《金融》金管會強化金融業資安 公佈導入零信任架構參考指引
資服處處長林裕泰指出,目前金融機構對於資安防護着重焦點不一,此次制定指引主要爲統一標準,將現有的「點」連成「線」,提供更全面的資安防護導入指引,使金融機構能據此逐步導入強化整體資安防護,特別是過往未重兵部署的內網部分。
金管會2022年12月公佈「金融資安行動方案2.0」時,爲因應後疫情時期及數位轉型的資安防護需求,將「鼓勵零信任網路部署,強化連線驗證與授權管控」納爲精進重點之一,此次據此公佈「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。
資訊服務處長林裕泰表示,目前金融機構在資安防護上均有一定量能,如雙因子身分驗證、設備健康檢查及網段隔離等。爲鼓勵金融機構在既有基礎上,以零信任思維續深化資安防護,故依據與金融機構研討過程中的凝聚共識,訂定參考指引供金融機構參考運用。
金管會在參考指引中建議金融機構採取風險導向,選擇高風險場域作爲優先導入零信任架構標的,如遠距辦公、雲端存取、系統維運管理、應用系統管理、服務供應商、跨機構協作等6大場域,金融機構可依風險基礎方法進行適當評估,擇定導入優先序及範圍。
導入策略方面,金管會區分4階段分級指標,依序爲靜態指標、融入動態指標、即時指標及最佳化整合指標,建議金融機構盤點高風險場域完整存取路徑,即身分、設備、網路、應用程式及資料,由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面。
林裕泰表示,參考指引屬於行政指導,金融機構在實際導入時仍須考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適,或另外進行適切規畫,不以此參考指引爲限。
同時,金管會將鼓勵金融機構分享實務案例,提供同業交流研討最佳實務,並將透過定期調查各金融機構導入規畫及進程,與各同業公會、周邊單位衡量實際資安防護需求及執行可達性,適時納入資安規範,提升整體資安防禦水準。