焦點新聞
                 Hot  News







              等機關代表。這個跨部會機關負責制定並更新                             金融機構，也包括保險公司，NAIC推出的網
              《資訊科技手冊》，除供聯邦檢查員使用外，                             路安全法規就是這麼做，其他州也有類似規
              州政府的銀行檢查員也會參考這份手冊，在檢                             範，這也呼應網路安全事件時的監理趨勢以
              查州特許機構時使用。手冊也獲得貨幣傳輸監                             及顧客通報要求。
              理單位協會參考，用於監管、檢查非存款型的

              金融機構。                                            紐約DFS法規
                  F i n C E N也發布了相關指引，也就是                      一體適用於各類金融機構
              2021年11月的《勒索軟體及利用金融系統
              幫助支付贖金── 相關建議》（Advisory  on                           紐約州金融服務署（D F S）最近非常積
              Ransomware and the Use of Financial System       極，它是公認的網路安全領頭羊，特別重視
              to  Facilitate  Ransom  Payments），文件中列           網路安全法規。該主管機關會提供指引、建
              出12個紅旗警示，也提到了可疑活動的申報                             議、最佳實務或框架，但法規不同之處在於
              規定，FinCEN及執法機關認為涉及勒索軟體                           有強制力。發布法規的紐約D F S，負責管理
              攻擊的可疑交易，也屬於需要立即注意的違法                             很多的金融機構，不只是銀行，也包括非銀

              情事。                                              行的金融機構：貨幣傳輸、貨幣服務、保險                                                                     AD
                  延續強制申報的主題，聯邦的銀行主管                            公司。從政策角度來看，紐約人應該要對自
              機關FRB、OCC、FDIC在2021年11月的時候                       己所有的金融工具有信心，無論是保險公司
              已確立最終版網路安全事件通報規範，針對銀                             的終身壽險、銀行裡的存款、數位資產交易
              行業者及其服務供應商── 請注意強調了服務                            所裡的資產、貨幣傳輸業者的電子錢包，要
              供應商。這項最終版規範，要求銀行機構碰到                             確定是安全的。從公共政策的角度，無論使
              「嚴重網路安全事件」時（條文中有相關定                              用哪種金融服務，民眾應該都可受到類似保

              義），必須向主管機關通報，且必須在事件發                             護。為此，紐約DFS的法規，其實就是要一體
              生36小時內通報。依規定必須通報的事件，                             適用於各類金融機構。
              包括已經或可能嚴重影響銀行業務運作、提供                                  另外，D F S發布的指南也非常有用，因
              銀行產品及服務能力，或者影響金融穩定。此                             為裡面分享了所觀察到的業界作法。D F S其
              外，銀行或銀行服務供應商都必須盡快告知受                             實收集了非常多網路安全事件相關資訊，而
              影響客戶，在確認發生應通報事件，且已經嚴                             Fed、OCC、FDIC近期也開始仿效，分享類似
              重影響，或可能嚴重影響銀行客戶達4小時以                             資訊。這類資訊其實都非常有用，可以幫助
              上時，就應盡快告知。前面所說的最終規範，                             大家了解如何防患未然、預防勝於治療，藉
              從今年5月1日起生效。                                      由執法行動幫助機構更穩健、更安全營運。

                  這裡有幾個重要主題：向主管機關通報，                                美國金融服務署在網路安全治安方面持
              以及向大眾宣布相關消息。有幾個近期的聯邦                             續不斷與時俱進，看來其他的主管機關預計
              申報要求，特別需要關注，因為這幾年來，                              也會開始受到這方面作為的影響，採取類似
              紐約的州主管機關規定是用更整體的眼光看待                             作法，來修改自身的監管計畫。






         42   台灣銀行家2022.9月號






   1          5%     JOEE