探討金融業面臨的資安風險及因應對策-以臺灣為例

周聖倫; Sheng-Lun Chou

請用此 Handle URI 來引用此文件： http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/101397

完整後設資料紀錄

DC 欄位	值	語言
dc.contributor.advisor	鄧志松	zh_TW
dc.contributor.advisor	Chih-Sung Teng	en
dc.contributor.author	周聖倫	zh_TW
dc.contributor.author	Sheng-Lun Chou	en
dc.date.accessioned	2026-01-27T16:31:25Z	-
dc.date.available	2026-01-28	-
dc.date.copyright	2026-01-27	-
dc.date.issued	2026	-
dc.date.submitted	2026-01-19	-
dc.identifier.citation	臺灣電腦網路危機處理暨協調中心（2015年8月5日）。〈我國<刑法>對於駭客行為之相關條例〉。https://www.twcert.org.tw/newepaper/cp-65-199-f69ad-3.html。全國法規資料庫（2025年11月11日）。〈個人資料保護法〉。https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021。全國法規資料庫（2025年8月1日）。〈中華民國刑法〉。https://law.moj.gov.tw/LawClass/LawSingle.aspx?pcode=C0000001&flno=320。全國法規資料庫（2025年9月24日）。〈資通安全管理法〉。https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030297。吳錦松、彭紹綸、黃筱珊（2019）。〈物聯網之安全規範與隱私權探討〉，《NCS 2019 全國計算機會議》2019：76-80。李娟萍（2016年7月21日）。〈個股：第一金(2892)旗下一銀ATM遭駭客盜領案，失款多被尋回〉。https://tw.stock.yahoo.com/news/%E5%80%8B%E8%82%A1-%E7%AC%AC-%E9%87%91-2892-%E6%97%97%E4%B8%8B-024042587.html。辛婉甄（2007）。《風險限制與成本考量下之資安控制措施決策方法》〔未出版之碩士論文〕。淡江大學資訊管理學系。周峻佑（2024年9月16日）。【資安日報】9月16日，數發部公布親俄駭客發動大規模DDoS攻擊的影響範圍〉。https://www.ithome.com.tw/news/165045。林妍溱（2022年1月24日）。〈印尼央行12月遭疑似勒索軟體Conti攻擊，近200GB內部資料被竊〉。https://www.ithome.com.tw/news/149030。林宜隆（2017）。〈應用犯罪偵查知識工程化於刑案數位偵查實務之探討－以第一銀行ATM跨國盜領案為例〉，《海峽兩岸檔案暨微縮學術交流會論文集》2017：43-52。林宜隆、楊慧茹（2019）。〈銀行業重大裁罰案件思考建置數位證據鑑識標準〉，《電腦稽核》40：60-83。邱安安、黃劭彥、劉福運、鄭嫆琄（2023）。〈金融創新服務之風險管理分析〉，《科技管理學刊》28(3)：1-35。金融監督管理委員會（2018）。〈提升金融機構資訊安全防護〉，《亞洲金融季報》2018春季號：43-49。金融監督管理委員會（2023年11月28日）。〈金管會對上海商業儲蓄銀行客戶資料外洩所涉缺失之行政處分〉。https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0,2&mcustomize=news_view.jsp&dataserno=202311280004&dtable=News。施秉鈞（2021）。〈金融科技衝擊下商業銀行經營轉型發展－以臺灣個案銀行為例〉，《創新研發學刊》16(2)：23-39。洪國興、季延平、趙榮耀（2006），〈影響資訊安全關鍵因素之研究〉，《資訊管理研究》6：1-29。洪新原、張碩毅、郭吉原（2011）。〈影響組織採行與應用資訊安全管理系統認證之關鍵因素〉，《電腦稽核》23：99-112。洪睿荃（2023）。《資訊安全維護計畫下科技合規實務之研究》〔未出版之碩士論文〕。東吳大學法律學系。英國標準協會（2025）。淺談 NIST 網路安全框架及驗證方案。https://www.bsigroup.com/localfiles/zh-tw/e-news/no177/nist-cybersecurity-framework-peter-wu.pdf。張家豪（2017）。〈網駭客在臺碰壁－第一銀行遭詐領案〉，《清流雙月刊》11：64-67。粘良祁（2022）。〈醫院之資安防護新思維〉，《清流雙月刊》40：61-64。莫昆儒（2018）。《以 ISO27001 與資訊安全服務委外進行 AHP模型評估-以銀行業為例》〔未出版之碩士論文〕。天主教輔仁大學資訊管理學系。許建隆（2017）。〈共構金融資安聯防中心　打造高CP值防護網〉，《清流雙月刊》10：64-67。許瑋麟、郭仁宗、何玉菁（2014），〈臺灣企業實施資訊安全管理系統關鍵成功因素調查〉，《慈濟技術學院學報》22：95-107。陳佑寰（2020）。〈網路銀行崛起－應重視個資保護與資安維護〉，《會計研究月刊》412：84-89。陳俊成（2018）。〈金融科技犯罪與防制—結合資訊安全觀點〉，《南臺財經法學》4：161-214。陳曉莉（2019年7月30日）。〈美國銀行Capital One遭駭，逾1億名北美客戶資料外洩〉。https://www.ithome.com.tw/news/132117 彭羚菘（2023）。