2017年資安新規定上路 - 金融業不可不重視的資安議題
2017年資安新規定上路 - 金融業不可不重視的資安議題
隨著資訊電子、雲端化發展,伴隨近年諸多影響上億用戶之國際重大資安事件爆發,如何有效控管資訊安全衍生之風險,儼然已成全球關注的焦點。
隨著資訊電子、雲端化發展,伴隨近年諸多影響上億用戶之國際重大資安事件爆發,如何有效控管資訊安全衍生之風險,儼然已成全球關注的焦點。其中,2016下半年由美國聯邦政府機構及紐約州金融服務廳(NYDFS)分別公布之資訊安全法規草案,更將資安議題及金融機關應負義務,推向另一個里程碑,對我國金融機構,尤以在美國設有分行之國銀而言,實屬應密切專注及控管之風險。以下謹介紹美國新公布之法規草案,包含預計今年(2017)3月實施之新網路安全法及未來半年可能定案之加強網路風險管理標準,並進一步探討我國銀行業者可相應調整之策略。
加強網路風險管理標準(Enhanced Cyber Risk Management Standards)
2016年10月19日,美國三個聯邦銀行監理機構-聯邦儲備委員會(FRB)、聯邦儲蓄保險公司(FDIC)、貨幣監理署(OCC),針對加強網路風險管理標準之議題共同發布一份預先法令公告(下稱「共同法令公告」)。該共同法令公告除預示未來可能的監理政策外,更於2017年1月17日前公開徵求業者意見,以便彙整實務觀點進一步調整、發布最終規範。
規範重點
該共同法令公告預示,未來可能適用加強網路安全標準的機構包含一定規模以上之本國、外國金融機構及為前述機構提供服務之第三方(下稱「適用機構」)。規範重點分為五大部分:
- 網路風險治理(Cyber Risk Governance)
適用機構應訂定涵蓋整個機構經營範圍之網路風險管理策略,並經董事會通過。該策略需納為企業經營方針及風險管理的一部分,詳加說明機構將如何偵測網路風險、訂定風險承受能力及如何執行與檢討。此外,共同法令公告亦要求董事會應聘請資安專家或至少有諮詢專家之管道。 - 網路風險管理(Cyber Risk Management)
共同法令公告要求適用機關應盡力在符合組織架構的前提下將網路風險管理整合為三大獨立層面,以防堵網路安全風險:(1)業務部門-定期依業務內容偵測風險,並及時回報給高層人員;(2)獨立風險管理-以整體企業為範圍偵測風險並及時回報(3)內稽單位-在整體稽核中加入網路風險管理策略有效性評估。 - 內部依存管理(Internal Dependency Management)
針對適用機構於業務經營中涉及的內部資產(如勞動力、資訊、技術和設施等)進行相關規範,例如:適用機構應詳列內部資產清單,並有效辨識、管理與內部資產有關的網路風險。 - 外部依存管理(External Dependency Management)
適用機構因提供服務所生與外部單位之關係(如供應商、客戶、公家機構等)亦為此次加強網路安全標準的規範範圍,相關細部規範例如:適用機構應有能力即時監控因外部單位所生之網路風險。 - 資安事件處理、網路恢復能力及情境意識(Incident Response, Cyber Resilience and Situational Awareness)
共同法令公告要求適用機關應加強其網路恢復能力,並建立整體企業的資安事件回應機制,以監控任何可能的資安風險。
紐約州新網路安全法令(New Cybersecurity Regulation)
在共同法令公告發布前,2016年9月13日紐約州金融服務廳(NYDFS)即率先公佈新網路安全法令草案,發表紐約州對網路安全的最新監管方向。該草案歷經45天的預告期間,因業界反彈意見不少,紐約州金融服務廳遂於2016年12月28日再次公布修改版草案(下稱「新資安草案」)。新資安草案目前預計於2017年3月1日正式生效,並給受監管單位180天的緩衝時間,盡快導入相關措施及軟硬體以符合法令規範。
規範重點
新資安草案規範對象為所有受紐約州銀行法、保險法或金融服務法所監管的個人或金融機構(下稱「受監管機構」),其中當然包含在紐約州營業的本國或外國銀行。新資安草案監管重點如下:
- 要求受監管機構應至少遵循特定標準
新資安草案明確訂出受監管機構應遵循的最低標準及議題,要求受監管機構針對資安議題至少要有一定程度作為。其中,強制受監管機構應逐步加密非公開資訊、建議受監管機構得建立多重身分驗證機制以限制存取、72小時內即時通報資安事件等,均需受監管機構投入時間與資金,重新檢視並提升現有系統。 - 修改「資訊」的範圍及定義
