原标题:【资安周报第62期】金管会要求银行半年內设资安专责单位,纳入金检重点
金管会发文要求,台籍银行在未来半年内,应该要设置资安专责单位和资安专责主管,未来逐步成为资安独立部门。
图片来源:金管会
从去年7月台湾发生国际网路犯罪集团操控的ATM盗领案后,主管机关金管会对于金融业者在资安防护措施上开始多所要求;直到今年农曆春节后,竟然又发生针对台湾券商网路下单平台的DDoS(分散式阻断式)攻击事件,甚至有多家券商的网路下单平台因此发生服务暂时中断的现象。
经历这几次针对台湾金融业的网路攻击事件后,金管会深刻意识到,资讯安全已经是台湾金融服务不可忽略的重要命脉,甚至在2月24日召集台湾各家银行的总经理开会,会议的主轴就是希望本国银行可以在未来的6个月内,依照银行规模、业务複杂度和营运风险等,设置资安专责单位及相当层级的专责主管,未来逐步将资安专责单位提升到独立专责部门,以维持执行资安业务的独立性。
因此,我们可以预期的未来则是,台湾的银行业者将必须因应政府法规遵循需求,首度有正规的资安专责主管和资安专责部门。不过,这样的资安专责部门和专责主管,如果要能够发挥应该有的关键角色,除了必须要有一定的组织位阶并获得公司高层的全面支持外,更重要的是,这个资安部门不能够只管资讯系统面带来的风险,连业务流程面的风险都有权责能够直接介入,才不会成为徒具形式的资安部门而已。
台湾大型民营银行早有资安部门,但只管系统风险不管作业风险
事实上,早在金管会的要求之前,台湾的大型民营行库业者,其实早就都已经有设置资安的专责单位,而这些单位主管也都是名义上的资安主管。
但和外商银行相较,台籍银行的资安部门往往都挂在资讯部门之下,所经手的资安业务都是偏向系统造成的资安风险;但外籍银行的资安长或资安主管在角色扮演上,和台籍银行有着明显的不同。外籍银行的资安主管除了经手所有系统造成的资安风险外,让外籍银行资安长可以真正发挥关键角色的原因更在于,所有业务造成的资安风险,全数都会一併照会资安部门和资安主管。
资安的风险除了系统带来的风险之外,更大的危害来自于业务流程相关的作业风险,不过,依照台籍银行的认定,许多和公司营运甚至是业务面的风险,大部分都会直接转介到负责银行中后台风险的风险长(CRO)或风控长身上,但是风险长或风控长对于资讯系统带来的资安风险并无置喙的余地。
最明显的例子就是,今天主管机关发函要求银行进行相关的法遵配合事项时,除了明显与资讯系统相关的公文,银行内部会发文到相关的资讯和资安部门外,与业务流程有关的法遵与安全要求,有多少银行会记得发文照会资讯和资安部门?
据了解,多数的外籍银行都会把业务和作业风险相关的公文内容,一併发文照会到资讯和资安相关的部门与主管;但台籍银行多半会直接发文给业务单位外,多数也会发文照会到风险长,若与合约条文等法遵要求相关,则会再额外照会法务长,一般而言,资讯或资安部门往往不在相关公文照会的範围之内。
从公文照会的流程往往就可以看出,一间银行在面对相关系统或业务带来的资安风险,银行内部的流程到底会由哪些部门经手处理,可以从公文需要照会哪些相关部门来一窥究竟。从这样银行内部公文发函的流程中,就可以明显看出台籍银行和外商银行面对资讯安全议题的基本态度上的差异。
金管会一纸公文将启动台籍银行资安部门转型
从金管会的公文内容可以发现,金管会期待银行所设置的资安专责部门以及资安专责主管,并不希望只是一个徒具名义和形式的纸上机关,或是只需要签名盖章的主管而已,而是希望银行的高层主管,真的愿意从历年来各种层出不穷的资安事件中痛定思痛,真正赋予资安专责主管具有实质权力,并给予资安专责部门足够的资源和预算。
唯有如此,要求台籍银行在6个月内设置的资安专责部门和资安专责主管,才有机会发挥长期的影响力,对于银行面对来自系统和业务流程带来的风险,才具有真正的影响力、有能力真正解决问题。
除了金管会发文要求台籍银行必须设置资安专责主管和成立专责部门外,另外也有一些因应美国纽约监理局等单位的要求,在美国成立海外分行的银行都必须有专责的资安长,且相关的名单则必须送交美国的金融监理局,甚至于,这些负责资讯安全的长官也必须要具有副总层级的位阶,有这样的位阶才足以说服美国金融主管机关,这些在海外设立分行的台籍银行,对于资讯安全的确是重视的。
资讯部门下设资安单位,往往扮演被动角色难以主动出击
回到既有台籍银行的组织架构,现有有设置资安专责部门的民营银?? 行,都将资安部门设在资讯部门之下,首要面临的问题就是,资安主管角色和职掌与资讯主管角色和职掌的冲突。
简言之,要求安全第一的资安主管,与讲究效率、便利和可用性的资讯主管,角色本质上是冲突的,当资安主管必须听令资讯主管时,其实就是资讯长决定银行的资安方向,中间一旦有出入,就严重考验资讯长是否能够放弃资讯本位主义,更去思考资安重要性的时刻。
当然,对于高度依赖资讯系统提供服务的金融业而言,多数台籍银行的资讯长也相当重视资安议题,毕竟,一旦有任何资安事件爆发,以现有银行的组织架构,资讯部门往往难辞其咎,所以多数银行资讯长都可以接受将资安列为资讯部门重要关键因素,某种程度,资讯长也可以接受因为资安议题暂停某些重要服务的上线,直到资安问题解决后才上线。
