民進黨重新執政後,對於國際資安攻擊戒慎恐懼,因此責成相關部會訂定資安管理準則,不過,金管會日前修訂「銀行內控與稽核制度實施辦法」與「證券事業內控制度處理原則」,竟然強制要求資訊部門之外,獨立設置資安部門,由於公務人員考試目前僅有「資訊」職系,並無「資安」職系,被行政院列為A級資安等級之政府機構與國營事業,目前均無獨立之資安部門,金管會竟然要求銀行、證券與保險業半年內完成獨立資安部門之建置,明顯寬與律己、嚴以待人。
金管會今天宣布,將於3月底前正式公告《金控及銀行業內控及稽核制度實施辦法》,針對資產規模一兆元以上之大型銀行,將要求在9月底前,完成法遵部門與資安部門的獨立設置。
金管會建立「資安專責制度」 要求銀行設立法遵與資安部門
銀行局副局長王立群強調,上述規定係為了強化金融機構之法遵、風控,及建立「資安專責制度」,並推動金融機構建立內部檢舉人保護制度,審酌當前金融環境,訂定相關要求。其中,金融機構設置之法遵單位,得兼辦洗錢防制及打擊資恐相關事項,但不得兼辦與法遵業務無關之法務,或其他與職務有利益衝突之業務。
獨立法遵部門與內部檢舉人制度,主要係因應兆豐紐約分行洗錢裁罰案,以及永豐金控孫公司永豐金租賃借款關係人「三寶建設」。王立群表示,上述規定預計三月底正式公告,銀行資產總額達1兆元以上之業者,必須在6個月內完成法遵與資安部門之獨立設置。
除了銀行之外,證券與保險業的法遵與資安部門要求,目前也已進入法規預告階段,證期局副局長周惠美表示,證期局日前預告《證券事業內控制度處理原則》,要求證券周邊事業強化境外子公司與分公司之洗錢防制與打擊資恐之規範,同時按照業者資本額規模,強制規範資安單位人力編制。
資本額200億元以上證券 強制設置獨立資安單位
首先,資本額200億元以上之證券事業(元大、凱基與群益證券),比照總資產1億元以上之銀行,強制設置獨立之資安專責單位,該單位須有1名資安主管與至少2名資安人員。資本額100-200億元之機構,資安人力編制與200億元以上相同,但不強制設置獨立資安單位,40-100億元之機構則需編制1名資安主管與1名資安人員;資本額40億元以下者,則至少要聘雇1名資安人員。
周美惠表示,上述規定涵蓋證券商、期貨、投信、證金與經營全權委託業務之投顧與信評事業,中華信評與惠譽信評也在其中。
不過,金管會趁兆豐洗錢案與永豐三寶案,將資安部門獨立設置之要求,強制加諸在金融機構的作法,卻顯有爭議之處。 (相關報導: 遭中國挖角50人 南亞科:提高酬勞留才、加強資安保密因應 | 更多文章 )
中華郵政也要設立
首先,金融機構之獨立資安人員要求,係比照行政院在2015年所頒布之《行政院在政府機關(構)資通安全責任等級分級作業規定》,所規定之A級資安單位,包括(1)台電、台水、中油、港務公司、證交所等涉及能源、水資源、通訊傳播、交通、金融等關鍵資訊基礎設施機構,(2)已BOT之基礎設施,例如遠通電收、台灣高鐵、高雄捷運;(3)醫學中心,以及保有全國性個人資料檔案之機構,如中華郵政等。