此次新資安草案將「資訊」的定義進行調整,將應受保護的資料範圍從以往的「個人資訊(personal information)」衍生為「非公開資訊(Nonpublic Information)」,要求受監管機構應針對非公開資訊加密,並建立限制存取機制。 - 以風險基礎訂定網路安全計畫
新資安草案要求各個受監管機構應依自身風險狀況訂定書面的網路安全政策,該政策需包含風險評估、資訊保護、系統監控、供應商及第三方服務提供商管理、資安事件處理機制等十四大領域,並應定期重新檢視。 - 指定專責人員
應指派首席資訊安全主管(Chief Information Security Officer)執行受監管機構訂定之網路安全政策,並至少每年一次向董事會報告執行狀況。 - 主管機關通報機制
針對依其他法令需申報或可能對受監管機構營運造成重大影響之可疑資安事件,新資安草案要求受監管機構均需於72小時內通報金融服務廳之監管人員。 - 董事會/高階主管合規聲明
受監管機構的董事長或高階主管每年應提交一份合規聲明予金融服務廳,以保證該機構完全符合新資安草案之規範。合規聲明之相關佐證資料需至少保存五年,且第一份合規聲明應於2018年2月15日提交。敬請留意,若合規聲明之內容陳述不實,簽屬聲明人將可能面臨相關個人責任。
建議因應作法
這兩項草案除明確展現美國金融主管機關加強關注網路安全議題的決心,也代表著被草案所涵蓋之金融機構需相應投入大量金錢、時間及人力以符合主管機關之要求。面對此項變革,金融機構可得採取之行動包含:
確立優先順序,擬定遵循計畫
面對此次監管強度提高,調整時間卻相對短的情形(新資安草案給予金融機構180天緩衝期以踐行規範內容),訂定遵循計畫即相當重要。建議金融機構應先內部評估現行內部制度與草案要求之差異,辨別出能短期改善或需長遠性請求外部專家協助之部分,進而規劃遵循時間表,在有限時間內完成草案大部分要求。
聘任專案管理人員
建議金融機構得聘任專案管理人員以協助遵循計畫之執行。藉由其專業知識,協調跨部門合作、建立開放性溝通管道、並隨時回報進度予董事會等高層,以確保金融機構得有效的在時限內達到要求。
建立即時因應小組
縱觀兩項草案不難發現,保有資安意識並建立資安事件回應機制是美國主管機關所著重的方向。建議金融機構平時即應明確了解資安相關法令並組織反應團隊,針對資安事件擬訂應對計畫(例如:誰做決策、該採取甚麼措施、能求助的外部顧問有誰),以避免遭受資安攻擊時手忙腳亂造成更大的損失。
相較於傳統法律/法遵風險,資安事件所衍生之損失往往無法準確掌握,除主管機關相關裁罰外,消費者或其他交易所涉往來機構之法律求償金額及商譽的損失更是難以估計。考量國際監理趨勢及龐大的潛在損失風險,建議業者應持續追蹤資安相關議題及國際法令動態,進而建構足夠的資安意識,提早為未來可能的監理及風險做好萬全準備。
| 加強網路風險管理標準 (Enhanced Cyber Risk Management Standards) |
|
|---|---|
| 發布機關 | 聯邦儲備委員會(FRB)、聯邦儲蓄保險公司(FDIC)、貨幣監理署(OCC) |
| 生效日期 | 尚未定案,公共意見收集中 |
| 應遵循機構 | 一定規模以上之本國、外國金融機構及為前述機構提供服務之第三方 |
| 法規重點 |
|
| 紐約州新網路安全法令(New Cybersecurity Regulation) | |
|---|---|
| 發布機關 | 紐約州金融服務廳(NYDFS) |
| 生效日期 | 2017.03.01 |
| 應遵循機構 | 所有受紐約州銀行法、保險法或金融服務法所監管的個人或金融機構 |
| 法規重點 |
|
© 2018 KPMG, the Taiwan member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.
上列組織及本文內任何文字不應被解讀或視為上列組織之間有任何母子公司關係,仲介關係,合夥關係,或合營關係。 上述成員機構皆無權限(無論係實際權限,表面權限,默示權限,或任何其他種類之權限)以任何形式約束或使得 KPMG International 或任何上述之成員機構負有任何法律義務。 關於此文內所有資訊皆屬一般通用之性質,且並無意影射任何特定個人或法人之情況。即使我們致力於即時提供精確之資訊,但不保證各位獲得此份資訊時內容準確無誤,亦不保證資訊能精準適用未來之情況。任何人皆不得在未獲得個案專業審視下所產出之專業建議前應用該資訊。
