為確保金融機構提供電腦系統具有一致性基本系統安全防護能力並遵循中
華民國銀行商業同業公會全國聯合會制訂之「金融機構資訊系統安全基準
」及「金融機構辦理電子銀行業務安全控管作業基準」,擬透過各項資訊
安全評估作業,發現資安威脅與弱點,藉以實施技術面與管理面相關控制
措施,以改善並提升網路與資訊系統安全防護能力,訂定本辦法。
|
一、SWIFT:係指環球銀行金融電信協會(Society for Worldwide Inter
bank Financial Telecommunication)。
二、物聯網設備:係指具網路連線功能並連線於Internet或Intranet之崁
入式系統(具有小型作業系統)設備,包含自動化辦公設備(如數位
錄影機、電話交換機、傳真機、錄音設備、影印機等)及不具備遠端
操控介面功能之感測器。
|
一、金融機構應就整體電腦系統(含自建與委外維運)依據本辦法建構一
套評估計畫,基於持續營運及保障客戶權益,依資訊資產之重要性及
影響程度進行分類,定期或分階段辦理資訊安全評估作業,並提交「
電腦系統資訊安全評估報告」,辦理矯正預防措施,並定期追蹤檢討
。
二、評估計畫應提報董(理)事會或經其授權之經理部門核定,但外國銀
行在臺分行,得由總行授權之人員為之。評估計畫至少每三年重新審
視一次。
|
一、電腦系統依其重要性分為三類:
┌──────┬───────────┬─────────┐
│電腦系統類別│定義 │評估週期 │
├──────┼───────────┼─────────┤
│第一類 │直接提供客戶自動化服務│每年至少辦理一次資│
│ │或對營運有重大影響之系│訊安全評估作業 │
│ │統(如電子銀行、分行櫃│ │
│ │台、ATM 自動化服務及 │ │
│ │SWIFT 等系統) │ │
├──────┼───────────┼─────────┤
│第二類 │經人工介入以直接或間接│每三年至少辦理一次│
│ │提供客戶服務之系統(如│資訊安全評估作業 │
│ │作業中心、客戶服務等系│ │
│ │統) │ │
├──────┼───────────┼─────────┤
│第三類 │未接觸客戶資訊或服務且│每五年至少辦理一次│
│ │對營運無影響之系統或設│資訊安全評估作業 │
│ │備(如人資、財會、總務│ │
│ │等系統及物聯網設備) │ │
└──────┴───────────┴─────────┘
二、單一系統且為數眾多之設備得以抽測方式辦理,抽測比例每次至少應
占該系統全部設備之10%或 100台以上(如ATM、KIOSK及分行櫃台端
末設備等);其中相同作業系統與安全更新之ATM及ATM之相關伺服器
至少應抽測一台,相同 ATM之相關伺服器應用系統版本至少應抽測一
台。
三、單一系統發生重大資訊安全事件,應於三個月內重新完成資訊安全評
估作業。
|
一、資訊安全評估作業項目:
(一)資訊架構檢視
1.檢視網路架構之配置、資訊設備安全管理規則之妥適性等,以
評估可能之風險,採取必要因應措施。
2.檢視單點故障最大衝擊與風險承擔能力。
3.檢視對於持續營運所採取相關措施之妥適性。
(二)網路活動檢視
1.檢視網路設備、伺服器及物聯網設備之存取紀錄及帳號權限,
識別異常紀錄與確認警示機制。
2.檢視資安設備(如:防火牆、入侵偵測或防禦、惡意軟體防護
、資料外洩防護、垃圾郵件過濾、網路釣魚偵測、網頁防護等
)之監控紀錄,識別異常紀錄與確認警示機制。
3.檢視網路封包是否存在異常連線或異常網域名稱解析伺服器(
Domain Name System Server, DNS Server )查詢,並比對是
否為已知惡意IP、中繼站或有符合網路惡意行為的特徵。
(三)網路設備、伺服器、端末設備及物聯網等設備檢測
1.辦理網路設備、伺服器、端末設備及物聯網等設備之弱點掃描
與修補作業。
2.檢測終端機及伺服器是否存在惡意程式,包括具惡意行為之可
疑程式、有不明連線之可疑後門程式、植入一個或多個重要系
統程式之可疑函式庫、非必要之不明系統服務、具隱匿性之不
明程式及駭客工具等。
3.檢測系統帳號登入密碼複雜度;檢視外部連接密碼(如檔案傳
輸( File Transfer Protocol, FTP)連線、資料庫連線等)
之儲存保護機制與存取控制。
(四)網路設備、伺服器及物聯網等設備且連線至Internet者應辦理下
列事項
1.進行滲透測試,含登入個人網路銀行所採用之圖形或文字驗證
碼。
2.進行伺服器應用系統之程式原始碼掃描或黑箱測試。
3.檢視伺服器之目錄及網頁之存取權限。
4.檢視伺服器是否有授權連線遭挾持、大量未驗證連線耗用資源
、資料庫死結(deadlock)、 CPU異常耗用、不安全例外處理
