金管會發布「金融資安韌性藍圖」 4年推動盼部分措施落地全面實施

金管會例行記者會。左起爲保險局副局長蔡火炎、金管會主秘林志吉、銀行局副局長王允中、資訊服務處處長林裕泰。記者黃於庭／攝影

AI的發展讓資安風險更復雜且隱蔽，爲因應新型態資安風險，金管會發布「金融資安韌性發展藍圖」，接續自前一版金融資安行動方案2.0，該藍圖以4年爲期，預計2026年起每季檢討執行情況，納入國內外最新資安防護重點，全面強化金融業應對新型資安威脅的能力，部分措施如資安左移、零信任架構和資安監控等項目，目標是4年後有望可落地全面執行。

⭐2025總回顧

根據金管會所發佈的藍圖共規劃有4大構面，涵蓋以目標治理、全域防護、生態聯防、堅實韌性，訂有29項措施，並有10大重點，每一構面下設有明確的行動方案。資訊服務處處長林裕泰說明，目標治理方面，將強化高層問責機制，提升資安長權責與資源配置，同時推動法規調整以因應新科技需求；全域防護則聚焦軟體安全開發、零信任架構推動、資安監控效能提升，以及AI、後量子密碼等新興科技的資安防護參考指引。

生態聯防着重供應鏈管理分級、資安情資分析合作，並鼓勵與供應商及生態圈夥伴協作；堅實韌性部分則將擴大攻防演練範圍及參與對象，並強化金融服務備援機制。

其中，藍圖提及AI系統安全防護與檢測參考指引，林裕泰說，由於AI仍在發展階段，現在制定太詳細的資安指引，未來不見得適用，需持續性的檢討改善，目前有參考國際組織針對大語言模型、AI代理髮布、駭客系統攻擊等常見狀況及緩解措施。至於部分措施如資安左移、零信任架構及資安監控預計逐步約4年時間落地爲自律規範。

林裕泰表示，藍圖內容在規劃前已廣泛徵詢業者意見。多數業者認爲，營運任性牽涉到需要更多資源、更大成本的投入，但也普遍支持分階段推進成熟度指標，即依據金融業自身資源和資安現況逐步達成不同級別的指標。爲了鼓勵金融業根據藍圖執行，激勵誘因包含存款保險費率等制度納入資安執行表現評估。

此外，林裕泰補充，在加強資安情資分析與協同防禦方面，金管會規劃建立金融資安漏洞通報與迴應管道，及定期舉辦跨國線上交流會議，深化與國際合作夥伴交流及提升國際能見度，並強化跨境事件的預警與應變效益。截至目前，金管會已與日本和泰國簽署資安合作備忘錄，並維持與韓國和歐盟等地的聯繫，後續將依需求擴大合作範圍。