為提升專營電子支付機構(下稱電支機構)對資訊安全之控管,金融監督管理委員會(下稱金管會)已於113年4月函請中華民國銀行商業同業公會全國聯合會(下稱銀行公會)就「電子支付機構資訊系統標準及安全控管作業基準」(下稱電支安控基準)修正建議方向,及資訊安全專責單位、主管及人員設置之條件,進行研議,說明如下:
一、依金融檢查相關缺失態樣及參考銀行業對資訊安全之管理規範等,檢討修正電支安控基準,於6個月內報金管會:新興科技之發展導致新的資安威脅及防禦保護技術興起,為強化專營電支機構資訊安全控管機制及緊急應變計畫,應就專營電支機構近年涉及資訊作業之相關金融檢查缺失態樣,檢討修正電支安控基準;同時,考量「電子支付機構管理條例」於110年7月1日修正施行後,增加電支機構所營業務,為提升電子支付系統之穩定與安全,應參考銀行業自律規範對資訊安全之管理要求,包括電腦系統資訊安全評估、物聯網設備管理、供應鏈風險管理、營運環境管理人員之要求、居家辦公或異地辦公之資安防護,及資訊系統轉換、上線、升級更新作業等面向,併予檢討。
二、依「公開發行公司建立內部控制制度處理準則」之規定,對電支機構設置資訊安全專責單位之一定條件進行研議,於3個月內報金管會:電支機構係以支付業務為核心,其資安防護與金融體系密切關聯,考量專營電支機構多為公開發行公司,爰專營電支機構經營規模達一定條件時,應設置資訊安全專責單位,並配置適當人力資源及設備。
金管會表示,為提升金融資安防護能量及保障使用者權益,將持續督導銀行公會配合資安現況適時修正相關資安自律規範,以供電支機構遵循。另在銀行公會研議完成資訊安全專責單位之設置條件前,考量部分電支機構使用者人數已具相當規模,爰金管會併請該等機構先行評估設置資訊安全專責單位、主管及人員,並給予緩衝期,以利其調整組織分工及內部規章。
一、依金融檢查相關缺失態樣及參考銀行業對資訊安全之管理規範等,檢討修正電支安控基準,於6個月內報金管會:新興科技之發展導致新的資安威脅及防禦保護技術興起,為強化專營電支機構資訊安全控管機制及緊急應變計畫,應就專營電支機構近年涉及資訊作業之相關金融檢查缺失態樣,檢討修正電支安控基準;同時,考量「電子支付機構管理條例」於110年7月1日修正施行後,增加電支機構所營業務,為提升電子支付系統之穩定與安全,應參考銀行業自律規範對資訊安全之管理要求,包括電腦系統資訊安全評估、物聯網設備管理、供應鏈風險管理、營運環境管理人員之要求、居家辦公或異地辦公之資安防護,及資訊系統轉換、上線、升級更新作業等面向,併予檢討。
二、依「公開發行公司建立內部控制制度處理準則」之規定,對電支機構設置資訊安全專責單位之一定條件進行研議,於3個月內報金管會:電支機構係以支付業務為核心,其資安防護與金融體系密切關聯,考量專營電支機構多為公開發行公司,爰專營電支機構經營規模達一定條件時,應設置資訊安全專責單位,並配置適當人力資源及設備。
金管會表示,為提升金融資安防護能量及保障使用者權益,將持續督導銀行公會配合資安現況適時修正相關資安自律規範,以供電支機構遵循。另在銀行公會研議完成資訊安全專責單位之設置條件前,考量部分電支機構使用者人數已具相當規模,爰金管會併請該等機構先行評估設置資訊安全專責單位、主管及人員,並給予緩衝期,以利其調整組織分工及內部規章。
聯絡單位:銀行局信託票券支付組
聯絡電話:(02)8968-9753
如有任何疑問,請來信:本會民意信箱