今年9月金融业设置资安长成为法律明文规定，扩及38家本土银行之余，符合条件的保险与证期业也须遵循

为提升金融业资安政策统筹与资源协调能力，随着金融监督管理委员会（金管会）金融资安行动方案的逐步施行，如今，要求金融业设置资安长（CISO）一事，终于要成为法规明订条文，而且这不只是求各家银行，保险业、证券期货与投顾业也将受规范。

今年9月，金管会银行局、保险局、证券局都会完成相关法规修订作业，9月底前，金融三业的法规都将正式生效。不过，金管会也给予缓冲期，符合适用条件的业者，需在6个月内完成调整。

届时，也就是2022年3月底之前，国内38家本土银行皆需设立资安长，达到一定条件与规模保险公司、券商、期货商与投顾，也要设立资安长。据外界估计，共有约65家金融业都要设置。

显然，对于资安长的设立，今年修法适用的金融业者更多，相较之下，去年金管会预计有31家金融业者适用这样的法规。

保险局新修法已在9月1日发布施行，资产1兆元以上的保险公司需设资安长

对于强制金融机关设立资安长一事，金管会去年8月公布金融资安行动方案之时，已经计划要推动。

在今年5月27日，金管会银行局、保险局、证券局同时发布修法预告，当中就包含针对指派副总经理以上或职责相当之人兼任资讯安全长一事的修订，预告期为60天。

现在，今年9月底前，相关法规都将修订完成，并陆续发布施行。特别的是，关于相关单位的修法进度如何？经我们洽询各局之后，目前看来，保险局作业进度最快，他们已修法完成并正式发布施行。

保险局表示，他们在9月1日已正式发布修正“保险业内部控制及稽核制度实施办法”，其中第六条之一就有相关规定，指出保险业应设置资讯安全专责单位及主管，而一兆元资产的保险业者，指派副总经理以上或职责相当之人兼任资讯安全长，同时也要设置资安专责单位，并指派协理以上或职责相当之人担任主管。

至于证期局与银行局，这两个单位也回复我们，他们表示，这次修法已经完成预告程序，将于近期发布后施行，正式发布时间将在这几日内或9月底前。此外，他们在9月7日也再次公布相关修订内容，说明修法即将施行。

为提升保险业对资安议题之执行能力，金管会修订“保险业内部控制及稽核制度实施办法”第6条之1。金管会保险局表示，本次修正自5月27日预告后，已于9月1日正式生效，修正重点在于，增订保险业前一年度经会计师查核签证之资产总额达新台币一兆元以上者，应指派副总经理以上或职责相当之人兼任资讯安全长，综理资讯安全政策推动及资源调度事务。

金管会要求所有本土38家银行都要设置资安长

根据银行局9月7日发布的资讯，关于“金融控股公司及银行业内部控制及稽核制度实施办法”的修正，是在第三十八条之一与第四十六条。当中指出，增订银行业应指派副总经理以上或职责相当之人兼任资讯安全长。换言之，国内38家本土银行都将设立资安长。

对于资安长设置的推动历程，我们也联系上金管会而有了了解。他们表示，以早期要求而言，只要协理层级以上担任资安主管，也并非所有银行都受规范。自2020年8月金融资安行动方案开始后，目标则是推动设置副总层级资安长，并且是针对所有金融机构。

显然，金管会的主要目的，不仅是强化主管机关资安监理，更希望这些金融业在资安的发展上，不要像过去难以获得组织高层支持，有了副总经理位阶的资安长带领，将更能够由上而下调动各种资源，支持组织发展资安，同时是要让台湾整体具规模的金融业都这么做。

为进一步推动“金融资安行动方案”，金管会指出，将修正“金融控股公司及银行业内部控制及稽核制度实施办法”，增订银行业应指派副总经理以上或职责相当之人兼任资讯安全长，以统筹资安政策推动协调及资源调度，提升其对资安议题的执行能力。金管会银行局表示，自5月27日预告修正草案后，9月7日说明已完成预告程序，预计9月底前就会正式发布施行。

证期业规模差距大，适用业者的条件画分相对较细

证期局也在9月7日发布讯息，他们指出，关于“证券暨期货市场各服务事业建立内部控制制度处理准则”的相关修正，是在第36条之2条文，指出各服务事业符合一定条件者，应指派副总经理以上或职责相当之人兼任资讯安全长。

值得注意的是，由于证期业各服务事业规模大小，比起银行与保险业的差异要大，因此这里的适用业者与条件画分较细。简单来说，包含：实收资本额100亿元以上的证券商，实收资本额20亿元以上的期货商，此外，还包括电子下单达一定比率，或是经纪业务成交量达全市场2％或自然人客户比重过半的条件；至于投信、投顾的适用条件较单纯，只要前一年度月平均境内外管理资产规模达6千亿元以上者。据了解，符合条件者的证期业者约有19家。

为提升服务事业对资讯安全议题的决策功能，金管会新修正“证券暨期货市场各服务事业建立内部控制制度处理准则”第36条之2，对于各服务事业应指派副总经理以上或职责相当之人兼任资讯安全长一事，并在适用对象上，分别对券商、期货商与投顾业制定出不同要求。金管会证期会表示，自5月27日预告修正草案后，在9月7日说明已完成法规预告，预计最近几天就会发布并施行。

金管会已给予金融业多年时间，从鼓励变为强制

对于企业组织设置资安长的趋势，在不少国家都已出现，少数台湾公司也已经这么做。随着资安已成企业基础架构之一，全球许多国家的金融监理单位，都积极健全金融产业发展，并设法强化其资安，我国也不例外。

事实上，在这次修法之前，金管会为了让金融机关适应这样的趋势，这几年来，持续与国内金融业者沟通，同时也循序渐进，提高国内业者对于资安专责主管的要求。

例如，在2017年2月，金管会邀请本国银行讨论相关议题，当时达成的共识在于，本国银行可依规模、业务复杂度与营运风险，于半年内设置资安专责单位及相当层级的专责主管。后续金管会也针对兆元以上银行修法明订，需设协理以上层级担任资安专责单位主管。

到了2020年8月6日，金管会新推金融资安行动方案，当中提及资安长设置等议题，对资安专责主管有了更进一步的要求。这项计划将推动一定规模金融机构或纯网银，设置副总经理层级的资安长，另外也希望董事会的运作中，能聘请资安背景的董事、顾问，或是设置资安咨询小组。

至于各金融业者的态度如何？在今年5月初举行的台湾资安大会金融安全论坛上，当时的金管会资讯服务处处长蔡福隆表示，在2021第一季，已有12家金融机构相当主动，已经是由副总经理兼任资安长。随着今年9月法规修订完成施行后，预估将有65家左右金融业者都需要完成资安长设置。