Page 154 - 銀行法令遵循策略與實務
P. 154

銀行法令遵循策略與實務






           務廠商之評鑑標準、因應市場環境、科技技術變化或法規制度變

           動造成的資安風險等。由上而下,由資安政策、策略選擇、作業
           與活動構成資通安全維護計畫,並依此建構整體資安縱深防禦。

               「預警與強化作業」、「資安監控與通報作業」,以及「資

           安事故與情資應變作業」等資安活動為資通安全維運作業的 3 大
           環節。建議金融業者以相關資安案例來檢視這些活動的設計,再

           以 PDCA 循環逐步優化作業流程。

               從 2016 年上半年孟加拉中央銀行的環球銀行金融電信協會

           (SWIFT) 金融電信網路遭駭客入侵跨國盜轉帳案例來看。當金融

           業者收到此同業之威脅情資時,負責情資管理的資安人員將視情
           資等級進行內部通報,並針對可能受影響的工作站或主機,擬定

           對策,呈報決策主管,進行資安情資應變作業,或採行風險降低

           對策,例如限制工作站對 Internet 的直接存取、建立工作站專用
           機上的程式白名單管控機制,或加強對可能受影響之工作站電腦

           上的異常訊息與網路封包之監控通報等。

               資安維運人員需要針對預警情資進行篩選、通報管理階層、

           盤點對應的資訊系統、判斷可能的影響,並擬定適當應變對策方

           案,快速取得決策階層同意後,投入資源進行對策所需的應變,
           並在資安情資應變完成後,重新檢視該個案應變過程,並思考是

           否可回饋到例常的資安強化作業。例如透過年度資安評估作業,



                                     146
   149   150   151   152   153   154   155   156   157   158   159