一、 國際相關資安法規
(一) 美國:
- 網路安全風險管理、策略、治理與事件揭露(Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure)
-
(1)揭露網路安全事件的重大影響:
-
a.在確定網路安全事件屬於重大事件後的四個工作天內提交重大事項報告表。
-
b.重大事項報告表必須描述事件的性質、範圍和時間安排的重大方面,以及對公司的重大影響或合理可能的重大影響。
-
c.公司應建立並審查與網路安全風險或事件揭露相關的現有揭露控制和程序。
-
-
(2)揭露網路安全風險管理和策略:
-
a.詳細描述其評估、識別和管理網路安全威脅重大風險的流程,以便投資者了解這些流程。
-
b.描述網路安全威脅所帶來的風險(包括先前任何網路安全事件造成的風險)是否已產生重大影響或合理可能產生重大影響。
-
-
(3)揭露管理階層和董事會監督:描述董事會對網路安全威脅風險的監督以及管理階層在評估和管理網路安全威脅重大風險方面的作用。
-
- 關鍵基礎設施網路事件報告法(The Cyber Incident Reporting for Critical Infrastructure Act of 2022)
-
(1)規範對象:16個關鍵基礎設施領域,包含化學、商業設施、通信、關鍵製造業、水壩、國防工業基地、緊急服務、能源、金融服務、食品和農業、政府設施、健康與公共健康、資訊技術、核反應爐、材料及廢料、運輸系統、水與廢水系統。
-
(2)內容:要求關鍵基礎設施實體向「國土安全部網路安全暨基礎設施安全局」(CISA, Cybersecurity and Infrastructure Security Agency)報告重大網路事件和支付贖金。
-
a.重大網路事件:
-
(a)重大網路事件的定義։導致此類資訊系統或網路的機密性、完整性或可用性嚴重喪失,或對作業系統和流程的安全性和彈性造成嚴重影響的任何事件。
-
(b)報告時間։確認網路事件發生後72小時內。
-
-
b.支付贖金:
-
(a)重大網路事件的定義։導致此類資訊系統或網路的機密性、完整性或可用性嚴重喪失,或對作業系統和流程的安全性和彈性造成嚴重影響的任何事件。
-
(b)報告時間։確認網路事件發生後72小時內。
-
-
-
- 紐約州金融服務部網路安全規則NYDFS(New York Department of Financial Services) Cybersecurity Regulation(23 NYCRR(New York Codes, Rules and Regulations) 500)
-
(1)規範對象:適用於所有由 NYDFS 授權、許可、註冊或受監管的實體,包括銀行、保險公司和其他金融服務公司。
-
(2)規範內容:
-
a.建立網路安全計畫:每個受規範的實體必須建立並維護一個基於風險的網路安全計畫,涵蓋以下內容。
(a)確保機密性、完整性和可用性。
(b)識別和回應網路安全事件。
(c)符合法規及相關業務需求。
-
b.指定首席資訊安全官(CISO, Chief Information Security Officer)
(a)實體必須任命一位負責網路安全的CISO。
(b) CISO 必須至少每年向董事會提交報告,詳述網路安全風險和改進計畫。
-
c.培訓與意識:實體需實施持續的網路安全培訓,幫助員工了解相關風險和合規責任。
-
d.定期風險評估:必須至少每年進行一次風險評估,確保網路安全計畫適應不斷變化的威脅。
-
e.存取控制與多因素身份驗證(MFA, Multi-factor authentication)
(a)實施基於角色的存取控制。
(b)引入多因素身份驗證以保護敏感數據和系統。
-
f.加密數據:要求對靜態和傳輸中的敏感數據進行加密。
-
g.事件報告:必須在 72 小時內向 NYDFS 報告任何會對營運、數據或客戶造成重大影響的網路安全事件。
-
-
- 法規比較։比較「網路安全風險管理、策略、治理與事件揭露」、「關鍵基礎設施網路事件報告法」、「紐約州金融服務部網路安全規則NYDFS」差異如下表。
| 法規 | 網路安全風險管理、策略、治理與事件揭露 | 關鍵基礎設施網路事件報告法 | 紐約州金融服務部網路安全規則NYDFS Cybersecurity Regulation |
