與訓練機構合作以演訓專班方式擴大參與量能。

十、強化多層次備援機制，確保關鍵金融服務可用性：金管會前已將強化金融機構關鍵資料保全機制列為推動重點，爰規續推進強化關鍵金融服務多層次備援架構，並考量實際災難發生時的跨區資源調度與指揮運作，透過定期測試與演練驗證，確保任一層故障時皆能切換運作，優先恢復關鍵金融服務，金融機構並應同步針對關鍵供應鏈夥伴評估其災難復原與備援能力，建立相關備援協作機制或研擬替代措施，併納入備援及演練規劃。