Date: 2021-09-13
今年9月金融業設置資安長成為法規明訂條文

擴及38家本土銀行之餘，符合條件的保險與證期業也須遵循

iThome／2021-09-11／羅正漢

金管會修法，明定符合條件的業者需設副總以上層級資安長，現階段保險局修法已在 9 月 1 日生效，證期局與銀行局也已完成修法預告程序，9 月底前發布施行。將予以 6 個月調整期，預估明年第 1 季有多達 65 家業者設置。

為提升金融業資安政策統籌與資源協調能力，金融監督管理委員會（金管會）已逐步建議與要求，去年推動的金融資安行動方案，就有更進一步的計畫，如今，規範金融業設置資安長（CISO）一事，終於要成為法規明訂條文，而且這不只是要求各家銀行，保險業、證券期貨與投顧業也將受規範。

眾所周知，在各產業中，金融業對於資安的重視，相對較高，近年其實已有不少公司設置資安長，但並不是每家公司都這麼做。隨著政府持續推動金融科技，除了寄望自我要求較高的業者能有這樣的意識，現在，相關主管機關更期望透過法令，將這樣的要求更普遍適用在整個產業。

今年 9 月，金管會旗下的銀行局、保險局、證券局，都會完成相關法規修訂作業，預計 9 月底前，對於金融三業的這項法規都將正式生效。但金管會也給予緩衝期，符合適用條件的業者，需在 6 個月內完成調整。

屆時，也就是 2022 年 3 月底之前，38 家本土銀行皆需設立資安長，而且，達到一定條件與規模的保險公司，證券商、期貨商與投顧業，都必須設立資安長。據外界估計，約有 65 家公司都要設置資安長。

顯然，對於資安長的設立，今年修法適用的金融業者更多，相較之下，去年金管會預計的標準，外界只估計 31 家金融業者適用這樣的法規。

保險局修法 9 月 1 日生效，適用 1 兆元資產保險公司

對於強制金融機關設立資安長一事，金管會去年8月公布金融資安行動方案之時，已經列入計畫要推動，後續也研議修法一事。

今年 5 月 27 日，金管會銀行局、保險局、證期局，均發布修法預告，當中就包含指派副總經理以上或職責相當之人兼任資訊安全長一事，預告期為 60 天。

現在，今年 9 月底前，相關法規都將修訂完成，並陸續發布施行。特別的是，關於相關單位的修法進度如何？經我們洽詢各局之後，目前看來，保險局作業進度最快，他們已修法完成並正式發布施行。

保險局表示，他們在 9 月 1 日已正式發布修正「保險業內部控制及稽核制度實施辦法」，其中第六條之一就有相關規定，指出保險業應設置資訊安全專責單位及主管，而一兆元資產的保險業者，指派副總經理以上或職責相當之人兼任資訊安全長，同時也要設置資安專責單位，並指派協理以上或職責相當之人擔任主管。

至於證期局與銀行局，這兩個單位也回覆我們，他們表示，這次修法已經完成預告程序，將於近期發布後施行，正式發布時間將在這幾日內或 9 月底前。此外，他們在 9 月 7 日也再次公布相關修訂內容，說明本次修法即將施行。

為提升保險業對資安議題之執行能力，金管會修訂「保險業內部控制及稽核制度實施辦法」第 6 條之1。金管會保險局表示，本次修正自 5 月 27 日預告後，已於 9 月 1 日正式生效，修正重點在於，增訂保險業前一年度經會計師查核簽證之資產總額達新臺幣一兆元以上者，應指派副總經理以上或職責相當之人兼任資訊安全長，綜理資訊安全政策推動及資源調度事務。

要求所有本土 38 家銀行都要設置資安長

根據銀行局 9 月 7 日發布的資訊，關於「金融控股公司及銀行業內部控制及稽核制度實施辦法」的修正，是在第三十八條之一與第四十六條。當中指出，增訂銀行業應指派副總經理以上或職責相當之人兼任資訊安全長。換言之，國內 38 家本土銀行都將設立資安長。

基本上，以本國銀行而言，在 2021 年 7 月底共有 39 家，網銀連線商業銀行 Line Bank，以及樂天國際商業銀行也包含在內，但近期富邦金併日盛金已經啟動，因此之後將是 38 家。