| 發布機構 | 證券交易委員會 (SEC) | 聯邦政府 | 紐約州金融服務部 |
| 規範對象 | 遵守 「1934 年證券交易法」報告要求的上市公司 | 關鍵基礎設施 | 由紐約州金融服務部 授權、許可、註冊或受監管的實體,包括銀行、保險公司和其他金融服務公司。 |
| 報告內容 | (1)網路安全事件 (2)網路安全風險管 理與策略 (3)管理階層和董事會監督 |
(1)重大網路事件 (2)贖金支付 |
(1)網路安全事件 |
| 截止日期 | (1) 4個工作天內向SEC通報 | (1)72小時內向國土安全部網路安全暨基礎設施安全局通報 (2)24小時內向國土安全部網路安全暨基礎設施安全局通報 |
(1) 72小時內向紐約州金融服務部通報 |
(二) 歐盟:
- 歐盟網路安全法(EU Cybersecurity Act)
- 旨在加強歐洲的網路安全能力,建立統一的網路安全框架,並促進信任和透明度,法案主要包括以下兩個核心部分:
-
(1)歐洲網路安全機構的強化:歐盟網路與資訊安全局(ENISA, European Union Agency for Cybersecurity)在該法案中被賦予更大的權力和永久授權,以協助成員國和歐盟機構應對網路安全威脅。
歐盟網路與資訊安全局的關鍵職能:
a.技術支援:協助成員國發展網路安全能力,應對跨境威脅和事件。
b.威脅管理:建立威脅情報交換平臺,促進跨國合作。
c.標準制定:協助制定技術和管理標準,推動網路安全法規的落實。
d.提升意識:組織宣傳活動,推動對網路安全重要性的認識。
e.應急響應:協調網路安全演習,支持重大網路安全事件的應對。
-
(2)歐盟網路安全認證框架:創建歐盟統一的網路安全認證框架,為資訊及通訊技術(ICT, Information and Communication Technology)產品、服務和流程制定安全標準,促進數字市場的信任和透明度。
認證框架的關鍵點:
a.自願性到強制性:大多數情況下,認證是自願的,但在特定關鍵領域可能成為強制性要求(例如,物聯網設備或關鍵基礎設施)。
b.認證層級:分為三個安全保證層級:
(a)基本級:適用於低風險環境,防止基本威脅。
(b)實質級:針對中等風險場景,提供更高程度的保護。
(c)高級:適用於高風險場景,例如關鍵基礎設施。
c.統一標準:認證的標準在歐盟範圍內有效,減少跨國交易中的不一致性。
-
- 旨在加強歐洲的網路安全能力,建立統一的網路安全框架,並促進信任和透明度,法案主要包括以下兩個核心部分:
- 歐盟網路與資訊系統安全指令(NIS(Network and Information Systems) 2 Directive,):為資安監管措施,基於2016公布的《網路與資訊系統安全指令》
-
(1)監管對象:對經濟或社會影響至關重要的中大型企業。
-
(2)通報對象:電腦資訊安全事件應變小組(CSIRT, Computer Security Incident Response Team小組)或主管機關。
-
(3)事件回應:重大事件24小時內進行初期通報,72小時內提供事件報告,並於一個月內提供最終報告。
-
(三) 新加坡:
- 網路安全法(Cybersecurity Act)
- 旨在保護新加坡的關鍵資訊基礎設施(CII, Critical Information Infrastructure),增強國家的網路安全防護能力,並提升應對網路威脅的整體韌性。該法案由新加坡網路安全局(CSA, Cyber Security Agency of Singapore)負責執行。
- (1)目標:
- 旨在保護新加坡的關鍵資訊基礎設施(CII, Critical Information Infrastructure),增強國家的網路安全防護能力,並提升應對網路威脅的整體韌性。該法案由新加坡網路安全局(CSA, Cyber Security Agency of Singapore)負責執行。
a.保護關鍵資訊基礎設施(CII):確保新加坡核心運營系統的安全和穩定。
b.規範網路安全專業活動:為網路安全服務設定標準和要求。
c.應對和協調網路安全事件:建立清晰的指揮與管理架構。
