民進黨重新執政後,對於國際資安攻擊戒慎恐懼,因此責成相關部會訂定資安管理準則,不過,金管會日前修訂「銀行內控與稽核制度實施辦法」與「證券事業內控制度處理原則」,竟然強制要求資訊部門之外,獨立設置資安部門,由於公務人員考試目前僅有「資訊」職系,並無「資安」職系,被行政院列為A級資安等級之政府機構與國營事業,目前均無獨立之資安部門,金管會竟然要求銀行、證券與保險業半年內完成獨立資安部門之建置,明顯寬與律己、嚴以待人。
金管會今天宣布,將於3月底前正式公告《金控及銀行業內控及稽核制度實施辦法》,針對資產規模一兆元以上之大型銀行,將要求在9月底前,完成法遵部門與資安部門的獨立設置。
金管會建立「資安專責制度」 要求銀行設立法遵與資安部門
銀行局副局長王立群強調,上述規定係為了強化金融機構之法遵、風控,及建立「資安專責制度」,並推動金融機構建立內部檢舉人保護制度,審酌當前金融環境,訂定相關要求。其中,金融機構設置之法遵單位,得兼辦洗錢防制及打擊資恐相關事項,但不得兼辦與法遵業務無關之法務,或其他與職務有利益衝突之業務。
獨立法遵部門與內部檢舉人制度,主要係因應兆豐紐約分行洗錢裁罰案,以及永豐金控孫公司永豐金租賃借款關係人「三寶建設」。王立群表示,上述規定預計三月底正式公告,銀行資產總額達1兆元以上之業者,必須在6個月內完成法遵與資安部門之獨立設置。
除了銀行之外,證券與保險業的法遵與資安部門要求,目前也已進入法規預告階段,證期局副局長周惠美表示,證期局日前預告《證券事業內控制度處理原則》,要求證券周邊事業強化境外子公司與分公司之洗錢防制與打擊資恐之規範,同時按照業者資本額規模,強制規範資安單位人力編制。
資本額200億元以上證券 強制設置獨立資安單位
首先,資本額200億元以上之證券事業(元大、凱基與群益證券),比照總資產1億元以上之銀行,強制設置獨立之資安專責單位,該單位須有1名資安主管與至少2名資安人員。資本額100-200億元之機構,資安人力編制與200億元以上相同,但不強制設置獨立資安單位,40-100億元之機構則需編制1名資安主管與1名資安人員;資本額40億元以下者,則至少要聘雇1名資安人員。
周美惠表示,上述規定涵蓋證券商、期貨、投信、證金與經營全權委託業務之投顧與信評事業,中華信評與惠譽信評也在其中。
不過,金管會趁兆豐洗錢案與永豐三寶案,將資安部門獨立設置之要求,強制加諸在金融機構的作法,卻顯有爭議之處。
中華郵政也要設立
首先,金融機構之獨立資安人員要求,係比照行政院在2015年所頒布之《行政院在政府機關(構)資通安全責任等級分級作業規定》,所規定之A級資安單位,包括(1)台電、台水、中油、港務公司、證交所等涉及能源、水資源、通訊傳播、交通、金融等關鍵資訊基礎設施機構,(2)已BOT之基礎設施,例如遠通電收、台灣高鐵、高雄捷運;(3)醫學中心,以及保有全國性個人資料檔案之機構,如中華郵政等。
在上述A級資安單位,包括政府部門在內,目前仍有多個單位尚未設置獨立之資安部門,以證券周邊事業為例,周惠美表示,目前證期局下轄單位,除了集保公司有設立獨立資安部門外,其餘單位包括證交所在內,都尚未設置獨立資安部門,不過證期局已在1月發函相關業者,要求在3個月內設置。
其次,政府部門目前的資安人力,仍嚴重缺乏,為避免遭外界批評「寬與律己,嚴以待人」,相關部會對於下轄監理事業,並沒有嚴格要求資安部門必須從資訊部門中獨立。
公務員考試僅有資訊職系 無資安體系
據了解,由於目前公務人員考試,僅有資訊職系,尚無設置資安職系,目前政府資安人力明顯不足,各部會的資安人力,都還隸屬於資訊處室,行政院方面都坦言,現階段要各部會資安人員,自資訊部門獨立,現階段並不可能。行政院到美國考察資安業務,也發現每一個企業的資安防護作為並不相同,有些企業在資訊長之外,有獨立的資安長,但是也有資安長隸屬於資訊長之下,因此,在獨立資安單位的建置上,並沒有強制要求。
以通傳會下轄的電信事業為例,通傳會針對一類電信與二類電信業者,包括固網與行動通信業者,所訂定的資安通報管理規則,係要求業者必須通過國際機構之ISO27001與ISO27011之認證,另外,在資安事件發生後,也有訂定《資通訊環境安全應變作業要點》,通傳會官員表示,通傳會目前並沒有要求電信業獨立設置資安部門,「交由國際單位資安認證,會比土法煉鋼要好很多。」
不過,金管會似乎習慣於「一條鞭」式監理,認為資本額與總資產一定規模以上,必須要「帶頭示範」,甚至強調資安業務是「新興制度」,現在先訂相關辦法,待日後實驗結果,再決定是否改弦易轍。
王立群表示,金融機構法遵人員,之所以不能兼法務,主要係考量法務人員長期以來配合銀行業務部門拓展,「久居其中」能否跳脫業務掛帥思維,以公正客觀執行法律遵循。「法務人員,要在金融法規範圍尚未明確前,找尋變通解釋,但法遵人員對於法律遵守,不該有這樣的疑問」,大型金融機構法遵與法務主管可能是同一個,這對機構的法律遵守會產生疑慮。
「資訊與資安的關係,某種程度也與法律與法遵類似,資訊人員對於業務系統設備已經有既有認知,但對於新的資安要求,能否達到同等關照,則不無疑義」,王立群表示。
不過,金融機構對於金管會準備一紙命令,強制要求設置獨立資安部門,則有不同的看法,不少業者在公聽會上,都建議應該與國外接軌,以通過ISO國際認證為依歸,不應該關起門來,要求金融機構必須獨立設置資安部門。
