金管會發布「金融資安韌性藍圖」 4年推動盼部分措施落地全面實施

AI的發展讓資安風險更複雜且隱蔽，為因應新型態資安風險，金管會發布「金融資安韌性發展藍圖」，接續自前一版金融資安行動方案2.0，該藍圖以4年為期，預計2026年起每季檢討執行情況，納入國內外最新資安防護重點，全面強化金融業應對新型資安威脅的能力，部分措施如資安左移、零信任架構和資安監控等項目，目標是4年後有望可落地全面執行。

根據金管會所發布的藍圖共規劃有4大構面，涵蓋以目標治理、全域防護、生態聯防、堅實韌性，訂有29項措施，並有10大重點，每一構面下設有明確的行動方案。資訊服務處處長林裕泰說明，目標治理方面，將強化高層問責機制，提升資安長權責與資源配置，同時推動法規調整以因應新科技需求；全域防護則聚焦軟體安全開發、零信任架構推動、資安監控效能提升，以及AI、後量子密碼等新興科技的資安防護參考指引。

生態聯防著重供應鏈管理分級、資安情資分析合作，並鼓勵與供應商及生態圈夥伴協作；堅實韌性部分則將擴大攻防演練範圍及參與對象，並強化金融服務備援機制。

其中，藍圖提及AI系統安全防護與檢測參考指引，林裕泰說，由於AI仍在發展階段，現在制定太詳細的資安指引，未來不見得適用，需持續性的檢討改善，目前有參考國際組織針對大語言模型、AI代理發布、駭客系統攻擊等常見狀況及緩解措施。至於部分措施如資安左移、零信任架構及資安監控預計逐步約4年時間落地為自律規範。

林裕泰表示，藍圖內容在規劃前已廣泛徵詢業者意見。多數業者認為，營運任性牽涉到需要更多資源、更大成本的投入，但也普遍支持分階段推進成熟度指標，即依據金融業自身資源和資安現況逐步達成不同級別的指標。為了鼓勵金融業根據藍圖執行，激勵誘因包含存款保險費率等制度納入資安執行表現評估。

此外，林裕泰補充，在加強資安情資分析與協同防禦方面，金管會規劃建立金融資安漏洞通報與回應管道，及定期舉辦跨國線上交流會議，深化與國際合作夥伴交流及提升國際能見度，並強化跨境事件的預警與應變效益。截至目前，金管會已與日本和泰國簽署資安合作備忘錄，並維持與韓國和歐盟等地的聯繫，後續將依需求擴大合作範圍。