《從多屬性決策系統分析金融機構資安治理之研究》〔未出版之碩士論文〕。開南大學資訊學院碩士在職專班。黃泓瑜（2016年12月3日）。〈【因應一銀ATM盜領事件】銀行公會祭出8大ATM安全防護措施〉。https://www.ithome.com.tw/news/109863。黃彥棻（2016年7月25日）。〈【詳細圖解】駭客入侵一銀ATM流程追追追〉。https://www.ithome.com.tw/news/107294。黃梓恆（2016）。《取得ISO27001認證對金融業績效之影響》〔未出版之碩士論文〕。國立東華大學國際企業學系。楊慧茹（2019）。《整合公司治理及資安治理應用於銀行業內部控制缺失之研究 – 銀行業重大缺失案例》〔未出版之碩士論文〕。國立宜蘭大學多媒體網路通訊數位學習碩士在職專班。廖俊堯（2025）。《導入 ISO27001 資安標準過程對醫學中心醫工部的影響研究分析—以 Bandura 三元交互理論為基礎》〔未出版之碩士論文〕。國立雲林科技大學資訊管理系。樊國楨、羅德興、錢素英、陳韶薇（2023）。〈資通安全管理法驗證方案特定要求事項標準化初論：根基於ISO/IEC 27001:2022(E)及ISO/IEC 27009:2020(E)框架〉，《電腦稽核》48：24-60。蔡孟翰、毛敬豪、林昶丞、張凱棊（2012）。〈殭屍網路追蹤與分析〉，《資訊安全通訊》18(3)：60-75。謝尚廷、蕭惟文、莊弘鈺（2024）。〈淺談金融業上雲趨勢與政策法令之發展〉，《萬國法律》253：2-18。謝昀澤（2021）。〈洞悉數位轉型的挑戰與風險〉，《證券服務》685：30-35。顏真真（2016年7月25日）。〈盜領案後　一銀董總發信勉勵員工化危機為轉機、堅定向前〉。https://www.nownews.com/news/2181255?srsltid=AfmBOoq9UZ5Mni7FKX6hwsSLOIeudx_52MoJbNTolJFs9fVbtOt7A12Z。魏得恩、許晉源、李寧（2023）。〈勒索軟體智能檢測平台（RansomHunter）－以AI-based輔助企業建立全方位資安偵防技術〉，《電工通訊季刊》2023第2季：41-51。羅正漢（2023年11月28日）。〈上海商銀1.4萬客戶資料外洩，金管會列4大缺失，依銀行法重罰千萬〉。http://ithome.com.tw/news/160048。 Adedeji, K. B., Abu-Mahfouz, A. M., & Kurien, A. M. (2023). DDoS attack and detection methods in internet-enabled networks: Concept, research perspectives, and challenges. Journal of Sensor and Actuator Networks, 12(4), 51. Adewusi, A. O., Chiekezie, N. R., & Eyo-Udo, N. L. (2022). Cybersecurity threats in agriculture supply chains: A comprehensive review. World Journal of Advanced Research and Reviews, 15(3), 490-500. Alsayed, A., & Bilgrami, A. (2017). E-banking security: Internet hacking, phishing attacks, analysis and prevention of fraudulent activities. International Journal of Emerging Technology and advanced engineering, 7(1), 109-115. Beretas, C. (2024). Information systems security, detection and recovery from cyber attacks. Universal Library of Engineering Technology, 1(1), 27-40. Boehmer, W. (2009, March). Cost-benefit trade-off analysis of an ISMS based on ISO 27001. In 2009 International Conference on Availability, Reliability and Security (pp. 392-399). IEEE. Calder, A., & Watkins, S. (2019). Information security risk management for ISO 27001/ISO 27002. It Governance Ltd. Chaudhry, S. M., Ahmed, R., Huynh, T. L. D., & Benjasak, C. (2022). Tail risk and systemic risk of finance and technology (FinTech) firms. Technological Forecasting and Social Change, 174, 1-37. Cong, W., Harvey, C., Rabetti, D., & Wu, Z. Y. (2025). An anatomy of crypto-enabled cybercrimes. Management Science, 71(4), 3622-3633. Emem. M (2025, June 14). JPMorgan Chase, Bank of America and TD Bank Issue Data Breach Alerts, Say Critical Information on