銀行系統出包 金管會要求2小時補漏
金管會要求各銀行資訊系統出包時,要訂定衝擊容忍度的自律規範。圖/聯合報系資料照片
因應數位金融時代,金管會首度要求銀行公會,針對銀行資訊系統出包時的衝擊容忍度訂定自律規範,尤其是跟客戶密切相關的存款、匯款及ATM(自動櫃員機)等核心系統,容忍度希望訂在二小時內,純網銀的要求可能更高,新規定預計明年上路。
這項自律規範可能促使銀行投入更多經費強化資訊系統,避免發生中斷,或萬一出包時備援系統也能及時接替,以免超過容忍度時間。
根據資通安全管理法規定,國家重要基礎設施必須依規定訂定資安維護計畫,包括台銀、土銀及輸銀等,還有像財金公司、證交所等單位,都屬於國家重要基礎設施,必須適用資通安全管理法規定。官員表示,目前資通安全管理法適用的銀行,只有三家國營銀行,其餘銀行不適用,但未來金管會將透過銀行公會自律規範方式,要求所有銀行都必須訂定衝擊容忍度。
國內這幾年來,銀行系統出狀況事件頻傳,上周花旗銀行因系統出包導致客戶帳戶歸零,被金管會開罰;去年財金公司因系統異常造成全台ATM大當機,郵局等多家金融機構去年也相繼發生ATM或網路銀行當機情況。
知情官員表示,為強化銀行資訊系統的作業風險抵禦能力,金管會已要求銀行公會研議衝擊容忍度相關自律規範,並要求銀行應建置備援系統及制定恢復計畫,在二小時內恢復中斷的服務。
官員表示,除駭客入侵,銀行內部系統更新也可能會造成系統中斷,衝擊容忍度就是「在多久時間內恢復正常運作,是可以容忍的」。
金管會要求公會研擬規範,主要有兩重點,包括第一,將銀行資訊系統區分「核心」及「非核心」系統,分別訂定衝擊容忍度。銀行資訊系統很多,有些中斷了,客戶也不知道,但有些一中斷就會立刻引來客訴。公會須明訂核心及非核心業務的範圍,例如ATM、存款、匯款、網銀等跟客戶密切相關的業務,屬核心業務等。
第二,「核心」業務部分的容忍度,應比「非核心」業務嚴格。據了解,金管會雖未明確給公會容忍度時間指示,但內部目前是希望訂在二小時內。
至於純網銀的要求將更嚴格,因傳統銀行若網路斷了,客戶還可以臨櫃,但純網銀沒有實體分行,系統的維護更加重要,對消費者來說,容忍時間應更短。
