金融業 IT 基礎設施：合規要求與架構建議

前言：金融業 IT 不只是技術，更是合規

金融業是台灣 IT 監管最嚴格的產業之一。金管會、銀行局、保險局與證期局對金融機構的資訊系統有明確的規範要求，涵蓋機房建置、資訊安全管理、資料保護與業務持續等面向。不符合規範不僅面臨主管機關處分，更可能影響業務許可。

一、金管會核心規範

金融機構資訊安全管理辦法

這是金融業 IT 合規的基礎法規，關鍵要求包括：

• 設立資訊安全長（CISO）與獨立的資安部門
• 建立資訊安全管理制度（ISMS），建議取得 ISO 27001 認證
• 每年至少一次外部資安檢測（弱點掃描 + 滲透測試）
• 核心系統變更需經正式變更管理流程

資訊系統委外管理規範

二、機房建置要求

雙活或主備機房

金融機構核心系統須具備異地備援能力：

• 主機房與備援機房距離建議 30 公里以上
• 核心系統 RTO ≤ 4 小時、RPO ≤ 1 小時（依業務重要性分級）
• 每年至少一次異地切換演練

機房安全等級

• 門禁管控：雙因素認證（卡片 + 生物辨識）
• CCTV 監控：所有出入口與機房內部，錄影保存至少 3 個月
• 環境監控：溫度、濕度、漏水偵測、煙霧偵測
• 消防系統：潔淨氣體滅火（FM200 或 Novec 1230）
• 電力：N+1 冗餘 UPS + 自備發電機

三、資安管理要求

網路安全

• 內外網路嚴格分離，DMZ 隔離對外服務
• 部署次世代防火牆（NGFW）+ IPS
• VPN 遠端存取強制 MFA
• 全面啟用 HTTPS，內部服務也建議加密

帳號與存取管理

• 特權帳號管理（PAM）：Admin 帳號集中管控、操作錄影
• 最小權限原則：按職務角色分配權限
• 帳號生命週期管理：離職即時停用、定期審查
• 密碼政策：最少 12 字元、強制複雜度、90 天更換

日誌與稽核

• 所有系統日誌集中保存至 SIEM
• 日誌保存期限：至少 5 年（依金管會要求）
• 日誌不可被竄改（WORM 儲存或雜湊驗證）
• 異常行為即時告警

四、資料保護

個人資料保護法

金融業處理大量客戶個資，除遵守一般個資法外，還需符合金管會加嚴規範：

• 客戶資料加密存放（靜態加密 AES-256）
• 傳輸加密（TLS 1.2 以上）
• 資料遮蔽（Masking）：非必要人員不可看到完整個資
• 資料存取紀錄：何人、何時、存取了哪些個資

跨境傳輸限制

客戶資料原則上不可傳至境外。若有需求，須經主管機關核准並確保目的地的資料保護水準等同於台灣。

五、ISO 27001 與定期稽核

• 建議取得 ISO 27001 認證，作為資安管理制度的基準
• 每年內部稽核至少一次
• 每年外部稽核（認證機構）一次
• 金檢（金管會或委託單位檢查）不定期進行
• 發現缺失須在限期內完成改善並提交報告