也常常去做查核
那就順手來整理一下常見的資安技術法規囉
首先必須談到最基本的:
金融機構辦理電腦系統資訊安全評估辦法:
為確保金融機構提供電腦系統具有一致性基本系統安全防護能力並遵循中華民國銀行商業同業公會全國聯合會制訂之「金融機構資訊系統安全基準」及「金融機構辦理電子銀行業務安全控管作業基準」,擬透過各項資訊安全評估作業,發現資安威脅與弱點,藉以實施技術面與管理面相關控制措施,以改善並提升網路與資訊系統安全防護能力,訂定本辦法。
該評估辦法是在評估資訊技術檢測的項目,但金管會還會不斷更新與要求做法規的稽核
那相關的技術法令法規包含在下表:
合規檢視
- 金融機構資訊系統安全基準
- 金融機構辦理電子銀行業務安全控管作業基準
- 金融機構提供行動裝置應用程式作業規範
- 金融機構提供自動櫃員機系統安全作業規範
- 金融機構運用新興科技作業規範
- 金融機構使用物聯網設備安全控管規範
- 主管機關及本會相關函文之要求
- SWIFT公布之Customer Security Programme
首先,最難查是金融機構辦理電子銀行業務安全控管作業基準要求的準則太多了,每次去查核都必須花非常多時間做訪談與佐證收集。第一項系統安全基準已經歷史悠久,而物聯網設備安全控管規範則是蠻新的法規,但寫的其實不是非常清楚有模糊空間,範圍和查核方式每個人解讀都有可能不同至於SWIFT則是非常重要的全球要求的法規,銀行都必須做查核確保核心SWIFT的安全控管都有做到。
沒有留言:
張貼留言