阿摩線上測驗
33.有關金融監督管理委員會發布之「金融資安行動方案」2.0 版,下列敘述何者錯誤?
(A)擴大資安長設置,定期召開資安長聯繫會議
(B)辦理資安攻防演練,規劃重大資安事件支援演訓
(C)鼓勵零信任網路部署,強化連線驗證與授權管控
(D)針對各業別屬性、機構規模及業務風險等,採取一致性的管理機制,以保障資安水準
答案:登入後查看
統計: A(260), B(128), C(780), D(2330), E(0) #3344715
統計: A(260), B(128), C(780), D(2330), E(0) #3344715
詳解 (共 6 筆)
奈羽太太
#6311702
金融資安行動方案2.0版以擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有40項措施,其中新增資安措施計12項、擴大適用範圍計5項、持續性措施計23項。謹說明重點如下:
ㅤㅤ
一、 擴大資安長設置,定期召開資安長聯繫會議:金管會已修訂各業別內部控制規範,要求銀行及一定規模以上金融機構設置副總經理層級以上之資安長。考量電子交易達一定比例者,其資安防護對整體營運影響亦高,爰併納入推動設置資安長範圍,統籌資安政策推動協調與資源調度。另為強化資安長職責,規劃另定期辦理資安長聯繫會議,就當前資安情勢、推動策略及關鍵議題等共同研商,並增進金融機構間交流與聯防。
ㅤㅤ
二、 因應數位轉型及及網路服務開放,增修訂自律規範:考量金融機構因應疫情加速數位轉型的腳步,對數位金融服務之倚賴愈深,傳統金融服務場景亦由金融機構擴展至「金融生態圈」,爰規劃參考數位身分驗證等級國際標準(ISO 29115)架構,將網路身分驗證(eKYC)依登錄、信物管理及驗證等階段運作機制,區分信賴等級,並建立與業務風險對照之規範,以利業者於提供網路金融服務遵循;並將與第三方服務提供者(TSP)業務合作之風險評估與管理納入自律規範研修課題。
ㅤㅤ
三、 深化核心資料保全及營運持續演練:金融資訊安全影響金融穩定,金融核心業務資料之保全更攸關民眾於金融機構財產權之確保。為因應重大資安事件、天然災害等風險,將研議並鼓勵重要金融機構強化重要核心資料保全機制(包含核心資料檔案、資料庫加密與分持,儲存於第三地或雲端備份等機制)。另為實證金融機構運作機制於關鍵時刻能有效運作,規劃依據行業特性訂定核心業務系統備援演練指引(如本異地備援實際運作、切換時效要求等項),以提供金融機構遵循,並持續鼓勵於異地備援演練時,納入對外服務實際運作,驗證其有效性;也鼓勵金融機構併同外部關聯單位辦理資通系統聯合演練,以應災害備援實務需求。
ㅤㅤ
四、 擴大導入國際資安管理標準及建置資安監控機制:金管會自109年鼓勵金融機構導入國際資安管理標準(ISMS)及建置資安監控機制(SOC),主要金融機構均已導入或已有規劃辦理時程,為求落實及有效執行,爰規劃依據業別特性,訂定國際資安管理標準之驗證範圍(如資訊基礎設施、全部核心資通系統、核心業務流程、網路金融服務等),並建立資安監控作業基準(如組織、作業程序、監控範圍、資安威脅偵測與管理機制等),擴大推動至具一定規模或電子交易達一定比例之金融機構。
ㅤㅤ
五、 鼓勵資安監控與防護之有效性評估:資安監控與防護重在早期發現處置與防護網之綿密,惟純粹以守方思維,難免掛萬漏一,爰鼓勵已建置SOC並達一定規模之金融機構引入攻擊方思維,定期藉由網路攻擊手法,如DDoS攻防演練、紅藍隊演練、入侵與攻擊模擬等,檢驗資安監控及防禦部署之有效性。
ㅤㅤ
六、 鼓勵零信任網路部署,強化連線驗證與授權管控:因應疫情帶動異地/居家辦公模式,及資料與服務雲端化、使用者行動化、存取設備多元化,傳統基於信任邊界之網路模型已難以滿足新形態工作需求,爰規劃鼓勵金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路3大核心機制,搭配網路及資源的細化權限管控,以更能因應後疫情時期及數位轉型之資安防護需求。
ㅤㅤ
七、 鼓勵配置多元專長資安人才,擴大攻防演訓量能:為利金融機構資安之全面防護,規劃從需求面鼓勵金融機構重視各式資安人才之配置,及取得相關國際或專業訓練機構核發之資安證照(書),引導金融機構重視資安人員之資格能力,以完備機構內資安維運所需職能。另為強化因應網路攻擊之防禦能量,爰規劃導入美國資安專業組織MITRE發布之攻擊與防禦方法論(MITRE ATT&CK & ENGAGE),開設金融資安演訓專班,提升資安攻防戰略/戰術思維,並擴大演訓量能。
