【資訊安全】金融機構辦理電腦系統資訊安全評估辦法（Part 5）

前言：本文接續上一篇（文章連結）的內容，繼續介紹《金融機構辦理電腦系統資訊安全評估辦法》（以下簡稱「評估辦法」）

第六條 社交工程演練
每年應至少一次針對使用電腦系統人員…

以下概述「社交工程演練」的評估方式及重點：
1. 多數銀行會委託廠商定期寄送社交工程郵件，並統計郵件的閱讀率、連結點擊率和附件下載率（若有），評估人員應確認銀行針對有上述行為的員工辦理教育訓練。

第七條 評估單位資格與責任
一、評估單位可委由外部專業機構或由金融機構內部單位進行…
二、辦理第一類電腦系統資訊安全評估作業之評估單位應具備下列各款資
格條件…
三、相關檢視文件…
四、評估單位及人員不得隱瞞缺失…
五、本國銀行海外分支機構…

以下概述「評估單位資格與責任」的重點：
1. 雖然法規說銀行可以自行辦理評估，但實務上多數銀行都是委託外部單位。

2. 此項列舉評估人員應具備的證照及經歷，如果是辦理第一類系統的評估，評估單位應該符合各款要求（單位成員裡應至少一人具備相關資格）；但如果是第二、三類電腦系統，那麼就視評估項目而定（例如：如果沒有承接滲透測試服務，原則上評估單位可以不必擁有CEH）。

3. 這一項是指評估單位應該履行保密義務。銀行通常在專案初期，都會要求成員簽署保密切結書。評估人員在使用、分享、傳送資料前，請務必小心，以免資料外洩（有些經辦甚至只願意提供紙本資料）。

4. 一般來說，評估人員會比較積極提出缺失項目，缺失的數量可以說是某種「業績」，缺失也間接展現評估團隊的努力和專業；相反地，資訊/資安單位可能擔心來自主管機關、稽核單位的「照顧」，所以相對保守一些。總地來說，評估人員比較沒有隱瞞缺失的動機。

5. 銀行的海外分支機構原則上也在資安評估的範圍內，不過有一個但書：如果分支機構當地沒有資安相關評估。實務上，多數的國家都有資安相關規範（例如：香港的《TM-E-1》、澳門的《電子銀行風險管理指引》、越南的《Circular No 35/2016/TT-NHNN》…）；再者，多數銀行的分支機構，其資訊環境相對單純，而且重要系統（例如：網路銀行）通常建置於總行，所以其實不會造成評估人員的窒礙難行。

第八條
評估報告
一、「電腦系統資訊安全評估報告」（以下簡稱評估報告）內容…
二、應依據評估報告內容缺失程度區分風險等級…
三、評估報告缺失覆查應提報董（理）事會或經其授權之經理部門…
四、評估報告應併同缺失改善…

以下概述「評估報告」的重點：
1. 這裡提到評估報告的構成要素，其實就是要求在報告中闡明第三條至第七條的內容。

2. 除了弱點掃描、原始碼掃描等自動化工具會自行分級風險，一般來說，風險等級是由評估單位依據專業及經歷主觀判斷的。如果是重大風險缺失，通常銀行會在報告出具之前就完成改善。

3. 由於評估報告（缺失）要呈報董事會，一般來說，受評機構對於提出的缺失項目會特別敏感。

4. 相關文件保留五年，請留意是紙本文件（正式報告基本上以紙本為主）。

第九條
本辦法應經中華民國銀行商業同業公會全國聯合會理事會議核議通過，並
報奉主管機關核備後公告實施，修正時亦同。

法規的最後一條通常是說明立法過程，呼應第一條的立法依據。

以上就是《金融機構辦理電腦系統資訊安全評估辦法》的介紹，歡迎讀者留下寶貴的意見。如果文章中有什麼錯誤，或者解釋不清之處，也請留言讓我知道，謝謝！