上市櫃公司應設置資安長(CISO)以及資安專責單位!
Openfind 提供金融產業最堅強的資安後盾 3R!
功能完整一站 Ready- 台灣法規稽核 Ready
- 在地服務經驗 Ready
聽聽金融產業在討論什麼?
金管會發布金融資安行動方案 2.0,鼓勵零信任網路部署
金管會於 2022 年 12 月 27 日發表「金融資安行動方案 2.0」,以擴大適用、落實與深化、鼓勵前瞻為持續精進方向,訂有 40 項措施,其中新增資安措施計 12 項,也包含了鼓勵零信任網路部署,強化連線驗證與授權管控,規劃金融機構逐步導入身分鑑別、設備鑑別及信任推斷等零信任網路 3 大核心機制。 因應疫情帶動異地/居家辦公模式,傳統基於信任邊界之網路模型已難以滿足新形態工作需求,藉由搭配網路及資源的細化權限管控,也更能因應後疫情時期及數位轉型之資安防護需求。
如何掌握 2023 關鍵字資安長,強化金融產業資安能力?
金管會於 2022 年修法要求符合條件的金融機構,都必須設置副總層級或職責相當的管理人兼任「資安長」,以統籌資安政策推動協調及資源調度,隨著金融資安行動方案 2.0 的提出,2022 底更正式擴大至跨業的資安長交流,未來定期舉辦的金融資安長聯繫會議,更希望可以將銀行、證券、保險的資安長,乃至於未來交易量大的電子支付業者,彼此串聯成一個完整金融生態圈的資安長聯盟,除了能分享資安經驗,更有助於優化資安制度,強化金融產業對重大資安事件的因應能力。
疫後轉型加速資安風險,金融機構,仍是駭客攻擊頭號目標。
2020 年以來席捲全球的疫情來得猝不及防,對各行各業都產生了翻天覆地的變化,隨著企業調整營運作業模式,更不斷出現利用疫情發動的攻擊,如偽冒客戶聯繫居家辦公同仁進行詐騙轉帳等,個人憑證或帳密之外洩事件也因此屢見不鮮。 而隨著對資通訊服務之依賴程度與日俱增,金融機構仍是攻擊者頭號目標,數位轉型也讓金融面臨更嚴峻的資安風險,如 App、雲端服務、開放銀行、Open API、eKYC 等新興金融數位應用,更由於駭客的積極參與更導致資安事件頻傳,也加速了金融生態圈的資安整合。
聽聽金融單位在擔心什麼?
某跨國銀行:金管會要求限期改善金檢缺失,控管加密信件大不易
- 郵件系統無法精準稽核郵件是否含有臺灣個資
- 要能偵測機敏檔案,再依金管會及公司政策設計稽核流程
Why Openfind 精準稽核在地個資,無痛整合企業系統
- 因應在地法規精確偵測機敏個資
- 設定稽核規則讓郵件自動加密
- 整合內部系統、符合組織架構
- 批次移轉上線降低使用者反彈
某金控人壽:擔心勒索軟體威脅,也想解決員工檔案傳送安全問題
- 全面禁止使用 USB 傳送檔案
- 分享資料需要做到檔案稽核管理
Why Openfind 檔案分享條件彈性,在地服務經驗豐富
- 可彈性設定檔案分享條件
- 國產廠商在地服務經驗豐富
- 資料傳遞操作直覺方便
- 被勒索檔案可即時還原降低損失
某投信公司:配合落實法規要求,也擔心機敏資料透過郵件外洩
- 因應個資法欲防止客戶與交易資料外洩
- 配合金管會審查等突發狀況,需快速查詢舉證
Why Openfind 因應法規稽核設定,備份郵件輕鬆還原
- 協助建立完整的內稽內控制度
- 因應主管機關規定,成功案例豐富
- 備份還原機制輕鬆搜尋歷史郵件
- 可驗證來源、攔截偽冒身份之信件
某本地產險:管理者負擔沉重,加上企業成本居高不下
- 使用授權無法購足、伺服器營運費用過高
- 管理者對於系統設定及日常維護不勝負荷
Why Openfind 導入維運成本降低,管理輕鬆效率提升
- 透過管理介面即可完成設定與維護
- 系統穩定好上手,硬體與維護成本低
- 無痛轉移省時高效率
- 防毒、防偽冒與 APT 多核心縱深防禦
專案經理實務解析:如何因應金融業困境?
協助金融產業解決什麼?
無縫整合且資安高規格的零信任架構
資安事件頻傳,金融機構仍是攻擊者頭號目標。金管會於 2022 年 12 月 27 日發表金融資安行動方案 2.0,鼓勵零信任網路部署,強化連線驗證與授權管控。
疫情改變企業運作模式,利用疫情發動的攻擊大幅提升;而數位轉型等新興金融數位應用也讓金融面臨更嚴峻的資安風險。
» Openfind 的零信任對應方案
-
1. 身分鑑別
- 鑑別聲明(session-key)驗證
可對應鑑別保證等級(AAL)等級 3 - FIDO 整合
以無密碼(FIDO2)雙因子驗證達成身分鑑別
- 鑑別聲明(session-key)驗證
-
2. 設備鑑別
- 信任裝置
完整記錄不同裝置登入狀況 - 裝置綁定
保護用者帳號安全性
- 信任裝置
-
3. 信任推斷
- 異常登入
IP 警示與行為分析 - 權限控管
MailMDR 收集與等級設定
- 異常登入
Openfind 的零信任內建「3A」:Authentication 認證、Authorization 授權、Accounting 記錄,資安功能最完備!
符合在地法規與金檢要求的稽核解決方案
金管會公布《公開發行公司建立內部控制制度處理準則》修正草案,要求上市櫃公司於 2022 年底以前應設置資安長(CISO),以及資安專責單位,有效地管控內部資安。
金檢法規百百種,符合金管會要求的方案有哪些?加上單位定期的內稽內控,一被要求改善就急如星火?
» Openfind 協助因應合規重點
-
1. 郵件不落地
- 控管檔案下載權限
- 外網線上預覽附檔
- 客製化浮水印防盜用
-
2. 機敏資料安全
- 機敏資料偵測加密
- 設定密碼通知
- 不可辨識之檔案稽核
-
3. 郵件歸檔備存
- 溝通軌跡完整保存
- 搜尋快速且彈性
- 權責分明安全調閱
Openfind 擁有豐富的金融業導入經驗+擁有在地化客製能力的台灣原廠+20年專精郵件溝通安全,提供最完整的金融解決方案。
技術認證與產品安全
Openfind 於 2009 年通過 ISO27001 資安認證至今,於產品開發時嚴格遵循 SSDLC(Secure Software Development Life Cycle)程序,並通過工業局的資訊安全檢測。同時,Openfind 也導入了許多國內知名資安廠商(Team T5、DEVCORE…)及美國、以色列廠商之資安產品與服務,強化內部之程式碼檢測並每日進行完整端點掃描,同時每年以 ISMS 持續精進、持續通過 SGS 外部稽核為目標。
ISO 27001
資訊安全管理系統驗證
ISO 27550
Privacy by Design 驗證
資訊安全服務機構
經濟部工業局認證
* 了解更多網擎資訊對於資訊安全領域的認證與作為,請參閱:產品與開發安全 »