d.加強威脅情報共享:促進公共和私營部門之間的合作。
-
-
- (2)網路安全事件的報告與應對:
-
a.強制報告:不僅適用於 CII,所有重要網路安全事件均需報告。
b.快速響應:CSA 被授權在重大事件發生時進行調查,並要求相關方協助應對。
c.執法權力:CSA 可以下達命令,要求提供數據、檢查設備或系統,甚至臨時接管被攻擊的系統。
-
-
- (3)對企業與個人的影響:
-
a.對企業的要求:
(a)加強系統的網路安全基礎設施,特別是處於關鍵部門的公司。
(b)建立內部網路安全政策,確保員工接受培訓。
(c)與 CSA 積極合作,分享威脅情報。
b.對個人的影響:
(a)網路安全專業人士需要獲得相關資格和認證。
-
-
- (b)個人也需遵守更高的數字安全意識,減少個人設備成為攻擊切入點的可能性。
-
- 技術風險管理準則(TRMG, Technology Risk Management Guidelines)
- 新加坡金融管理局(MAS, Monetary Authority of Singapore)頒佈技術風險管理準則(TRMG),以規範新加坡金融機構的資訊安全系統。該準則旨在促進採用合理、可靠的做法來管理技術風險。
- (1)目標:
-
a.加強技術風險管理能力:減少技術故障、數據洩露或網路攻擊對金融業務的影響。
b.保護客戶數據:確保金融機構有效管理數據隱私和安全。
c.促進業務連續性:提升應對重大網路威脅或技術事故的韌性。
d.確保合規性:為金融機構提供遵守 MAS 法規的清晰指引。
- (2) TRMG 適用範圍:該準則適用於所有由 MAS 授權的金融機構,包括但不限於:銀行、保險公司、資產管理公司、金融科技公司、支付服務提供商。
- (3) TRMG 的重要性:
-
a.降低風險暴露:面對數字化轉型的快速推進,TRMG 幫助機構降低技術相關風險。
b.提升信任:通過合規操作,增強客戶和投資者對金融體系的信心。
c.促進創新與安全:在金融科技(如數字支付和數據分析)發展中提供必要的安全框架。
- 新加坡金融管理局(MAS, Monetary Authority of Singapore)頒佈技術風險管理準則(TRMG),以規範新加坡金融機構的資訊安全系統。該準則旨在促進採用合理、可靠的做法來管理技術風險。
- NOTICE 655
- Notice 655 on Cyber Hygiene 是由新加坡金融管理局(MAS)發布的強制性規範,旨在加強新加坡金融機構的網路安全基礎能力。該通知要求金融機構實施最低限度的網路安全措施,以降低網路安全威脅的風險。
-
(1) Notice 655適用範圍:適用於所有受 MAS 監管的金融機構,包括但不限於:銀行、金融科技公司、支付服務提供商、資產管理機構、保險公司,該些機構必須遵守規定,以保護其 IT 系統免受網路攻擊。
(2) NOTICE 655 的重要性:
a.降低網路風險:透過實施基礎網路衛生措施,幫助金融機構防範常見的網路威脅。
b.提高整體韌性:強制性規定確保金融機構在數字化轉型中能維持業務的穩定性。
c.保障用戶安全:保護金融機構客戶的敏感數據和交易記錄免受攻擊。
-
- Notice 655 on Cyber Hygiene 是由新加坡金融管理局(MAS)發布的強制性規範,旨在加強新加坡金融機構的網路安全基礎能力。該通知要求金融機構實施最低限度的網路安全措施,以降低網路安全威脅的風險。
二、 我國證券及銀行產業資安法規比較
(一)法規比較-彙總:根據銀行及證券商業同業公會所發布的自律規範,彙總法規如下表。
| 類別 | 證券業 | 銀行業 |
| 自律規範-資通安全防護基準 | 資通系統安全防護基準自律規範 建立證券商資通安全檢查機制 |
金融機構資通安全防護基準 |
| 新興科技 | 新興科技資通安全自律規範 建立證券商資通安全檢查機制 |
金融機構運用新興科技作業規範 金融機構提供行動裝置應用程式作業規範 |
| 供應鏈風險管理 | 供應鏈風險管理自律規範 建立證券商資通安全檢查機制 |
金融機構資通系統與服務供應鏈風險管理規範 |
| 資訊作業韌性 | 資訊作業韌性自律規範 建立證券商資通安全檢查機制 |
金融機構資訊作業韌性規範 |
