近期,在幾場研討會上,普遍聽到一個聲音:「電子簽章法已經公佈實施,怎麼還沒有人用?可以怎麼去推廣?」不但是主管機關關心,電子簽章平台、憑證業者及學界專家也有疑惑?
分享金融業的情形。除了在數位發展部制定的「電子簽章法」以及近期剛啟動討論的「電子簽章法施行細則」修正草案之外,各產業的專責主管機關,也會再依此法制定該產業需要遵循的相關行政規定,尤以高度監理的金融業及醫療業為重。以銀行業為例,金管會即責成銀行公會制定「金融機構使用電子簽名機制安全控管作業規範」(以下稱「作業規範」),並於113年1月29日函報金管會核備後實施,早於「電子簽章法」於立法院4月30日三讀通過,觀察此「作業規範」所突顯的監理精神大於發展精神。
銀行需要符合「作業規範」的各項要求,方能提供客戶使用電子簽章在線上簽署電子文件,個人觀察主要在以下五項,仍需要進一步突破:
一、「作業規範」第一條,「…;本規範未規定者,依「金融機構辦理電子銀行業務安全控管作業基準」(以下稱「安控基準」)之規定。」
當初也許是希望採取同一套安全控管要求,便於銀行業者遵循的美意,然而此舉卻將電子簽章侷限在以電子銀行業務為主,實際上,電子簽章可以應用在非電子銀行業務,銀行業務非常多元化,並非都能透過電子銀行業務完成,例如:國際金融授信及保證。
二、「作業規範」第二條,「…八、申請指示類業務:(一)安控基準電子轉帳及交易指示類之申請指示所列示之服務項目。…」
「安控基準」主要偏重於「身分確認」以及業務辦理的技術與風險適配性,而「作業規範」主要在表彰用戶透過電子簽章進行「意思表示」的安全控管作業,故這兩項辦法連結在一起的必要性,值得商榷。
三、「作業規範」第二條,「…十、評估單位:指同時符合下列條件之外部專業機構或銀行內部之個人或團隊。(一)資訊安全管理知識(如CISM、ISO27001LA等)。(二)資訊安全技術能力(如CISSP)。(三)模擬駭客攻擊能力(如CEH、CIH等)。(四)熟悉金融領域載具應用、系統開發或稽核經驗。(如CISA)。」
這應是參照「金融機構辦理電腦系統資訊安全評估辦法」(以下稱「安全評估辦法」)第七條評估單位資格與責任(註1),但「作業規範」卻更為嚴格。建議可以直接指向應遵循上述「安全評估辦法」即可,以利金融業者在既有的資訊安全評估架構中,再增加電子簽章即可,減少法規的疊床架屋,也降低業者期初建置的重複投入成本。
四、「作業規範」第八條,「銀行應盤點與資訊安全相關規定,並將相關要求與內控制度結合,定期進行法令遵循自評,以確保資訊安全之法令遵循性。…」
這應是參照「金融機構辦理電腦系統資訊安全評估辦法」第五條一、資訊安全評估作業項目(七)合規檢視以及第八條評估報告(註2),但「作業規範」規範更多作業要求,報告保存年限也與「安全評估辦法」不同。其實,可以直接指向應遵循上述「安全評估辦法」即可,現行金融業者在既有的安全評估架構中,原本就會依照新發佈的法令法規,進行增補評估,然,為依循「作業規範」又需要為電子簽章另立一套內部遵循機制。當新的法令頒布實施後,為理解外部法規,進而內化到組織管理及增/刪/修定內部規範,都需要花費時間心力溝通,以利內部利害關係人具備共識後,方能順利取得進展,所以新建立一套法令規章不可不慎,需要思量再三。
五、「作業規範」第三條,「…銀行應針對業務及客戶進行風險評估,訂定申請資格與管控機制,並提報董(理)事會或經其授權之經理部門核定,…」
這應是參照「金融機構資通安全防護基準」、「金融機構辦理電腦系統資訊安全評估辦法」分別將資訊安全政策、資訊安全評估計畫提報董事會核定,但觀察「金融機構運用新興科技作業規範」、「電子銀行業務安控基準規範」皆無此規定,依照分層負責的管理精神,電子簽章的管控機制是否須提交到董事會層級,這值得重新思考。如要符合此條規範,建議銀行制定一個上位的政策框架,載明風險評估至少需涵蓋的構面及(業務性質/客戶類型)大類項目,比照新產品新業務申請方式,逐案評估。因為導入電子簽章,往往帶來的是流程重組,需要整段新流程及配套措施一起綜合評估,以確保具備相關風險緩釋措施。
銀行業導入電子簽章,也須考量到目前需要遵循的數位金融法規,包含但不限於「金融機構運用新興科技作業規範」、「金融機構作業委託他人處理內部作業制度與程序辦法」、「金融機構資訊作業韌性規範」、「金融機構辦理電腦系統資訊安全評估辦法」、「金融機構資訊系統安全基準」、「金融機構資通系統與服務供應鏈風險管理規範」、「金融機構資通安全防護基準」、「銀行公會會員銀行與第三方服務提供者合作之自律規範」、「金融機構辦理快速身分識別機制安全控管作業指引」、「金融服務業辦理數位身分驗證指引」等。其實,在目前銀行資訊安全架構之下,再增加對於電子簽章的安全控管,使用範圍不限於在電子銀行業務,會是對於銀行業者較為容易進入及採行方式。
