Page 153 - 銀行法令遵循策略與實務
P. 153

監管科技發展






               資通安全維運作業的 3 大環節

                   為避免流程的設計僅是應付內部與外部稽核的查核活動、流

               於形式,建議金融業者可從「預警與強化作業」、「資安監控與

               通報作業」,以及「資安事故與情資應變作業」等 3 個相關聯的
               資安維運作業來檢視與調整現行作業流程,評估是否藉由資安保

               險 (Cyber and PrivacyInsurance) 轉嫁可能的風險損失 ( 詳見圖 1)。


                   圖1:因應《資安管理法》,金融業架構資通安全維護計畫

                                      金融資安中心F-ISAC

                             情資交換   資安中心組織、權責與檢視活動     重大事故通報
                                        資通安全維護計畫

                                         資安維運作業
                 金                       強化監控設計
                 融    預警與                                      資安監控
                                                                與通報
                       強化
                 機               情資應變              資安事故通報
                 構
                                            資安    案例監控機制回饋
                               案例強化回饋
                                            應變
                                資安保險(Cyber and Privacy Insurance)

                                                              ༟ࣘԸ๕jᗫ൱ၣ༩

                   更建議金融業者定期評估現行資安策略、議題、資安風險與

               資安投資決策等資安管理活動,例如評估投保資安保險的效益、
               是否調整組織將資安人員獨立於 IT 單位之外、是否在企業內部成

               立資安中心、自建資安監控平台或將資安監控委外、選擇資安服



                                           145
   148   149   150   151   152   153   154   155   156   157   158