面對量子電腦對既有加密技術帶來的顛覆性威脅，以及網路攻擊型態日益複雜，金融監督管理委員會於 30 日發布「金融資安韌性發展藍圖」，首度將「後量子密碼學（PQC）」納入部署，並以四年為期、規劃 29 項具體措施，強化金融資安防護與營運韌性，確保關鍵金融服務不中斷。

金管會表示，本次藍圖係配合「國家資通安全戰略 2025」及「第七期國家資通安全發展方案」推動，並回應金融科技快速演進、資安威脅升高，以及國際監理趨勢逐步轉向「韌性導向」的發展方向。未來更強調金融機構在遭遇網路攻擊、系統中斷或不確定風險時，具備快速回應與復原能力。

金管會回顧，過去已於 2020 年推出「金融資安行動方案」、2022 年發布「金融資安行動方案 2.0」。因應近三年金融科技發展，進一步研訂「金融資安韌性發展藍圖」，作為下一階段的行動準據。

四大軸線、29 項措施 打造「可預測、可防禦、可復原」金融生態系

「金融資安韌性發展藍圖」以「目標治理、全域防護、生態聯防、堅實韌性」為四大架構軸線，訂定29項推動措施，聚焦十大重點方向：

一、強化資安治理與問責機制

提升董事會資安監督能量，強化資安長職責與權責，建立責任、權限與資源三位一體的治理架構。同時鼓勵法規調適，簡化重疊或滯礙規定，適度授權資安長採取相當控制措施，提升治理彈性與效率。

二、深化資安人才培育與交流

滾動修訂金融資安人才職能地圖，引導金融機構盤點人才缺口。定期舉辦跨機構主題式論壇、工作坊與案例研討，促進知識共享，並建立成熟度分級評估指標，推動監理由合規導向轉向目標導向。

三、落實「資安左移」，安全納入設計

鼓勵金融機構導入軟體安全開發流程，於開發早期即納入資安考量，產出軟體物料清單（SBOM），建立漏洞監控與版本更新機制，並研訂 API 安全基準，降低潛在風險與修復成本。

四、推動零信任架構

依「金融業導入零信任架構參考指引」，優先在高風險場域導入，並逐步提升成熟度，視執行成果評估將相關原則納入資安基礎規範，整體拉升防禦水準。

五、強化資安監控與防護有效性

持續擴充資安監控（SOC）及組態基準的適用範圍，涵蓋雲端環境，並鼓勵金融機構定期檢驗防禦部署的實際成效。

六、前瞻因應新興科技風險

金管會明確指出，量子電腦已證實將對現行「非對稱式加密技術」造成重大衝擊，恐影響金融交易、電子簽章與身分驗證等核心機制，未來將研訂金融業「後量子密碼學（PQC）遷移參考指引」，協助金融機構及早盤點系統、建立遷移計畫，並視技術成熟度逐步推動實作。

同時，針對 AI 系統資安風險日益複雜與隱蔽的特性，亦將研訂AI系統安全防護與檢測指引，涵蓋 AI 特有攻擊型態，強化前瞻防禦能力。

七、強化供應鏈資安管理

依產業特性、資料敏感度與系統接觸程度進行分級管理，研訂委外契約資安責任條款，並推動與供應商、系統整合商共同分享威脅資訊、聯合演練，降低整體供應鏈風險。

八、深化情資分析與協同防禦

強化金融資安資訊分享與分析中心（Financial Information Sharing and Analysis Center，F-IASC）自動化分析與分享機制，研議修訂獎勵辦法，並建立漏洞通報與回應管道，同時透過跨國交流提升國際合作與能見度。

九、擴大資安攻防演訓與事件應處能量

辦理攻防演練與重大資安事件情境演練，驗證金融機構、金控集團、周邊單位與聯防體系間的通報、協調與支援機制。

十、建構多層次備援機制

推進關鍵金融服務多層次備援架構，透過定期測試與演練，確保任一層故障時仍能切換運作，並同步要求金融機構評估關鍵供應鏈夥伴的備援與災難復原能力。

金管會表示，藍圖將以四年為期、分階段推動，每季檢討成果，並視資安發展趨勢與實務運作滾動調整內容。推動策略包括公私協力、差異化管理、資源共享、監理激勵誘因，以及深化國際合作，並將資安風險納入業務准駁、資本計提及相關費率之參考因素，引導金融機構主動投入資安防護。