金管會發布「金融業導入零信任架構參考指引」,鼓勵深化資安防護
2024 / 07 / 19
金管會新聞稿
金管會於 2024 年 7 月 18 日發布「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。參考指引建議金融機構採風險導向,擇高風險場域為優先導入零信任架構之標的,例如遠距辦公、雲端存取、重要系統主機及資料庫等。
「金融業導入零信任架構參考指引」參考美國CISA零信任成熟度模型,並依據我國金融業屬性及既有資安防護能量進行調適,區分四階段分級指標:
·
第一級為靜態指標,著重在既有資安防護機制之優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等,由關鍵資源存取路徑強化防護縱深。
·
第二級融入動態指標,主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性(如時間、地點、設備合規狀態等)增納為授權審核條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。
·
第三級以即時指標為主,建議整合資安監控機制,於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌,對入侵指標(IOC)或攻擊行為樣態(如Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。
·
第四級為最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。
金管會表示,參考指引屬行政指導,金融機構於導入實務仍得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適,或另為適切之規劃。金管會亦將鼓勵金融機構分享實務案例,供金融同業交流研討最佳實務,並透過定期調查各金融機構之導入規劃及進程,適時納入資安規範,提升整體資安防禦水準。
