金管會發布「金融資安韌性發展藍圖」　29項措施打造可預測、可復原金融體系

為因應「國家資通安全戰略2025」及「第七期國家資通安全發展方案」，並確保金融系統營運不中斷，金融監督管理委員會今天發布「金融資安韌性發展藍圖」，以目標治理、全域防護、生態聯防、堅實韌性為四軸架構，訂有29項措施，目標是建構「可預測、可防禦、可復原」的金融生態系，以強化金融業整體資安防護能力與營運韌性，提供民眾更安全、穩定的金融交易環境。

數產署今年攜手後量子資安產業聯盟發布「後量子密碼遷移指引」，產業也聚焦金融業版本，金管會說明，目前已召集16家金融業者 ，對於密碼學技術盤點和風險評估，明年上半年會先做金融業版本。

金管會指出，自2019年發布「金融資安行動方案」、2022年推出「金融資安行動方案2.0」以來，已推動逾五年，相關績效指標均已達成，包括金融機構設置資安長、遴聘具資安背景董事或顧問、導入國際資安管理標準、建置資安監控與聯防機制、辦理資安攻防演練，以及建立資安事件應變體系等，為金融資安治理奠定基礎。

金管會表示，近年金融科技快速發展、國內外資安威脅情勢轉變，國際監理趨勢亦逐步轉向「韌性導向」，強調金融機構須具備在網路攻擊或營運中斷時，快速回應與復原的能力，因而滾動檢討既有措施，研訂「金融資安韌性發展藍圖」，作為下一階段推動準據。

該藍圖以「目標治理、全域防護、生態聯防、堅實韌性」為四大主軸，規劃29項推動措施，目標建構「可預測、可防禦、可復原」的金融資安生態系。重點包括強化董事會與經營階層的資安治理與問責機制、培育並交流金融資安人才、推動「資安左移」將安全納入系統設計初期、擴大導入零信任架構，以及提升資安監控與防護有效性。

在前瞻部署方面，金管會將研訂金融業AI系統資安防護指引，因應AI特有風險，同時規劃後量子密碼學（PQC）遷移參考指引，協助金融機構及早因應量子運算對加密安全的衝擊。此外，也將強化供應鏈資安管理，建立分級管理與委外契約資安責任機制，降低第三方風險。

金管會亦規劃深化金融資安情資分享與協同防禦機制，強化金融資安資訊分享與分析中心（F-ISAC）功能，並持續辦理資安攻防與重大事件應變演練，驗證跨機構、跨體系的通報與支援能力。同時，將推動關鍵金融服務多層次備援架構，確保在災害或系統異常時，金融服務能迅速切換並優先恢復。

金管會表示，「金融資安韌性發展藍圖」將以四年為期分階段推動，並按季檢討執行成果，視資安情勢與實務運作滾動調整。推動過程將透過公私協力、差異化管理、資源共享、監理誘因及國際合作等方式，引導金融機構持續提升資安防護能量，打造安全穩定的金融服務環境，作為金融科技創新發展的重要基石。