期交所雙月刊66期

23 臺灣期貨雙月刊 TAIFEX BIMONTHLY 結語 美國金融業以跨國及大型產業為特色，單以 任一家大型金融機構的財力、物力與網路規模， 就足以支撐自建及營運資料避風港，反觀國內金 融機構要自行建立資料避風港，需要相當大的產 業規模才勘負擔，且建置後的維護成本又是一筆 不小開銷，以共享經濟而言，合數家金融機構之 力建置共用資料避風港似乎較符合期待，但是共 享需要遵循標準協定，且由第三方擔任資料保管 員也要有法源依據，此部份尚待主管機關及各領 域專家廣納建言研議發展。 圖 3 ：資料保險庫規範 圖 4 ：金融資安行動方案發展藍圖 願景 目標 推動 策略 具體 措施 追求安全便利不中斷的金融服務 • 建立業者重視資安的組織文化 • 提升業者資安治理能力與水準 • 確保系統持續營運與資料安全 強化資安 監理 1. 型塑金融機構 重視資安的組 織文化 2. 完備資安規範 3. 強化資安監理 職能 4. 加強金融資安 檢查 深化資安 治理 1. 加強資安管理 2. 強化資安監控 3. 加強資安人才 培育 精實金融 韌性 1. 增進營運持續 管理量能 2. 加強資安演練 3. 建構資料保全 避風港 發揮資安 聯防 1. 資安情資分享 與合作 2. 建立金融資安 事件應變體系 3. 建構金融資安 事件監控體系 資料保險庫（ Data Vault ） 整個避風港核心功能即資料保險庫 （圖 3 ） ， 須符合 6 項要求： • 資料不可變動： 資料須被鎖定不能竄改的。 • 具備隔離性： 要與公眾網路實體隔離。 • 可存活性： 要能抵禦各種網路攻擊，比如 APT 或勒索軟體攻擊。 • 可存取性： 提供方法給資料擁有者存取資料。 • 去中心化： 可提供參與者選擇自建或共享。 • 可被金融機構操控： 參與者擁有和營運；或參與 者擁有但由第三方管理；或每位參與者自建或合 併共享。 國內法規展望 金管會在 2020 年「金融資安行動方案」提出 四大工作項目 （圖 4 ） ，包括：強化資安監理、深 化資安治理、精實金融韌性、發揮資安聯防；其 中精實金融韌性首度提出建構資料保全避風港的 概念，此項工作重點在加強金融機構財產權的確 保，提升對抗災難性事件的信心，預為資料保護、 資料可移植性、資料復原性，以及關鍵服務持續 性進行規劃，唯此項工作所涉不僅需制定運作機 制，也需研議相關資料交換格式與通訊安全標準， 期待法規早日完備。