（中央社記者謝方?台北2024年7月18日電）進入網路
世代，資安為重，金管會出手訂定「金融業導入零信
任架構參考指引」，建議金融機構選擇遠距辦公等高
風險場域先行導入零信任架構。金管會表示，指引屬
行政指導，不具強制力，待時機成熟，將請金融業公
會評估納入自律規範。

所謂零信任架構，主要精神即「永不信任、持續驗
證」，透過持續及多種類驗證手段，持續強化對系統
或資料存取控制的安全性，以確保資訊安全。

金管會2022年12月發布「金融資安行動方案2.0」，
將「鼓勵零信任網路部署，強化連線驗證與授權管
控」納為精進重點，金管會經過研議後，如今正式訂
定「金融業導入零信任架構參考指引」，鼓勵金融業
以零信任思維深化資安防護。

金管會資訊服務處長林裕泰今天說明，現行金融機
構在資安防護均已有一定量能，如雙因子身分驗證、
設備健康檢查及網段隔離等，為鼓勵金融機構在既有
基礎上，以零信任思維續深化資安防護，金管會因此
訂定指引供金融機構參考運用。

金管會建議金融機構採風險為導向，選擇高風險場
域為優先導入零信任架構標的，並例舉6大高風險場
域，首先是遠距辦公，因使用者及設備均位於傳統資
安防護邊境外；其次是雲端存取，因雲端資源同樣位
於傳統資安防護邊境外；第3是系統維運管理，包含
重要主機設備及系統軟體（作業系統、資料庫等）特
權帳號管理等。

第4是應用系統管理，即重要應用系統管理者（如
帳號管理員）或高權限使用者帳號（如可接觸大量個
資或機敏資料使用者）；第5為服務供應商，如委外
廠商的遠端維運管理；最後是跨機構協作，如重要應
用系統的外部使用者等。

林裕泰指出，6項例舉特質包括非屬傳統資安防護
邊界範圍內、具特權或高權限者，或因應供應鏈攻擊
趨勢，建議金融機構對委外廠商或跨機構協作存取進
行管理等，但所謂高風險場域不以6項例舉為限，金
融業可依風險基礎方法評估，擇定導入零信任架構的
優先順序及範圍。

在零信任架構導入策略上，金管會區分4階段分級
指標，第1至第4級依序為靜態指標、融入動態指標、
即時指標及最佳化整合指標，建議金融機構盤點高風
險場域完整存取路徑，即身分、設備、網路、應用程
式及資料，由外而內縮小攻擊表面並增進防禦縱深、
由內而外擴大防護表面。

林裕泰表示，參考指引屬行政指導性質，金融業在
導入零信任架構時，可考量既有資訊與資安環境、資
安防護水準、資源及人力、業務風險、相關解決方案
成熟度等因素進行調適，或另外進行適切規劃，不以
金管會參考指引為限。

他也提到，未來金管會將透過持續調查了解金融業
普遍實施情況，若金融機構執行指引訂定的資安防護
原則上無窒礙，將請各金融業公會評估將參考指引納
入自律規範。