资讯长和资安长在台湾的运作上,某个程度已经达成一个「平衡点」,不过,资安部门放在资讯部门之下有一个明显的缺点,那就是,几乎多数台籍银行都将资讯部们视为后勤支援单位,也因为后勤支援单位在银行结构上并不够有力,很难在资安上扮演更主动积极的角色。
举例而言,每当有资安事件发生,身处资讯部门下设的资安附属单位,往往是被动成为资安事件浪头上的发言角色,偶一为之还有可能,但若要成为常态性的、可以在资安议题上具有发言甚至是主动决策角色的话,以一个扮演后勤资源角色的资讯部门下附属的资安部门而言,不可能有主动发言的空间。这也是目前台籍银行将资安部门设在资讯部门下,最容易面临到的困境之一。
银行资安部门应兼管系统和作业风险,可考虑设在风险长之下
事实上,银行资安部门和主管并不应该只负责来自系统层面的安全风险,更多来自于作业和操作层面的风险,也应该是资安部门和主管所应该负责的範畴。
但是,以目前银行的组织架构来看,银行的风险长或风控长是负责所有中后台业务流程的风险掌控者,不论是信用风险、作业风险、市场风险甚至是金融商品等相关风险,如果风险部门踩煞车、并不愿意点头的话,相关的服务是绝对无法上线的;更后端的后台风险则由法务长承担,包括合约、法条以及所有适法性评估带来的风险等。
以目前的资安主管和资安部门的工作职掌来看,承担某个部分的作业和操作风险,加上来自资讯系统带来的风险,两者的风险职掌合而为一,才能大致描绘出台籍银行资安主管所应该承担合理的业务内容。
因此,有一些外商银行的确会把资安长下设在风险长之下;倘若真的是资讯部门下设的资安长,资讯部门往往都和业务部单位一样,具有主动积极的特色在内,其下的资安部门当然也可以和业务部门一下,具有主动积极的特色。
要达成资安的目的,往往被随着许多限制和不便,而另外一个和资安部门工作角色类似的就是稽核部门与人员,他们往往必须反覆确认每个规则和条文,是否如实的被执行着,不在规範内的条文,除非是法律规定,否则稽核部门通常不会任意新增稽核的项目。
也因此,相较于稽核的被动性,资安专责单位可以在系统风险以及作业风险的流程上,扮演更主动积极的角色,毕竟,就资安的层面而言,很多时候,最好的防护方式就是主动出击。
资安部门要给人给钱给位阶,也应具备资安产品採购决定权
说实话,要成立一个资安专责单位或设置资安主管并不难,难的在于,要怎幺让这样的设置可以发挥应该有的成效,除了要给人给钱外,更重要的是银行要肯「玩真的」,让资安主管和部门具有真正的权力,可以有一定的决策权力或者是建议权力,否则,在複杂的权力斗争中和资源分配的竞逐中,成立一个晾在一旁、没有作用的部门,是非常容易的事情。
例如,资讯部门预算和资安预算是各自独立的预算;资安部门对于资安设备和资安服务的採购,具有最终的决定权力,可以不受限银行永远是「价低者得」的採购限制,可以真正作为资安产品和服务的最终採购决定者。
除了银行面临的资讯安全风险外,金管会也在公文中提及,成立资安专责单位和设置专责主管的另外一个重要目的,就是要因应银行推动的数位金融以及因应未来主流的金融科技发展,在资讯安全风险越来越难避免的情况下,无处可躲就只能正面迎击。
为了强化台籍银行对于资安的重视,金管会的发文只是第一步,最终希望这些资安专责单位可以成为独立的资安专责部门,维持资安业务的独立性;更重要的宣示则是,金管会强调,未来所有金融业的资安措施也将列入金融检查重点,藉此加强金融机构的资讯安全。
因此,未来半年内,台籍银行设置资安专责单位和资安专责主管的作为,也将成为金管会对各个银行金融检查的重点之一;只不过,希望这样的设置不是虚应故事,而是真正能对台籍银行业者在资安风险的应对上,带来真正的质变。
iThome Security
相关:
由于农历过年新车交车潮已过, 2月台湾车市恢复平静,加上工作天数少,单月新车挂牌数仅2万4215台、月减46.7%、年增12.3%。累计今年 1至2月台湾新车挂牌数6万9645台、年增0.9%,车商表示,与年初预期相差不大,包括
江南布衣进入迅速扩张模式 半年新开182家店
去年10月在中国香港上市的本土服饰公司江南布衣(JNBY)最新公布了上市后的首个半年报,2016 年 7月-12 月的6个月期间,该公司的总收入为 13 亿人民币,同比上升 22.4%;纯利
由于新车款高峰期过,今年市场上新车款上市比起去年沉寂许多,不过车厂在上半年卯足全力,发表的新车将让有意下手买车的消费者,心里相当纠结。网络讨论度最高的,莫过于丰田(Toyota)跨界休旅车(SUV)C-HR,总代理和
Container双周报第28期:CoreOS舍弃自家调度工具Fleet,将重心转移至Kubernetes
重点新闻(02月11日-02月24日)·CoreOS捨弃自家调度工具Fleet,将重心转移至Kubernetes除了开源软体厂商除了红帽捨弃自家调度工具,转用Kubernetes之外,近日CoreOS也宣布,未来自家的容器作业系统Container Linux要
消基会董事长游开雄表示,台湾200万人爱路跑,但活动审查竟不含路权取得;另调查16场活动,9场没退费办法,7场有条件不退费,应订定型化契约保障消费权。消费者文教基金会今天召开“路跑活动藏陷阱,逾半数报名后不