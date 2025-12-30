金管會公布「金融資安韌性發展藍圖」，共有四軸架構，29項措施。圖為金管會資訊服務處處長林裕泰。（記者王孟倫攝）

〔記者王孟倫／台北報導〕金管會今天公布「金融資安韌性發展藍圖」，這是以「目標治理、全域防護、生態聯防、堅實韌性」等四軸架構，共訂有29項措施，目標是建構「可預測、可防禦、可復原」的金融生態系。金管會強調，共有十大重點，包括強化經營階層資安治理職能與問責機制；推動資安左移，安全納入設計；推動零信任架構，提升資安防護基準，強化資安監控及防護有效性等。

為因應「國家資通安全戰略2025」及「第七期國家資通安全發展方案」等政策，及確保金融系統營運不中斷，提供民眾安心交易環境，發布「金融資安韌性發展藍圖」，期能強化金融業資安防護能力及營運韌性。

金管會資訊服務處處長林裕泰表示，金管會從「防止發生」的心態，轉向「快速反應、快速恢復」的韌性，期於金融業建立一套：可執行、可量測、可提升、可國際接軌的韌性治理模式，最終目標是打造：安全、可信、可持續創新的台灣金融生態系。

林裕泰表示，已推動一定規模或電子交易達一定比例之金融機構設置資安長，及鼓勵金融機構遴聘具資安背景之董事或設置資安諮詢小組，將持續推動提升董事會資安監督能量，強化資安長職責與權責，建立具「責任、權限、資源」三位一體的金融資安治理架構，強化問責鏈、確保決策獨立、提升資安治理彈性與韌性。

其次，金管會將持續滾動修訂資安人才職能地圖，並鼓勵金融機構盤點資安人才分布情形及缺口，健全資安職能配置。

再者，資安左移，安全納入設計：傳統軟體開發流程著重於功能實現與滿足使用者需求，安全性檢測常被延後進行，增加潛在資安風險，且將增加修復成本及延宕專案期程，鼓勵金融機構導入軟體安全開發、測試及部署流程，將資安左移至較前且較低成本的階段解決，並產出軟體物料清單（SBOM），建立漏洞監控與版本更新之機制；另將研訂應用程式介面（API）安全基準，以強化API安全防護。

林裕泰表示，金管會推動零信任架構，提升資安防護基準：已於2024年7月發布「金融業導入零信任架構參考指引」，將持續推動高風險場域優先導入，並漸進提升成熟度；並將透過定期調查各金融機構導入規劃及進程，衡量實際資安防護需求及執行可達性，評估將實作參考原則漸進納入資安基礎規範，提升整體資安防禦水準。

此外，強化資安監控及防護有效性：金管會自2020年起，鼓勵金融機構建置資安監控機制（SOC），並研析駭客組織攻擊手法，制定金融資安監控及組態基準，提供金融機構參考運用，將持續擴增資安監控及組態基準涵蓋範圍（包含雲端），及鼓勵金融機構定期檢驗資安監控及防禦部署之有效性。

還有強化供應鏈資安、健全金融資安生態系等，這是因應金融業對於第三方服務供應商與外包商的依賴程度日益加深，規劃依產業特性、供應商接觸資通系統之類別及資料敏感度等面向進行分級，研訂資安責任之委外契約參考條款，並鼓勵金融機構建立供應鏈風險評估機制，可持續創新的台灣金融生態系。

金管會強調，將持續提升金融機構資安防護能量，建構安全的金融服務發展環境，作為金融科技創新發展之基礎，提供消費者安心、便利與多樣化之金融服務。

