i卡會員

2019年自動櫃員機（ATM）、資訊系統接二連三出包，引來國銀警覺，加速資安升級，將「不斷線」的重視程度提高到防駭、穩定相同等級。

其中中信、台北富邦、台新三大民營銀行，都將不可使用時間控制在2小時內，率先以金管會對網路安全衝擊容忍度的高規格處理。

加強傳統的資安防線之外，多家銀行也比照科技業者的做法，寧可信其有的在機房設備間放上不過期「綠色乖乖」，中信、北富銀、滙豐均有此不成文規定，要讓設備「乖乖運作」。

銀行業者指出，資安一般分為二道防線，一道防線由資訊單位擔任，主要負責資安系統維運及作業，工作分散於各科組。

二道防線由資安專責單位負責，主要任務包括資安治理、資安監控與應變、風險評估與改善等。

放眼國際，目前以美國、日本、新加坡、澳洲等國，對於資安的要求最嚴格。

多數國銀都已加入「金融資安資訊分享與分析中心（F-ISAC）」，包括中信、台新、渣打等，除了定期接收所提供的資安情資，作為資安防護與監控的依據，亦提供偵測到的攻擊來源或樣本給F-ISAC，分享給同業聯防。

為避免系統出包，中信銀指出，維護方面硬體大宗是委外辦理，軟體則自行維護和委外皆有，還有加強措施，如遇重大突發狀況，會立即啟動緊急應變中心。

台新銀則指出，ATM視作業需求，委外/自行維運皆有，除針對異常吐鈔監測，並安裝白名單系統以維護ATM軟體安全。

24小時進行相關線路與硬體監控，如有異常會自動監測發送簡訊與mail給相關人員處理；北富銀也說，設置有24小時高效能的維運機房，並為各項業務維運，配備完善的專業軟硬體設備，搭配即時監控預警系統及定期的危機預演、設備升級，以期有效保障客戶資訊安全、確保服務品質。

玉山銀強調，核心關鍵系統是自主開發及維護，周邊系統才會評估是否以外包方式辦理。

目前導入ISO 27001資訊安全管理系統並取得認證，並建立即時警示機制，由24小時監控中心即時監控，目前資安人力40人，這兩年人力成長皆在30％以上。

滙豐銀則採「三道防線」防禦模式。

「資訊安全組」為第一道防線，與集團區域中心資安單位緊密合作，負責為各部門提供資安相關防護、建議及防禦機制，保護銀行免於或降低遭受日新月異且持續的網路攻擊。

「資訊安全風險組」為資安全管理的第二道防線，負責制定資訊安全風險管理的政策和指引，並為有效的資訊安全風險管理提供建議和指導，確保全體員工及各部門持續妥善管理風險符合所訂之風險胃納。

第三道防線才是稽核處。