Page 153 - 銀行法令遵循策略與實務
P. 153
監管科技發展
資通安全維運作業的 3 大環節
為避免流程的設計僅是應付內部與外部稽核的查核活動、流
於形式,建議金融業者可從「預警與強化作業」、「資安監控與
通報作業」,以及「資安事故與情資應變作業」等 3 個相關聯的
資安維運作業來檢視與調整現行作業流程,評估是否藉由資安保
險 (Cyber and PrivacyInsurance) 轉嫁可能的風險損失 ( 詳見圖 1)。
圖1:因應《資安管理法》,金融業架構資通安全維護計畫
金融資安中心F-ISAC
情資交換 資安中心組織、權責與檢視活動 重大事故通報
資通安全維護計畫
資安維運作業
金 強化監控設計
融 預警與 資安監控
與通報
強化
機 情資應變 資安事故通報
構
資安 案例監控機制回饋
案例強化回饋
應變
資安保險(Cyber and Privacy Insurance)
༟ࣘԸ๕jᗫ൱ၣ༩
更建議金融業者定期評估現行資安策略、議題、資安風險與
資安投資決策等資安管理活動,例如評估投保資安保險的效益、
是否調整組織將資安人員獨立於 IT 單位之外、是否在企業內部成
立資安中心、自建資安監控平台或將資安監控委外、選擇資安服
145

