發全套SOP指引 提示兩措施防破口

財政部近日向旗下八大公股金控、銀行發函關於資安警戒專案的事 前、事中、事後「三部曲」處理參考指引。知情人士透露，財部向各 大行庫提示兩大緊急應變措施，一是進行大陸廠牌通訊系統軟體盤點 ，尤其是在看板上如果有使用到的，將先在非常時期暫時停用；二是 非上班時間，例如晚上10點至隔日7點，禁止異動資料，以避免駭客 混水摸魚，趁異動資料時找到更多破口。　　至於其他的重點，相關人士指出，還包括租用公有雲服務者必須開 啟資安防護機制，且要在異地存放備份資料。　　為避免引發民眾誤會和恐慌，公股金融機構對外服務網站若規畫部 分時段停止服務，不但要先公告，且原網址要導向公告頁面，避免因 無法連線而導致誤解；同時要求倘若資安事件並非駭客入侵，須在兩 小時內對外澄清。　　據了解，政院2019年曾因應資安防駭問題進行大規模演習，甚至還 由國外、國內機構組隊來「紅藍大對抗」。當時由金管會資訊服務處 負責在國內組隊，包括台銀、土銀、合庫、一銀、華銀、兆豐銀、台 企銀、中華郵政，以及民營的中信、玉山、富邦、上海商銀都是「藍 隊」成員，紅隊成員除了來自捷克、馬來西亞的防駭專家，還有國防 部、警政署加上國安局的「國安團隊」。　　近日台海情勢緊張，政院目前尚未發動類似三年前模式的防駭演習 ，但相關的防駭規格並不亞於三年前，除每三小時回報資安系統盤查 狀況，更提出全套SOP資安警戒指引。