從7月金管會主委的媒體聯訪新聞,主委提出一項變革是「行動創新方案」,將設常態性「法規調適平台」,打破目前由各公會提建言做法規調整的舊例,改由學者專家當召集人,從外部人主動發現問題,金管會仔細評估,產業快速回應。個人高度期盼,能將上述待突破之處適度調整,給予個別業者訂定內部規範之彈性,以滿足多元客戶需求及國際化金融服務趨勢,使各業者能依據其自身業務發展情形妥適因應相關風險,電子簽章的應用蓬勃發展,將指日可待。
備註
一、評估單位可委由外部專業機構或由金融機構內部單位進行。如為外部專業機構,應與提供、維護資安評估標的之機構無利害關係,若為金融機構內部單位,應獨立於電腦系統開發與維護等相關部門。
二、辦理第一類電腦系統資訊安全評估作業之評估單位應具備下列各款資格條件;辦理第二類及第三類電腦系統資訊安全評估作業者,依評估作業項目需要,具備下列相關資格條件之ㄧ:
(一)具備資訊安全管理知識,如持有國際資訊安全經理人(Certified Information Security Manager,CISM)證書或通過國際資安管理系統主導稽核員(Information Security Management System Lead Auditor,ISO 27001 LA)考試合格等。
(二)具備資訊安全技術能力,如國際資訊安全系統專家(Certified Information Systems Security Professional,CISSP)證書等。
(三)具備模擬駭客攻擊能力,如滲透專家(Certified Ethical Hacking,CEH)證書或事件處理專家(Certified Incident Handler,CIH)證書等。
(四)熟悉金融領域載具應用、系統開發或稽核經驗。
三、相關檢視文件、檢測紀錄檔、組態參數、程式原始碼、側錄封包資料等與本案相關之全部資料,評估單位應簽立保密切結書並提供適當保護措施,以防止資料外洩。
四、評估單位及人員不得隱瞞缺失、不實陳述、洩露資料及不當利用等情事。
五、本國銀行海外分支機構之資訊安全評估作業應依據當地國家或地區相關規定辦理,若當地無相關規定,仍應遵循本辦法規定。
第五條 資訊安全評估作業
一、資訊安全評估作業項目
(七)合規檢視
1.檢視電腦系統是否符合本會制定之「金融機構資訊系統安全基準」有關提升系統可靠性<技 1~技 25>及安全性侵害之對策<技 26~技 51>之規範。
2.檢視電腦系統是否符合本會制定之「金融機構辦理電子銀行業務安全控管作業基準」、「金融機構提供行動裝置應用程式作業規範」、「金融機構提供自動櫃員機系統安全作業規範」、「金融機構運用新興科技作業規範」、「金融機構使用物聯網設備安全控管規範」、主管機關及本會相關函文之要求。
3.檢視電腦系統之SWIFT系統是否符合SWIFT公布之Customer Security Programme規範及本會相關函文之要求,若與本辦法資訊安全評估作業衝突,依SWIFT公布為主。
第八條 評估報告
一、「電腦系統資訊安全評估報告」(以下簡稱評估報告)內容應至少包含評估人員資格、評估範圍、評估作業項目與標的、評估紀錄、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果。
二、應依據評估報告內容缺失程度區分風險等級,並擬定各風險對應之控管措施及處理時限,送稽核單位進行缺失改善事項之追蹤覆查。
三、評估報告缺失覆查應提報董(理)事會或經其授權之經理部門,但外國銀行在臺分行,得由總行授權之人員為之,以落實由高階管理階層督導缺失改善。
四、評估報告應併同缺失改善等相關文件至少保存五年。
一、金融機構應就整體電腦系統(含自建與委外維運)依據本辦法建構一套評估計畫,基於持續營運及保障客戶權益,依資訊資產之重要性及影響程度進行分類,定期或分階段辦理資訊安全評估作業,並提交「電腦系統資訊安全評估報告」,辦理矯正預防措施,並定期追蹤檢討。
二、評估計畫應提報董(理)事會或經其授權之經理部門核定,但外國銀行在臺分行,得由總行授權之人員為之。評估計畫至少每三年重新審視一次。