| 重大資安事件通報 | 證券期貨市場資通安全事件通報應變作業注意事項 建立證券商資通安全檢查機制 |
金融機構通報重大偶發事件之範圍申報程序及其他應遵循事項 |
| 電腦安全評估 | 資通系統安全防護基準自律規範 建立證券商資通安全檢查機制 |
金融機構辦理電腦系統資訊安全評估辦法 |
(二)法規比較-自律規範-資通安全防護基準:比較13大類別如下表。
| # | 類別 | 比較說明 | 補充說明 | |
| 一 | 資安政策檢視頻率 | 證券商規範較為嚴謹 | 證券商應依其所屬資安分級辦理核心系統導入資訊安全管理系統,並通過公正第三方之驗證,且持續維持驗證有效性。 | |
| 二 | 資訊資產清冊盤點要求 | 與銀行業規範一致 | ||
| 三 | 人員管理與存取控管相關要求 | 1.存取權限、帳號管理 | 與銀行業規範一致 | |
| 2.帳號權限管理 | 與銀行業規範一致 | |||
| 3.身分確認 | 與銀行業規範一致 | 應確認人員之身分及存取權限,必要時得限定其使用之機器或網路位置(IP)。 | ||
| 4.個人電腦設定 | 銀行業規範較為嚴謹 | 人員超過十五分鐘未操作個人電腦時,應設定密碼啟動螢幕保護程式或登出系統。 | ||
| 5.個人帳號管理 | 與銀行業規範一致 | |||
| 6.安全組態設定 | 與銀行業規範一致 | |||
| 7.加密規範 | 與銀行業規範一致 | |||
| 8.最高權限帳號管理 | 銀行業規範較為嚴謹 | 如為核心資通系統,應於該等帳號被使用時,每日覆核使用結果。 | ||
| 9.雙因子認證 | 銀行業規範較為嚴謹 | 提供網際網路服務之伺服器及 AD(網域服務)主機,對於最高權限帳號及特殊功能權限帳號,應採雙因子認證。 | ||
| 10.最小權限原則 | 與銀行業規範一致 | |||
| 四 | 個資保護相關要求 | 與銀行業規範一致 | ||
| 五 | 機敏資料隱密及金鑰管理 | 與銀行業規範一致 | ||
| 六 | 營運管理相關要求 | 1.原始碼管理 | 銀行業規範較為嚴謹 | 應評估避免於營運環境安裝程式原始碼,惟系統需具備程式原始碼,如:Python、SQL command 等方能運行之營運環境不在此限。 |
| 2.連續假期資安防護 | 銀行業規範較為嚴謹 | 因證券市場與銀行產業特性不同,連續假期期間因證券市場未開盤,因此較無確保相關系統持續運作之議題,建議無須調整。 | ||
| 七 | 容量管理之要求 | 銀行業規範較為嚴謹 | ||
| 八 | 脆弱性管理之要求 | 1.上網管制措施 | 與銀行業規範一致 | |
| 2.電腦病毒及惡意軟體管制 | 與銀行業規範一致 | |||
| 3.弱點掃描 | 與銀行業規範一致 | |||
| 4.EOS/EOL | 與銀行業規範一致 | |||
| 5.惡意網站偵測 | 與銀行業規範一致 | |||
| 6.入侵偵測 | 與銀行業規範一致 | |||
| 7.社交工程 | 與銀行業規範一致 | |||
| 8.DDoS | 銀行業規範較為嚴謹 | 證券產業規範未要求每年進行演練。 | ||
| 9.防火牆 | 與銀行業規範一致 | |||
| 10.網頁與程式異動偵測 | 與銀行業規範一致 | |||
| 11.源碼掃描 | 與銀行業規範一致 | |||
| 九 | 測試環境之要求 | 銀行業規範較為嚴謹 | ||
| 十 | 辦公室管理之要求 | 1.公用電腦管理 | 銀行業規範較為嚴謹 | |
| 2.視訊會議 | 銀行業規範較為嚴謹 | |||
| 3.遠距辦公 | 與銀行業規範一致 | |||
| 4.虛擬桌面管理 | 銀行業規範較為嚴謹 | |||
| 十一 | 網路管理之要求 | 1.DMZ區管理 | 與銀行業規範一致 | |
| 2.網路服務 | 與銀行業規範一致 | |||
| 3.防火牆存取控管 | 銀行業規範較為嚴謹 | 證券產業規範未有應定期檢視高風險設定及六個月內無流量之防火牆規則評估其必要性及風險、已下線系統於半年內調整或停用防火牆規則之規則。 | ||
| 十二 | 系統生命週期之要求 | 銀行業規範較為嚴謹 | ||
| 十三 | 資訊安全事故之要求 | 與銀行業規範一致 | 證券產業未有集中管理進行異常紀錄分析之要求。 | |
