金管會發布「金融業導入零信任架構參考指引」，鼓勵深化資安防護

金融監督管理委員會（以下稱金管會）近期發布「金融業導入零信任架構參考指引」(以下稱參考指引)，鼓勵金融業以零信任思維深化資安防護。

金管會前於111年12月發布「金融資安行動方案 2.0」時，為因應後疫情時期及數位轉型之資安防護需求，參考國際間包含美國、歐盟等都將發展零信任網路資安防護環境視為網路安全戰略，我國「國家資通安全發展方案」亦推動政府機關導入零信任網路，爰將「鼓勵零信任網路部署，強化連線驗證與授權管控」納為精進重點之一。

金管會表示，考量零信任架構涵蓋整體資安防護框架，導入過程不可能一次到位，而金融機構於資安防護均已有一定量能，如雙因子身分驗證、設備健康檢查及網段隔離等；為鼓勵金融機構在既有的基礎上，以零信任思維續深化資安防護，爰據與金融機構研討過程凝聚之共識，訂定本參考指引供金融機構參考運用。

金管會於參考指引中，建議金融機構採風險導向，擇高風險場域為優先導入零信任架構之標的，例舉的場域包含非屬傳統資安防護邊界範圍內的遠距辦公及雲端存取；具備特權或高權限者，如重要系統主機及資料庫等之維運管理、應用系統中的帳號管理員或可接觸大量機敏資料之使用者等；以及因應供應鏈攻擊趨勢，對委外廠商或跨機構協作之存取管理。金管會並說明，高風險場域不以前述例舉為限，並得由金融機構依風險基礎方法進行適當評估，擇定其導入優先序及範圍。

在零信任架構的導入策略上，金管會參考美國網際安全暨基礎設施安全局(CISA)零信任成熟度模型，並依據我國金融業屬性及既有資安防護能量進行調適，區分四階段分級指標，建議盤點高風險場域之完整存取路徑(身分、設備、網路、應用程式、資料)，由外而內縮小攻擊表面並增進防禦縱深、由內而外擴大防護表面，參考分級指標分階段導入資安管控措施：

(一) 第一級為靜態指標，著重在既有資安防護機制之優化及整合，包含雙因子身分鑑別、設備識別、網路區隔與流量加密、應用程式最小授權原則、機敏資料加密及外洩防護等，由關鍵資源存取路徑強化防護縱深。

(二) 第二級融入動態指標，主要參採零信任「永不信任、持續驗證」概念，將資源存取時的動態屬性（如時間、地點、設備合規狀態等）增納為授權審核條件，可針對異常樣態動態撤銷、限縮存取授權或即時告警。

(三) 第三級以即時指標為主，建議整合資安監控機制，於安全資訊與事件管理平台(SIEM)收容及整合資源存取相關事件日誌，對入侵指標(IOC)或攻擊行為樣態(如Mitre ATTCK TTP)等進行即時的偵測、判斷與應處。

(四) 第四級為最佳化的整合指標，建立可依資安政策快速調適之一致性且自動化之管理機制，確保安全性及合規性。

金管會表示，本參考指引屬行政指導，金融機構於導入實務仍得考量既有資訊與資安環境、資安防護水準、資源及人力、業務風險、相關解決方案成熟度等因素調適；或另為適切之規劃，不以本參考指引為限。

金管會另將鼓勵金融機構分享實務案例，供金融同業交流研討最佳實務，帶動持續深化及擴散。後續亦將透過定期調查各金融機構之導入規劃及進程，與各同業公會、周邊單位共同依據對各金融業別屬性、規模及業務風險等，衡量實際資安防護需求及執行可達性，適時納入資安規範，提升整體資安防禦水準。

檢附「金融業導入零信任架構參考指引」。

聯絡單位：資訊服務處

聯絡電話：(02)8968-0840

如有任何疑問，請來信：本會民意信箱