Page 154 - 銀行法令遵循策略與實務
P. 154
銀行法令遵循策略與實務
務廠商之評鑑標準、因應市場環境、科技技術變化或法規制度變
動造成的資安風險等。由上而下,由資安政策、策略選擇、作業
與活動構成資通安全維護計畫,並依此建構整體資安縱深防禦。
「預警與強化作業」、「資安監控與通報作業」,以及「資
安事故與情資應變作業」等資安活動為資通安全維運作業的 3 大
環節。建議金融業者以相關資安案例來檢視這些活動的設計,再
以 PDCA 循環逐步優化作業流程。
從 2016 年上半年孟加拉中央銀行的環球銀行金融電信協會
(SWIFT) 金融電信網路遭駭客入侵跨國盜轉帳案例來看。當金融
業者收到此同業之威脅情資時,負責情資管理的資安人員將視情
資等級進行內部通報,並針對可能受影響的工作站或主機,擬定
對策,呈報決策主管,進行資安情資應變作業,或採行風險降低
對策,例如限制工作站對 Internet 的直接存取、建立工作站專用
機上的程式白名單管控機制,或加強對可能受影響之工作站電腦
上的異常訊息與網路封包之監控通報等。
資安維運人員需要針對預警情資進行篩選、通報管理階層、
盤點對應的資訊系統、判斷可能的影響,並擬定適當應變對策方
案,快速取得決策階層同意後,投入資源進行對策所需的應變,
並在資安情資應變完成後,重新檢視該個案應變過程,並思考是
否可回饋到例常的資安強化作業。例如透過年度資安評估作業,
146