(三)法規比較-新興科技:比較5大類別如下表。
| # | 類別 | 比較說明 | 補充說明 | |
| 一 | 雲端服務 | 1.資安政策檢視頻率 | 證券商規範較為嚴謹 | |
| 2.獨立第三人查核 | 證券商規範較為嚴謹 | |||
| 3.加密傳輸規範 | 證券商規範較為嚴謹 | |||
| 4.資料存取 | 證券商規範較為嚴謹 | |||
| 5.儲存地管理 | 證券商規範較為嚴謹 | |||
| 6.IaaS或PaaS雲端服務模式管理 | 證券商規範較為嚴謹 | |||
| 7.建立資通安全通報程序 | 證券商規範較為嚴謹 | 「證券期貨市場資通安全事件通報應變作業注意事項」已有資通安全事件通報要求。 | ||
| 二 | 社群媒體 | 1.資安政策檢視頻率 | 銀行業規範較為嚴謹 | |
| 2.內容監視管控 | 與銀行業規範一致 | |||
| 3.緊急應變程序 | 與銀行業規範一致 | |||
| 4.異常事件通報 | 證券商規範較為嚴謹 | |||
| 三 | 行動裝置 | 1.管理辦法 | 證券商規範較為嚴謹 | 銀行規範自攜裝置管理政策應每年檢視。 |
| 2.列冊管理 | 證券商規範較為嚴謹 | |||
| 3.身分與裝置識別機制 | 證券商規範較為嚴謹 | |||
| 4.連網環境標準 | 證券商規範較為嚴謹 | |||
| 5.自攜裝置資料保護 | 證券商規範較為嚴謹 | |||
| 四 | 行動應用程式 | 1.應用程式發布位置 | 與銀行業規範一致 | |
| 2.應用程式發布程序 | 銀行業規範較為嚴謹 | |||
| 3.版控 | 與銀行業規範一致 | |||
| 4.偽冒監測機制 | 與銀行業規範一致 | |||
| 5.敏感性資料保護 | 證券商規範較為嚴謹 | |||
| 6.行動應用程式檢測 | 與銀行業規範一致之情形 | |||
| 7.金鑰管理 | 銀行業規範較為嚴謹 | |||
| 8.空中傳輸(OTA, Over-the-Air Technology)管理 | 銀行業規範較為嚴謹 | |||
| 9.安全元件儲存媒介(SE, Secure Element)管理 | 銀行業規範較為嚴謹 | |||
| 10.近距離無線通訊(NFC, Near Field Communication)管理 | 銀行業規範較為嚴謹 | |||
| 五 | 物聯網設備 | 1.設備盤點 | 銀行業規範較為嚴謹 | |
| 2.權限控管 | 銀行業規範較為嚴謹 | |||
| 3.連線管控 | 銀行業規範較為嚴謹 | |||
| 4.供應商管理 | 與銀行業規範一致 | |||
| 5.教育訓練 | 銀行業規範較為嚴謹 | |||
| 6.網路釣魚 | 銀行業規範較為嚴謹 | |||
| 7.電子交易 | 銀行業規範較為嚴謹 | |||
| 8.深度偽造 | 與銀行業規範一致 | |||
(四)法規比較-重大資安事件通報
| 證券業 | 銀行業 | |
| 資安事件通報法規要求 | 證券期貨市場資通安全事件通報應變作業注意事項 | 金融機構通報重大偶發事件之範圍申報程序及其他應遵循事項 |
| 通報時限 | 證券期貨業者於發生影響客戶權益或正常營運之資訊服務異常事件或資通安全事件,應於知悉事件30分鐘內至通報系統,辦理事件初步通報。若查明原因為錯誤通報,應填寫「取消通報」原因,始得辦理取消該通報作業。 | 金融機構應於確認後三十分鐘內,先以電話向銀行局通報,再儘速續以網際網路申報系統辦理通報。 |
三、結語
證券業與銀行業自律規範-資通安全防護基準、新興科技比較,部分類別銀行業規範較為嚴謹、部分類別證券業規範較為嚴謹,針對證券業規範較不完整部分,部分原因為行業特性不同而有不同要求,其他證券業規範可再強化之部分,本公司亦定期更新最新之國內外金融業規範,並進行調整。另在重大資安事件通報部分,銀行和證券商都被要求在30分鐘內的時間通報事件,這確保了相關單位能夠在第一時間獲取資訊並採取相應措施,即時性通報機制是防止事態惡化的關鍵,其次,這些規範提供了明確的通報流程和細節要求,這有助於避免混亂和誤報。通過規範化的程序,銀行和證券商可以有條不紊地進行通報,確保資訊的準確性和一致性。這不僅有助於主管機關做出正確的決策,也能提高市場參與者對金融體系的信心。