分享
'%3e%3cpath%20d='M12.8276%205.73367L12.5096%208.74976H10.0987V17.4995H6.47736V8.74976H4.67285V5.73367H6.47736V3.91783C6.47736%201.46481%207.49748%200%2010.3973%200H12.807V3.01609H11.299C10.1739%203.01609%2010.0987%203.44123%2010.0987%204.22665V5.73367H12.8276Z'%20fill='%2398A2B3'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_162_3194'%3e%3crect%20width='17.4995'%20height='17.4995'%20fill='white'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
'%3e%3cpath%20d='M6.91992,6l14.2168,20.72656l-14.9082,17.27344h3.17773l13.13867,-15.22266l10.44141,15.22266h10.01367l-14.87695,-21.6875l14.08008,-16.3125h-3.17578l-12.31055,14.26172l-9.7832,-14.26172z'%3e%3c/path%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
預告AI資安檢測、PQC遷移及API新規範! 金融資安發展的4大軸線及5大關注規範
金管會於2025年底正式發布「金融資安韌性發展藍圖」(下稱藍圖),藍圖內容不僅攸關金融業未來資安規劃與資源投入,更可說是科技業者未來與金融業合作門檻與產品設計方向的提前預告。藍圖內容有哪些重大轉向、有哪些值得關注的規範動態,本文一次分析給您。
從合規防禦到韌性治理:金融資安政策的核心轉向
藍圖是為了回應「國家資通安全戰略2025」與「第七期國家資通安全發展方案」,並因應金融服務高度數位化所帶來的系統性風險,在2020年「金融資安行動方案」及2022年2.0版本的基礎上,進行延續與滾動式調整的政策成果。
過往政策著重於制度與能力的建置,例如設置資安長、導入國際資安管理標準、建立資安監控中心等,目的在於補齊金融體系的基本防護能力。然而,隨著AI、雲端、量子計算等新技術發展,加上金融機構間複雜的合作關係及供應商關係,資安風險也逐漸升高。因此各國監理機構已意識到,僅靠傳統合規導向的資安治理模式,已不足以支撐金融體系的穩定運作。
因此,本次藍圖所揭示的關鍵政策轉向,在於從「避免事故發生」的防禦思維,進一步邁向「即使事故發生,也能維持關鍵服務並快速恢復」的韌性治理邏輯。整體目標是「建構可預測、可防禦、可復原的金融生態系」,政策核心並非要求金融機構「零風險」,而是透過制度化設計,使風險能被預測、被控制,並在極端情境下被有效吸收。
4大治理軸線:打造金融資安良性循環
藍圖以「目標治理」、「全域防護」、「生態聯防」及「堅實韌性」等四大支柱為軸線,共提出29項具體執行措施,期待從管理面、技術面與生態系層級,同步強化金融體系的整體韌性。
第一,「目標治理」強調從合規導向轉為目標導向,除了必須符合的最底限的法規要求,也鼓勵金融機構根據自主評估的資安成熟度,自我設定未來提升等級之目標。並要求強化金融機構高層問責、加強資安人才培育、鼓勵以風險基礎方法(Risk-based Approach, RBA)進行法規調適等。
其次,「全域防護」著重新資安思維的建立。其中「資安左移」意指將資安納入軟體設計當中,在整體軟體開發、測試及部署流程,均須持續關注資安議題。而「零信任架構」(Zero Trust Architecture, ZTA),則強調對所有存取都不輕易信任,透過持續驗證身分、設備等,來提升資安監控效能。並且也將針對AI、PQC(Post-Quantum Cryptography,後量子密碼學)等新興科技之資安防護進行前瞻部署。