對於資安長設置的推動歷程，我們也聯繫上金管會而有了瞭解。他們表示，以早期要求而言，只要協理層級以上擔任資安主管，也並非所有銀行都受規範。自 2020 年 8 月金融資安行動方案開始後，目標則是推動設置副總層級資安長，並且是針對所有具規模的金融機構。

顯然，金管會的主要目的，不僅是強化主管機關資安監理，更希望這些金融業在資安的發展上，突破過去難以獲得組織高層支持的困境，而能透過副總經理位階的資安長帶領，如此一來，將更能夠由上而下調動各種資源，支持組織發展資安，同時是要讓臺灣整體具規模的金融業都這麼做。

為進一步推動「金融資安行動方案」，金管會指出，將修正「金融控股公司及銀行業內部控制及稽核制度實施辦法」，增訂銀行業應指派副總經理以上或職責相當之人兼任資訊安全長，以統籌資安政策推動協調及資源調度，提升其對資安議題的執行能力。金管會銀行局表示，自 5 月 27 日預告修正草案後，9 月 7 日說明已完成預告程序，預計 9 月底前就會正式發布施行。

證期業規模差距大，適用業者的條件畫分相對較細

證期局也在 9 月 7 日發布訊息，他們指出，關於「證券暨期貨市場各服務事業建立內部控制制度處理準則」的相關修正，是在第 36 條之 2 條文，指出各服務事業符合一定條件者，應指派副總經理以上或職責相當之人兼任資訊安全長。

值得注意的是，由於證期業各服務事業規模大小，比起銀行與保險業的差異要大，因此這裡的適用業者與條件畫分較細。簡單來說，包含：實收資本額 100 億元以上的證券商，實收資本額 20 億元以上的期貨商，此外，還包括電子下單達一定比率，或是經紀業務成交量達全市場 2％ 或自然人客戶比重過半的條件；至於投信、投顧的適用條件較單純，只要前一年度月平均境內外管理資產規模達 6 千億元以上者。據外界估計，符合條件者的證期業者約有 19 家。

為提升服務事業對資訊安全議題的決策功能，金管會新修正「證券暨期貨市場各服務事業建立內部控制制度處理準則」第36條之2，對於各服務事業應指派副總經理以上或職責相當之人兼任資訊安全長一事，並在適用對象上，分別對券商、期貨商與投顧業制定出不同要求。金管會證期會表示，自 5 月 27 日預告修正草案後，在 9 月 7 日說明已完成法規預告，預計最近幾天就會發布並施行。

金管會已給予金融業多年時間，從鼓勵變為強制

對於企業組織設置資安長的趨勢，在不少國家都已出現，少數臺灣公司也已經這麼做。隨著資安已成企業基礎架構之一，全球許多國家的金融監理單位，都積極健全金融產業發展，並設法強化其資安，我國也不例外。

事實上，在這次修法之前，金管會為了讓金融機關適應這樣的趨勢，這幾年來，持續與國內金融業者溝通，同時也循序漸進，提高國內業者對於資安專責主管的要求。

例如，在 2017 年 2 月，金管會邀請本國銀行討論相關議題，當時達成的共識在於，本國銀行可依規模、業務複雜度與營運風險，於半年內設置資安專責單位及相當層級的專責主管。後續，金管會也針對兆元以上銀行修法明訂，需設協理以上層級擔任資安專責單位主管。

到了 2020 年 8 月 6 日，金管會新推金融資安行動方案，當中提及資安長設置等議題，對資安專責主管有了更進一步的要求。這項計畫將推動一定規模金融機構或純網銀，設置副總經理層級的資安長，另外也希望董事會的運作中，能聘請資安背景的董事、顧問，或是設置資安諮詢小組。

至於各金融業者看待這要求的態度如何？在今年 5 月初舉行的臺灣資安大會金融安全論壇上，當時金管會資訊服務處處長蔡福隆表示，在 2021 第一季，已有 12 家金融機構相當主動，已經是由副總經理兼任資安長。隨著今年9月法規修訂完成施行後，預估將有 65 家左右金融業者都需要完成資安長設置。