銀行公會日前發布了銀行資訊系統委外作業的新自律規範,明定五大類銀行IT委外時的作業要求和規範,ATM等顧客自動化服務或營運重大影響的第一類系統,從4月10日開始適用,其於第二、三類系統則有一年緩衝期,明年4月開始適用。

銀行公會在4月10日正式開始實施新的《金融機構資通系統與服務供應鏈風險管理規範》,針對銀行資訊系統的開發、建置或維運委外作業的規範,也包括了銀行雲端委外服務的新規範。

銀行公會在110年訂定金融機構資通安全防護基準時,就已經針對銀行的供應商有相關的管理要求,但是金管會認為,這套基準的要求不夠完整,因此才要求銀行公會訂定新的自律規範。

銀行局副局長童政彰指出,為了因應金融服務業委外跟跨業經營型態的新發展,才決定增修現有的管理規範,新版自律規範增加了核心資通系統的軟硬體供應商和維運商,以及跨機構合作夥伴的風險評估,有必要訂定委外規範中的邊際防護要求。

童政彰指出,新上路的供應鏈風險管理規範自律規範有5大重點,第一是要求金融機構在辦理委外前,應該分析跟規畫IT供應鏈的相關資訊安全事項,例如,評選供應商時要考慮服務過度集中到單一廠商的風險,其次也明定了銀行評選供應商要執行的工作,再來,自律規範中更明定了11款銀行與供應商的委外契約中明確約定的事項,例如與供應商要訂出服務品質、水準、效能、資安事件應變與通報程序、資安事件損害賠償責任、定期檢測與修復、保固服務、異常管理等。

除此之外,新版自律規範第四項重點則還規範了銀行與供應商契約存續期間要注意的原則,例如銀行要定期對有權存取資訊系統的供應商,定期進行供應鏈風險評估。最後一項重點是,當供應商服務變更或契約終止時要遵守的事項,同樣要特別要求,契約終止或服務變更前,銀行也必須進行供應鏈資安風險評估。

雖然,新版自律規範在4月10日開始上路,但是考量實際執行的負擔,金管會同意不用全面實施,部分類型的銀行資訊系統可以有一年緩衝期,可以延後到明年4月開始適用。

在自律規範中,公會將銀行系統分為三類,第一類是直接提供客戶自動化服務或者是營運有重大影響的系統,例如分行櫃檯系統,ATM自動化服務,SWIFT系統等等。第二類則是提供間接服務客戶的系統,如說銀行的作業中心或者是客服系統,還有第三類系統是不會接觸到客戶的資訊系統,例如銀行內部的人資、財會」總務系統等,這一類系統率先適用,而第二、三類則暫緩到明年適用。

銀行自律規範沒有明定SBOM要求,改由供應商得擔保元件安全

這幾年因為軟體供應鍊資安事件頻傳,尤其像2021年底的Log4j重大漏洞,影響了非常多的資訊系統,因此,美國白宮也在2021年發布行政命令中,開始強調軟體透明度,更要求任何美國聯邦政府採購的軟體,都需提供SBOM清單。

證券公會在去年12月就率先開始實施供應鏈風險管理自律規範,其中就明定證券資訊服務供應商揭露第三方程式元件之來源與授權證明,等於要求類似SBOM的元件清單。但是在銀行供應鏈風險自律規範中,卻沒有如此的明文規定。

童政彰解釋,在銀行自律規範中,雖然第六條第9款只要求供應商交付的產品跟服務組件,必須合法取得或獲得合法授權,但在同一條第10款中也要求,供應商得確保所交付的資通系統的服務組件,沒有惡意程式跟後門程式,還要取得相關安全性測試的結果,或是供應商的安全性承諾。「從整體安全管理規範來說,銀行與券商的自律規範是一致的。」

換句話說,雖然沒有如美國要求揭露SBOM的作法,但是銀行公會這項新的自律規範,也規範了銀行必須對委外廠商要求,提供第三方元件的安全保證以及提供安全檢測結果。

在證券業與銀行業的供應鏈風險管理自律規範相繼上路之後,金管會表示,保險業現有相關安全規範已經足夠,沒有訂定保險業供應鏈風險管理自律規範的計畫。

2023/5/5更正啟事:原文提到第六條第10款要求供應商要提供相關安全性測試的結果,「或是」供應商的安全性承諾,應該是是二擇一即可,原文誤植為「以及」,內文已經更正。

熱門新聞

Advertisement