防堵供應鏈資安出包 金管會祭自律規範強化控管

童政彰說明，金管會在2020年發佈金融資安行動方案時，就已要求強化供應鏈控管。因應整體金融服務業委外與跨業經營型態的發展，金管會認爲銀行應增修有關供應鏈風險的管理規範，建立包含資通系統軟硬體的供應商與維運商、跨機構合作伙伴等相關風險評估、邊際防護、委外稽覈等規範。

童政彰指出，銀行公會在2021年訂定金融機構資通安全防護基準時就已對供應商管理有要求，但金管會認爲尚未完整，故請銀行公會再進一步訂定自律規範。因此《金融機構資通系統與服務供應鏈風險管理規範》在今年3月29日就報會核備、4月10日函送銀行公會成員。

童政彰指出，此自律規範主要有五大重點。一要求金融機構辦理委外前，應該要分析、規劃供應鏈資訊的相關安全事項；二，要求銀行選擇供應商前，必須執行的相關事項；三，與供應商的委託契約或相關文件，有明確約定事項。四，與供應商契約的存續期間，應注意哪些原則性規範（第7條）。五，供應商服務變更與契約終止時，要符合的相關事項。

此規範中的電腦系統有分三類，「第一類電腦系統」是直接提供客戶自動化服務，或營運有重大影響系統，例如分行櫃檯、ATM自動化服務、SWIFT系統等；「第二類電腦系統」是提供間接服務客戶的系統，比方說作業中心、客服系統；第三類電腦系統即不會接觸客戶資訊的系統，例如銀行內部人資、財會、總務等。

童政彰指出，考量第二類及第三類系統需有調整期，因此同意規範實施日（今年4月10日）起，給予一年的適用緩衝期。

對於外界認爲，銀行業在供應鏈出包後的應變與反應強度標準較鬆。童政彰指出，銀行標準與券商自律規範一致，在第五條對於選擇供應商前有細緻的要求，像是供應商要符合一定標準、資訊交換要籤保密協議等，另外在第六條也要求供應商交付的產品與服務組件來源必須是合法的、必須要確保交付的資通系統或程式，沒有惡意程式及後門程式，並且取得相關安全性測試結果及供應商安全性承諾等等。