国泰金控资安长陈明环表示,他们去年根据金管会发布的零信任架构参考指引厘清现况,并盘点出集团各子公司的共通性强化项目。
在今年资安大会上,国泰金控表示,针对导入零信任架构,他们已制定了三年强化计划,目标在三年内让重要风险场景达到进阶等级。针对AI和云端技术,国泰金控也制订了相对应的资安治理措施。
国泰金控资安长陈明环表示,从去年开始,他们根据金管会发布的零信任架构参考指引厘清现况,并找来顾问公司盘点出集团各子公司的共通性强化项目。依据去年的评估结果,国泰金控各子公司将会依据业务需求和资源配置,进行三年的强化计划,目标是让主要风险场景能升级到指引中定义的进阶等级。
针对AI资安治理,陈明环表示,他们较注重资料防护议题,包括如何和厂商拟定合约,确保厂商不能保留资料,另外,针对存放在云端环境中的资料,也需要进一步做遮蔽和加密,同时避免将公司私钥存放在云端环境。
其它国泰在AI议题中关注的资安焦点,还有模型与系统安全、存取权限管理、治理架构与政策制订、透明性与可解释性,合规与标准对齐等等。
国泰金控的负责任AI治理架构包含六大面向,分别是策略、法制、流程、组织、技术,和应用。其中,流程面包含风险评估框架和AI审核流程,组织面则包括资料AI治理委员会和科技委员会。
近年来,国泰金控积极发展上云计划,而针对云端资安防护,国泰金控强调搭建安全的资安架构,包括加强资料加密、IAM权限控管、机敏资料保护,和端到端的安全防护等等。另外,针对云端技术架构,国泰也会从资安面考量整体基础设施和维运开发框架。
除了云端技术和AI,因应委外厂商、软硬体供应商被作为跳板攻击的案例逐渐增多,供应链管理也成为国泰注重的资安议题。