及不安全資料庫查詢命令(包括無限制條件及無限制筆數)等
情況。
(五)客戶端應用程式檢測
針對銀行交付給客戶之應用程式進行下列檢測:
1.提供http, https, FTP者應進行弱點掃描。
2.程式原始碼掃描或滲透測試。
3.敏感性資料保護檢測(如記憶體、儲存媒體)。
4.金鑰保護檢測。
(六)安全設定檢視
1.檢視伺服器(如網域服務Active Directory)有關「密碼設定
原則」與「帳號鎖定原則」設定。
2.檢視防火牆是否開啟具有安全性風險的通訊埠或非必要通訊埠
,連線設定是否有安全性弱點。
3.檢視系統存取限制(如存取控制清單 Access Control List)
及特權帳號管理。
4.檢視作業系統、防毒軟體、辦公軟體及應用軟體等之更新設定
及更新狀態。
5.檢視金鑰之儲存保護機制與存取控制。
(七)合規檢視
1.檢視電腦系統是否符合本會制定之「金融機構資訊系統安全基
準」有關提升系統可靠性<技 1~技25>及安全性侵害之對策
<技26~技51>之規範。
2.檢視電腦系統是否符合本會制定之「金融機構辦理電子銀行業
務安全控管作業基準」、「金融機構提供行動裝置應用程式作
業規範」、「金融機構提供自動櫃員機系統安全作業規範」、
「金融機構運用新興科技作業規範」、「金融機構使用物聯網
設備安全控管規範」、主管機關及本會相關函文之要求。
3.檢視電腦系統之SWIFT系統是否符合SWIFT公布之Customer Sec
urity Programme 規範及本會相關函文之要求,若與本辦法資
訊安全評估作業衝突,依SWIFT公布為主。
二、第一類電腦系統應依前款辦理資訊安全評估作業;第二類及第三類電
腦系統於第一次辦理資訊安全評估作業時,得依系統特性選擇前款必
要之評估作業項目,惟應於每次選擇項目辦理之翌次,依前款辦理完
整評估,以瞭解銀行整體資訊系統風險;嗣後電腦系統依評估週期辦
理時,亦同。
|
每年應至少一次針對使用電腦系統人員,於安全監控範圍內,寄發演練郵
件,加強資通安全教育,以期防範惡意程式透過社交方式入侵。
|
一、評估單位可委由外部專業機構或由金融機構內部單位進行。如為外部
專業機構,應與提供、維護資安評估標的之機構無利害關係,若為金
融機構內部單位,應獨立於電腦系統開發與維護等相關部門。
二、辦理第一類電腦系統資訊安全評估作業之評估單位應具備下列各款資
格條件;辦理第二類及第三類電腦系統資訊安全評估作業者,依評估
作業項目需要,具備下列相關資格條件之一:
(一)具備資訊安全管理知識,如持有國際資訊安全經理人(Certifie
d Information Security Manager, CISM)證書或通過國際資安
管理系統主導稽核員(Information Security Management Syst
em Lead Auditor, ISO 27001 LA)考試合格等。
(二)具備資訊安全技術能力,如國際資訊安全系統專家(Certified
Information Systems Security Professional, CISSP)證書等
。
(三)具備模擬駭客攻擊能力,如滲透專家(Certified Ethical Hack
ing, CEH)證書或事件處理專家(Certified Incident Handler
, CIH)證書等。
(四)熟悉金融領域載具應用、系統開發或稽核經驗。
三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料
等與本案相關之全部資料,評估單位應簽立保密切結書並提供適當保
護措施,以防止資料外洩。
四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情
事。
五、本國銀行海外分支機構之資訊安全評估作業應依據當地國家或地區相
關規定辦理,若當地無相關規定,仍應遵循本辦法規定。
|
評估報告
一、「電腦系統資訊安全評估報告」(以下簡稱評估報告)內容應至少包
含評估人員資格、評估範圍、評估作業項目與標的、評估紀錄、評估
時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改
善建議及社交演練結果。
二、應依據評估報告內容缺失程度區分風險等級,並擬定各風險對應之控
管措施及處理時限,送稽核單位進行缺失改善事項之追蹤覆查。
三、評估報告缺失覆查應提報董(理)事會或經其授權之經理部門,但外
國銀行在臺分行,得由總行授權之人員為之,以落實由高階管理階層
督導缺失改善。
四、評估報告應併同缺失改善等相關文件至少保存五年。
|
本辦法應經中華民國銀行商業同業公會全國聯合會理事會議核議通過,並
報奉主管機關核備後公告實施,修正時亦同。
|