2024年7月28日星期日

金管會發布「金融業導入零信任架構參考指引」,鼓勵深化資安防護

 

金管會發布「金融業導入零信任架構參考指引」,鼓勵深化資安防護

2024 / 07 / 19 

金管會新聞稿

金管會於 2024 7 18 日發布「金融業導入零信任架構參考指引」,鼓勵金融業以零信任思維深化資安防護。參考指引建議金融機構採風險導向,擇高風險場域為優先導入零信任架構之標的,例如遠距辦公、雲端存取、重要系統主機及資料庫等。
 
「金融業導入零信任架構參考指引」參考美國CISA零信任成熟度模型,並依據我國金融業屬性及既有資安防護能量進行調適,區分四階段分級指標:

·         第一級為靜態指標,著重在既有資安防護機制之優化及整合,包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等,由關鍵資源存取路徑強化防護縱深。

·         第二級融入動態指標,主要參採零信任「永不信任、持續驗證」概念,將資源存取時的動態屬性(如時間、地點、設備合規狀態等)增納為授權審核條件,可針對異常樣態動態撤銷、限縮存取授權或即時告警。

·         第三級以即時指標為主,建議整合資安監控機制,於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌,對入侵指標(IOC)或攻擊行為樣態(Mitre ATT&CK TTP)等進行即時的偵測、判斷與應處。

·         第四級為最佳化的整合指標,建立可依資安政策快速調適之一致性且自動化之管理機制,確保安全性及合規性。

金管會表示,參考指引屬行政指導,金融機構於導入實務仍得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適,或另為適切之規劃。金管會亦將鼓勵金融機構分享實務案例,供金融同業交流研討最佳實務,並透過定期調查各金融機構之導入規劃及進程,適時納入資安規範,提升整體資安防禦水準。

沒有留言:

發佈留言

歡迎留下寶貴意見

水呀 請你到非洲

 有本書─「雨呀!請你到非洲」,現在真有組織想讓非洲有活水:舊鞋救命組織 多年來深耕東非偏鄉,舊鞋救命看見當地居民如何為了取水而耗盡心力,辛苦取得的水源還是與牲畜共用,佈滿細菌和寄生蟲的骯髒水質。 根據聯合國統計,每年有超過 297,000 名 5 歲以下的孩童因為飲用不乾淨的水...