ㅤㅤ
八、 提升資安情資分享動能,增進資安聯防運作效能:督導金融資安資訊分享與分析中心(F-ISAC)持續加強情資分析之深度及廣度,並深化與會員間之情資分析與交流,以利及時提供更為精確完整的早期預警與防護建議。另將輔導金融機構SOC導入依據網路攻擊行為樣態研訂之資安監控組態基準(包含異常事件觸發及關聯分析規則等),並以此為基準研訂與聯防SOC協作之監控組態與事件單觸發規則,以增進聯防SOC對金融機構饋送事件單關聯分析之即時性及有效性,並利資安監控情資之回饋,提升金融機構SOC與聯防SOC協同運作效能。
ㅤㅤ
九、 辦理資安攻防演練,規劃重大資安事件支援演訓:為強化金融機構資安事件應變能力,將持續規劃辦理金融機構分散式阻斷服務攻擊(DDoS)攻防演練、網路實兵攻防演練、網路攻防競賽及重大資安事件情境演練。另為利跨機構支援之實務運作,將規劃建立重大資安事件虛擬指揮及應變體系,結合重大資安事件演練,併同驗證資安事件督導指揮、跨機構協調聯繫及支援應處能量等之運作機制。
ㅤㅤ
(節錄自金管會新聞稿)
26
2
月月安
#6384162
用chat gpt 重點整理-金融資安方案2.0
一、推動四大策略主軸:
1. 強化金融機構資安治理
導入資安治理制度與內稽內控機制。
高階主管需負資安最終責任。
設置資安長(CISO)並確保其獨立性。
建立資安專責部門與專責人力配置。
2. 提升金融資安防護能量
採用多層防禦機制、零信任架構。
建置異常偵測與事件回應機制。
強化終端裝置與系統的存取控制。
進行定期滲透測試與紅隊演練。
3. 強化資安資訊分享與應變機制
成立「金融資安聯防機制」平台(F-ISAC)。
建置即時通報與通報回饋機制。
推動跨機構資安演練。
與國際資安組織合作,掌握全球威脅趨勢。
4. 培育資安人才與深化資安文化
定期對金融機構全體員工進行資安教育訓練。
鼓勵資安專業人員取得國際證照。
強化資安意識與應變能力演練。
---
二、其他重點措施:
加強對第三方服務(如雲端、外包廠商)的資安管理。
納入 FinTech(金融科技)與數位創新服務的資安規範。
訂定各類金融機構資安成熟度標準,每年進行自評與稽核。
發展情資分享平台與威脅情報中心(TIP)系統。
要求重大資安事件「即時通報、即時應變、即時通報主管機關」。
----------------------------------------
原題解析:
題目問:「下列何者錯誤?」
四個選項都提到《金融資安行動方案2.0版》的重點措施,但只有一個違背實際政策內容。
各選項分析:
(A) 擴大資安長設置、定期召開聯繫會議 → 正確(屬於資安治理強化內容)
(B) 辦理資安攻防演練與事件支援演練 → 正確(屬於提升防護能量與應變機制)
(C) 鼓勵零信任網路部署、強化連線驗證與授權 → 正確(屬於強化技術防線)
(D) 「針對各業別屬性、機構規模及業務風險等,採取一致性的管理機制」 → 錯誤!
→ 錯的點在於「一致性」:實際上金管會強調應「依風險導向、彈性調整管理機制」,不會要求所有機構不分大小都使用同樣的標準。
7
0
哈密瓜水
#6360099
2024版,p441
7
0
月月安
#6384164
補充說明
零信任架構(Zero Trust Architecture, ZTA)」是一種現代資安策略,核心原則是:
> 「永不信任,持續驗證」(Never trust, always verify)
零信任的核心概念:
傳統資安模式通常信任內部網路使用者,只防外部威脅,但零信任架構假設:
內部也可能存在威脅,不論使用者來自內部還是外部,都必須驗證身分與授權,每次存取行為都要經過驗證與最小授權原則控管
零信任的三大原則:
1. 持續驗證(Continuous Verification)
每次使用系統、資料或服務都要驗證身分、設備、位置、風險等條件。
2. 最小權限(Least Privilege Access)
使用者只能存取執行工作所需的最小資源,避免濫權或資安漏洞擴散。
3. 分段與監控(Micro-Segmentation and Monitoring)
將網路與資源切割為小區域,並對存取行為進行細部監控與記錄。
1
0
