
隨著資訊電子、雲端化發展,伴隨近年諸多影響上億用戶之國際重大資安事件爆發,如何有效控管資訊安全衍生之風險,儼然已成全球關注的焦點。
隨著資訊電子、雲端化發展,伴隨近年諸多影響上億用戶之國際重大資安事件爆發,如何有效控管資訊安全衍生之風險,儼然已成全球關注的焦點。其中,2016下半年由美國聯邦政府機構及紐約州金融服務廳(NYDFS)分別公布之資訊安全法規草案,更將資安議題及金融機關應負義務,推向另一個里程碑,對我國金融機構,尤以在美國設有分行之國銀而言,實屬應密切專注及控管之風險。以下謹介紹美國新公布之法規草案,包含預計今年(2017)3月實施之新網路安全法及未來半年可能定案之加強網路風險管理標準,並進一步探討我國銀行業者可相應調整之策略。
2016年10月19日,美國三個聯邦銀行監理機構-聯邦儲備委員會(FRB)、聯邦儲蓄保險公司(FDIC)、貨幣監理署(OCC),針對加強網路風險管理標準之議題共同發布一份預先法令公告(下稱「共同法令公告」)。該共同法令公告除預示未來可能的監理政策外,更於2017年1月17日前公開徵求業者意見,以便彙整實務觀點進一步調整、發布最終規範。
該共同法令公告預示,未來可能適用加強網路安全標準的機構包含一定規模以上之本國、外國金融機構及為前述機構提供服務之第三方(下稱「適用機構」)。規範重點分為五大部分:
在共同法令公告發布前,2016年9月13日紐約州金融服務廳(NYDFS)即率先公佈新網路安全法令草案,發表紐約州對網路安全的最新監管方向。該草案歷經45天的預告期間,因業界反彈意見不少,紐約州金融服務廳遂於2016年12月28日再次公布修改版草案(下稱「新資安草案」)。新資安草案目前預計於2017年3月1日正式生效,並給受監管單位180天的緩衝時間,盡快導入相關措施及軟硬體以符合法令規範。
新資安草案規範對象為所有受紐約州銀行法、保險法或金融服務法所監管的個人或金融機構(下稱「受監管機構」),其中當然包含在紐約州營業的本國或外國銀行。新資安草案監管重點如下:
這兩項草案除明確展現美國金融主管機關加強關注網路安全議題的決心,也代表著被草案所涵蓋之金融機構需相應投入大量金錢、時間及人力以符合主管機關之要求。面對此項變革,金融機構可得採取之行動包含:
確立優先順序,擬定遵循計畫
面對此次監管強度提高,調整時間卻相對短的情形(新資安草案給予金融機構180天緩衝期以踐行規範內容),訂定遵循計畫即相當重要。建議金融機構應先內部評估現行內部制度與草案要求之差異,辨別出能短期改善或需長遠性請求外部專家協助之部分,進而規劃遵循時間表,在有限時間內完成草案大部分要求。
聘任專案管理人員
建議金融機構得聘任專案管理人員以協助遵循計畫之執行。藉由其專業知識,協調跨部門合作、建立開放性溝通管道、並隨時回報進度予董事會等高層,以確保金融機構得有效的在時限內達到要求。
建立即時因應小組
縱觀兩項草案不難發現,保有資安意識並建立資安事件回應機制是美國主管機關所著重的方向。建議金融機構平時即應明確了解資安相關法令並組織反應團隊,針對資安事件擬訂應對計畫(例如:誰做決策、該採取甚麼措施、能求助的外部顧問有誰),以避免遭受資安攻擊時手忙腳亂造成更大的損失。
相較於傳統法律/法遵風險,資安事件所衍生之損失往往無法準確掌握,除主管機關相關裁罰外,消費者或其他交易所涉往來機構之法律求償金額及商譽的損失更是難以估計。考量國際監理趨勢及龐大的潛在損失風險,建議業者應持續追蹤資安相關議題及國際法令動態,進而建構足夠的資安意識,提早為未來可能的監理及風險做好萬全準備。
加強網路風險管理標準 (Enhanced Cyber Risk Management Standards) |
|
---|---|
發布機關 | 聯邦儲備委員會(FRB)、聯邦儲蓄保險公司(FDIC)、貨幣監理署(OCC) |
生效日期 | 尚未定案,公共意見收集中 |
應遵循機構 | 一定規模以上之本國、外國金融機構及為前述機構提供服務之第三方 |
法規重點 |
|
紐約州新網路安全法令(New Cybersecurity Regulation) | |
---|---|
發布機關 | 紐約州金融服務廳(NYDFS) |
生效日期 | 2017.03.01 |
應遵循機構 | 所有受紐約州銀行法、保險法或金融服務法所監管的個人或金融機構 |
法規重點 |
|
© 2018 KPMG, the Taiwan member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
上列組織及本文內任何文字不應被解讀或視為上列組織之間有任何母子公司關係,仲介關係,合夥關係,或合營關係。 上述成員機構皆無權限(無論係實際權限,表面權限,默示權限,或任何其他種類之權限)以任何形式約束或使得 KPMG International 或任何上述之成員機構負有任何法律義務。 關於此文內所有資訊皆屬一般通用之性質,且並無意影射任何特定個人或法人之情況。即使我們致力於即時提供精確之資訊,但不保證各位獲得此份資訊時內容準確無誤,亦不保證資訊能精準適用未來之情況。任何人皆不得在未獲得個案專業審視下所產出之專業建議前應用該資訊。