【资安周报第62期】银行资安部门要有力，除了给资源更要真正给权力

从去年7月台湾发生国际网络犯罪集团操控的ATM盗领案后，主管机关金管会对金融业者在资安防护措施上开始多所要求；今年农历春节后，竟然又发生针对台湾券商网络下单平台的DDoS（分散式阻断式）攻击事件，甚至多家券商的网络下单平台因此暂时中断服务。

经历几次针对台湾金融业的网络攻击事件后，金管会深刻意识到，资讯安全已经是台湾金融服务不可忽略的重要命脉，甚至在2月24日召集台湾各银行的总经理开会，会议主轴就是希望本国银行在6个月内，设置专责资安部门和专责资安主管，更希望未来进一步提升到“独立专责部门”，以维持执行资安业务的独立性。

此外，也有银行为了因应像是美国纽约金融监理局的要求，在美成立海外分行的台籍银行，强制须设立专责的资安长，且相关名单必须送交美国金融监理局，甚至于，这些资安主管位阶必须达副总层级，才足以说服美国金融主管机关，这些在美设分行的台籍银行是重视资讯安全的。

金管会的公文和海外金融主管机关的强制要求，成了近期台籍银行得更重视资安的2大动力。

台湾大型民营银行早有资安部门，但只管系统风险不管作业风险

事实上，早在金管会的要求之前，台湾大型民营行库，早就有设置资安专责单位，这些单位的主管也是银行名义上的资安主管。

和外商银行相较，台籍银行的资安部门往往都挂在资讯部门之下，所经手的资安业务偏向系统造成的资安风险；但外籍银行的资安长或资安主管的执掌，和台籍业者明显不同，除了经手所有系统造成的资安风险外，让外籍银行资安长可以真正发挥关键角色的原因更在于，所有业务造成的资安风险，全数都会一并照会资安部门和资安主管。

资安的风险除了系统带来的风险之外，更大的危害来自于业务流程相关的作业风险，不过，依照台籍银行的认定，许多和公司营运甚至是业务面的风险，大部分都会直接转介到负责银行中后台风险的风险长（CRO）身上，但风险长对系统带来的资安风险多无权直接置喙。

最明显的例子就是，今天主管机关发函要求银行进行相关的法遵配合事项时，除了明显与资讯系统相关的公文会通知发文到相关的资讯和资安部门外，与业务流程有关的法遵与安全要求，有多少银行会记得发文照会资讯和资安部门？

据了解，多数的外籍银行都会把业务和作业风险相关公文内容，一并发文照会到资讯和资安相关部门与主管；但台籍银行多半会直接发文给业务单位外，多数会发文照会到风险长，若与合约条文等法遵要求相关，则会再额外照会法务长，一般而言，资讯或资安部门往往不在相关公文照会的范围之内。

从公文照会的流程往往可以看出，一间银行在面对相关系统或业务带来的资安风险，银行内部的流程到底会由哪些部门经手处理。从这样银行内部公文发函的流程中，就可以明显看出台籍银行和外商银行面对资讯安全议题的基本态度上的差异。

金管会一纸公文将启动台籍银行资安部门转型

金管会期待银行所设置的资安专责单位及资安专责主管，并不只是一个徒具名义和形式的纸上机关，或是只需要签名盖章的主管而已，而是希望银行的高层主管，愿意从历年来各种层出不穷的资安事件中痛定思痛，真正赋予资安专责主管具有实质权力，并给予资安专责单位足够的资源和预算。

唯有如此，金管会发文要求台籍银行，在未来6个月内设置资安专责单位和资安专责主管，才有机会发挥长期的影响力，对于银行面对来自系统和业务流程的风险，才有能力真正解决问题。

因此，即便先前已经有台籍民营行库有设立资安专责单位，面对这次金管会的公文，也让这些已经有资安专责单位的银行重新思考，是否有不足之处或者需要重新调整的情况。

资讯部门下设资安单位，角色被动难以主动出击

回到既有台籍银行的组织架构，现有设置资安专责部门的民营银行，都将资安部门设在资讯部门之下，首要面临的问题就是，资安主管角色和职掌与资讯主管角色和职掌的冲突。

简言之，要求安全第一的资安主管，与讲究效率、便利和可用性的资讯主管，角色本质上是冲突的，当资安主管必须听令资讯主管时，就是资讯长决定银行的资安方向，中间一旦有出入，严重考验资讯长能否放弃资讯本位主义而去思考资安的重要性。

