金管會今天(30日)發布4年期的「金融資安韌性發展藍圖」，擘劃推動資安左移、零信任架構、提前部署因應新科技挑戰等10大重點，尤其量子電腦已證實對「非對稱式加密技術」構成嚴重威脅，金管會將研訂金融業後量子密碼學(PQC)遷移參考指引，預計明年上半年發布，而藍圖的終極目標設定為建構「可預測、可防禦、可復原」的金融生態系。

金管會表示，為追求安全便利不中斷的金融服務，金融資安行動方案1.0及2.0，執行已超過5年，多項主要績效指標皆已達成，考量近年金融科技發展趨勢、國內外資安情勢演進及實務運作情形，且國際正積極推動「韌性導向」監理，因此研訂4年期的「金融資安韌性發展藍圖」。

廣告 廣告

金管會說明，藍圖以目標治理、全域防護、生態聯防、堅實韌性為四軸架構，訂有10大重點、29項措施，希望逐步建立相關指引，由部分金融機構帶頭推進，並隨著落實機構逐步增加，最終化為金融業自律規範，進而建構「可預測、可防禦、可復原」的金融生態系。

金管會指出，將強化經營階層資安治理職能與問責機制，鼓勵資安法規調適，並加強資安人才培育與交流，從共通基準邁向策略目標；另外，也希望金融業將「資安左移」，從軟體設計時就將資安納入設計，進而降低未來處理成本，同時，也要推動零信任架構，提升資安防護基準。

值得注意的是，因應多項新興科技挑戰，藍圖也推動前瞻部署，例如AI系統資安風險越趨複雜與隱蔽，金管會將研訂金融業AI系統安全防護及檢測參考指引，以涵蓋傳統網路威脅及AI特有攻擊類型；另外，因量子電腦已被證實對「非對稱式加密技術」構成嚴重威脅，恐影響網路交易、電子簽章及身分驗證等加密安全，未來將研訂金融業後量子密碼學(PQC)遷移參考指引，提供金融業建立後量子密碼學遷移計畫，並視相關領域發展，推動金融機構辦理PQC遷移作業，預計明年上半年發布指引。金管會資訊服務處長林裕泰說：『(原音)發布之後不會是一個最終的版本，因為我們開始做之後發覺說，他裡面的問題其實相當複雜，必須在整個執行過程裡面不斷地檢視現況、更新，會有很多狀況。所以遷移指引即使在明年上半年可以發布的話，後面會一直持續地再做一些滾動的調整跟更新。』

其他重點還包括強化資安監控及防護有效性、供應鏈資安，健全金融資安生態系，並加強資安情資分析與協同防禦、辦理資安攻防演訓，增進資安事件應處能量與多層次備援機制，確保關鍵金融服務可用性。

金管會表示，將每季檢討成果做滾動調整，目前評估包括資安左移、推動零信任架構、強化資安監控等有機會於4年內化為自律規範，而AI、後量子密碼學遷移等領域則得隨著技術演進持續檢討。