金融科技Fintech風潮下，資訊安全威脅日益嚴峻，近來國際頻傳遭駭事件，金管會副主委暨資安長邱淑貞今（6）日發布「金融資安行動方案」，計畫四年內逐步推動。同時宣布資產兆元以上金融機構，包括銀行保險業，2021年底前需強制設置資安長，包含今年上路的3家純網銀，資本額200億元以上證券業也需設置，總計有31家金融機構明年底前需完成布建。

邱淑貞說。金管會推重「金融資安行動方案」的目標即是「追求安全、便利與不中斷的金融服務。」行動方案將於四年內推動，每半年檢討，並做動態檢討，她提醒金融機構因應這樣的風險，應有所作為提早預防「超前部署」。

金管會將會與各公會制定相關的基礎自律規範，讓業者有所遵循與落實；也會要求各別公司應建立監控應變小組，同時考量資安人才缺乏，金管會也會與各大學產學合作或跨業跨領域合作培養相關人才，此外包括資安檢測、建立備援系統，總體上要做到公司合作、資源分享達到聯防的功能。

她說，資安攻擊已無國界，因此金管會也重視國際合作，此外資訊或是技術私部門也有其經驗，公私要共同合作、大小機構依規模不同特性，會用差異化管理，資源共享大家合作達到防禦的功能。若沒有落實效果打折，金管會也擬祭出獎懲措施，若沒做好會連結到業務准駁上，存保與安定基金費用會比較高，以達到政策的有效性。同時也研究導入美國的「資料保全避風港」能在戰爭巨災中保全客戶資料。

其中型塑組織文化方面，金管會將率先要求資產兆元以上銀行與保險機構、純網銀要設置資安長，證券資產較小，以實收資本額200億元以上為標準，也要設立資安專責機構。因此包括有17家銀行、8家保公司與3家證券公司，以及3家純網銀都需要在2021年底前要設完，目前3家純網銀都已有設置。

此外金融服務不中斷部份，國際趨勢對銀行要求最大可容忍時間在四小時內完成，但證券跟保險內部條件又不同，金管會希望逐步往前推可以更精進縮短最大可容忍中斷時間。邱淑貞說，若有市場性及關鍵設施的金融機構，可容忍中斷時間應要比自律的4小時要更短。

至於資安聯防方面，金管會鼓勵金控建立電腦資安事件應變小組，周邊單位及公會則推動建立「資安應變支援小組」同時建立金融資安應變體系「F-ISAC」，並導入人工智慧分析機制，提升情資分析量能。金管會表示，目前不少金控已有自建資安監控機制，包括國泰世華銀去年底建置，其他像台灣銀行、中國信託、玉山銀也都有自建監控機制。

此外金管會也研究要參考美國導入「資料保全避風港」，以避免發生巨災、戰爭等重大意外時可以達到最強度的耐震防火防水等風險，像是金庫與種子銀行的概念，達到金融機構客戶資料的保全；美國目前是由大型銀行自建，小型機構購買服務，若未來各國一一導入，金管會將請外界機構研究如何做，看要由金融機構本身建資料保全，還是大家集合在一起保全， 尋求業界的共識。