当然，对于高度依赖资讯系统提供服务的金融业而言，多数台籍银行的资讯长也相当重视资安议题，毕竟，一旦有任何资安事件爆发，以现有银行组织架构，资讯部门往往难辞其咎，所以，多数银行资讯长都可以接受将资安列为资讯部门重要关键因素，某种程度，资讯长也可以接受因为资安议题暂停某些重要服务上线。

资讯长和资安长在台湾金融体下的运作上，某个程度已经达成一个“平衡点”，不过，资安部门放在资讯部门之下有一个明显的缺点，那就是，多数台籍银行都将资讯部们视为后勤支援单位，因为后勤支援单位在银行结构上不够有力，通常也很难在资安上扮演更主动积极的角色。

举例而言，每当有资安事件发生，身处资讯部门下设的资安附属单位，往往是被动成为资安事件浪头上的发言角色，偶一为之还有可能，但若要成为常态性的、可以在资安议题上具有发言甚至是主动决策角色的话，对一个扮演后勤资源角色的附属资安部门而言，根本不可能有主动发言的空间。这也是目前台籍银行将资安部门设在资讯部门下，最常面临到的困境之一。

银行资安部门应兼管系统和作业风险，可考虑设在风险长之下

事实上，银行资安部门和主管不应只负责系统面的安全风险，更多来自于作业和操作层面的风险，也应是他们应该负责的范畴。

但是，以目前银行的组织架构来看，风险长是负责所有中后台业务流程的最终风险掌控者，不论是信用风险、作业风险、市场风险甚至是金融商品等相关风险，只要风险部门踩刹车，相关服务是绝对无法上线的；更后端的后台风险则由法务长承担，包括合约、法条以及所有适法性评估带来的风险等。

以目前的资安主管和资安专责单位的工作职掌来看，承担某个部分的作业和操作风险，加上来自资讯系统带来的风险，两者的风险职掌合而为一，才能大致描绘出台籍银行资安主管所应该承担合理的业务内容。

相较于台籍银行把资安单位设在资讯部门之下，有一些外商银行则会把资安单位设在风险长之下，可以真正兼顾系统和作业风险；当然，也有一些外商银行仍然把资安单位设在资讯部门底下，但因为外商银行的资讯部门通常比较主动积极，使得资安部门也会比较主动而有所作为。毕竟，就资安层面而言，很多时候，最好的防护方式就是主动出击。

资安部门要给人给钱给位阶，具有资安采购决定权

说实话，要成立一个资安专责单位或设置资安主管并不难，难的在于，要怎么让这样的设置可以发挥应有成效。

怎么样才算是具有实权的资安单位或部门呢？

首先，有人有钱好办事，资安部门应该要有独立编列的资安预算，而不需要依附在资讯部门的IT预算里面，是资安部门具有实权的特色之一。毕竟，资讯部门和资安部门的营运目的不一样，对预算的用法一定也不一样，在多数资讯长仍将提升效率、降低成本视为KPI（关键绩效指标）的同时，强调安全至上、不惜降低效能的资安预算，势必无法符合资讯部门的KPI，资安预算要能独立编列才是王道。

除了要给人、给钱外，银行更要肯“玩真的”，让资安主管和部门具有真正的权力，具有一定的决策或建议权力。否则，在复杂的权力斗争中和资源分配的竞逐中，成立一个晾在一旁、没有作用的部门，是非常容易的事情。

实权的具体展现方式就是具有资安采购的权力。有许多台籍银行即便已经有资安部门，对但对于资安服务和产品采购，即便已经做完POC（概念验证）、确认相关功能需求都可以满足公司所需，但往往只要采购单位一句“价低者得”，资安部门做完再多的概念验证，提出再多的建议都无力回天。对资安产品服务有采购权力，这也是资安部门有实权的例证。

成立资安专责单位和主管等资安作为，将成金管会金检重点

除了银行面临的资讯安全风险外，金管会也在公文中提及，成立资安专责单位和设置专责主管的另外一个重要目的，就是要因应银行推动的数位金融以及因应未来主流的金融科技发展，在资讯安全风险越来越难避免的情况下，银行是必得有更多的资安因应措施，正面迎击资安风险。

为了强化台籍银行对于资安的重视，金管会的发文只是第一步，最终希望银行在半年内成立的资安专责单位，最终可以独立为资安专责部门，维持资安业务的独立性；更重要的宣示则是，金管会强调，未来所有金融业的资安措施也将列入金融检查重点，借此加强金融机构的资讯安全。

金管会透过法遵要求，要求台籍银行在未来6个月内，设置资安专责单位和资安专责主管，只要银行业者不是虚应故事，就有可以让台籍银行业者在资安风险应对上，带来真正的质变。