第三,「生態聯防」則從供應鏈及整體生態系之角度切入。因應金融業對第三方服務供應商與外包商的依賴程度日益加深,供應鏈的組成也愈趨於多元且複雜,將推動強化供應商於資安之透明性及可歸責性,進行供應鏈資安管理。並期待透過跨域及國際聯防,建構智慧資安情資生態。
第四,「堅實韌性」著眼於關鍵金融服務的持續與快速恢復,以資安攻防演訓、強化多層次備援與風險分層,確保關鍵金融服務不中斷。
圖1:「金融資安韌性發展藍圖」4大軸線及5大關注規範
資料來源:本文作者輔以AI整理繪製
5大關鍵規範動向:科技業者不可忽視的制度變化
科技業者除可從藍圖所描繪的整體願景觀察未來金融業資安發展方向外,更值得進一步關注其中預計新增之具體規範內容。相較抽象政策目標,這些即將形成的基準或指引,往往更直接影響金融機構對外合作時的審查標準與契約要求。
首先,考量API為金融業系統間重要溝通橋樑,且常具有較高權限與風險。規劃於銀行公會既有開放銀行Open API規範之基礎上,研訂更完整的API安全基準,依資料機敏性及使用對象區分API類別及等級,落實API資安管控。
其次,有關零信任架構(ZTA),多數金融機構已選擇導入ZTA之場域,並將優先推動高風險場域。藍圖強調循序提升技術成熟度,並透過公會凝聚實務共識,未來可望將「零信任架構實作參考原則」逐步納入資安基礎規範(如銀行公會「金融機構資通安全防護基準」)。
第三,有關AI,考量AI系統的資安風險與傳統系統雖有交集,但更複雜與隱蔽,使得傳統資安政策無法直接套用。擬參考OWASP等國際組織發布最新之安全設計及檢測機制,研訂「金融業AI系統防護及檢測參考指引」。
第四,有關PQC,量子電腦已對非對稱式加密構成嚴重威脅,將影響網路交易、電子簽章及身分驗證安全,故須將資訊系統加密機制「遷移」為可抵禦量子電腦威脅的後量子密碼學系統。因此金管會將研訂「金融業PQC遷移參考指引」,協助金融業規劃遷移計畫,並視量子電腦及PQC技術成熟度適時推動遷移。
第五,有關供應鏈資安管理,因應供應鏈攻擊增溫趨勢,金管會將督導金融同業公會依其產業特性、供應商接觸資通系統之類別及資料敏感度等面向進行分級,研訂「資安責任之委外契約參考條款」,訂定差異化審查項目及標準,如不同風險等級之供應商應符合之國際標準、資安曝險程度要求等。
因此與金融業合作之科技業者,宜提早研究既有規範之架構與核心精神,並關注未來可能成形之規範。提早理解其政策脈絡與邏輯,當規範逐步落實時,業者便能更有準備地回應金融機構的要求,而不必在標準確立後才臨時補強。
科技業者的關鍵課題:主動證明韌性、積極應對規範
以上的政策走向,意味著未來金融機構對外部合作夥伴的期待,將不再單純停留在是否符合法規,更在於是否具備長期穩定運作的能力。科技業者是否具備清楚的資安治理結構、是否具備持續的資安防護能力、是否具備快速的復原能力,將變得更加重要。建議科技業者可透過取得第三方認證(如:ISO 27001認證、SOC 2 Type II查核報告)與建立並定期演練營運持續計畫與災難復原計畫等作法證明之。
此外,科技業者也需要持續關注所涉及的規範,目前以上規範雖然仍只是建議性質,但除了可能在現階段直接被金融機構採納為對供應商的要求,亦可能逐步被訂定至公會或金管會規範中,因此仍需要積極應對。未來,能夠同時回應效率、創新與韌性要求的業者,更有機會在高度監理且高度互賴的金融生態系中,取得長期立足的位置。
封面圖片來源:本文作者輔以AI繪製
參考資料來源:
1.金管會發布「金融資安韌性發展藍圖」,強化金融資安生態系與營運韌性,https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0,2&mcustomize=news_view.jsp&dataserno=202512300002&dtable=News (Last visited date: 2026, February 23).
2.金管會發布「金融業導入零信任架構參考指引」,鼓勵深化資安防護,https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0,2&mcustomize=news_view.jsp&dataserno=202407180002&dtable=News(Last visited date: 2026, February 23).
李佳熹
2026-04-08