Several Customers Compromised. The Daily Hodl. https://dailyhodl.com/2025/06/14/jpmorgan-chase-bank-of-america-and-td-bank-issue-data-breach-alerts-say-critical-information-on-several-customers-compromised/. Fahad, S. (2025). Recovering consumer trust in FinTech products after a data breach (Doctoral dissertation, Kauno technologijos universitetas.). George, A. S., Baskar, T., & Srikaanth, P. B. (2024). Cyber threats to critical infrastructure: assessing vulnerabilities across key sectors. Partners Universal International Innovation Journal, 2(1), 51-75. Gordon, L. A., & Loeb, M. P. (2002). The economics of information security investment. ACM Transactions on Information and System Security (TISSEC), 5(4), 438-457. Gupta, B. B., & Dahiya, A. (2021). Distributed Denial of Service (DDoS) Attacks: Classification, Attacks, Challenges and Countermeasures. CRC press. Hapsari, D. R. I., Hidayah, N. P., & Anggraeny, I. (2025, February). Banking Industry Customer Data Leakage: Where is the Principle of Bank Prudence and Confidentiality? In 2nd International Conference Changing of Business Law (ICOCLB 2024) (pp. 125-133). Atlantis Press. Joosten, R., & Nieuwenhuis, L. J. (2017, March). Analysing the impact of a DDoS attack announcement on victim stock prices. In 2017 25th Euromicro International Conference on Parallel, Distributed and Network-based Processing (PDP) (pp. 354-362). IEEE. Legowo, N., & Juhartoyo, Y. (2022). Risk management; risk assessment of information technology security system at bank using ISO 27001. Journal of System and Management Sciences, 12(3), 181-199. Mhara, M. A. A., Abdulrahman, A. A., & Baroud, A. A. (2024). Cyber attacks and threats: Study of the types of cyber attacks: Hacking, viruses, targeted attacks, and electronic espionage. International Journal of Electrical Engineering and Sustainability, 2(4), 38-47. NIST (2025). defense-in-depth. https://csrc.nist.gov/glossary/term/defense_in_depth. Paul, E., Callistus, O., Somtobe, O., Esther, T., Somto, K., Clement, O., & Ejimofor, I. (2023). Cybersecurity strategies for safeguarding customer’s data and preventing financial fraud in the United States financial sectors. International Journal on Soft Computing, 14(3), 1-16. Peltier, T. R. (2005). Information security risk analysis. Auerbach publications. Pigola, A., & Meirelles, F. D. S. (2025). Zero trust in cybersecurity: managing critical challenges for effective implementation. Journal of Systems and Information Technology, 3, 1-48. Somanchi S., Telang, R., & Heinz, H. J. (2016). Security, Fraudulent transactions and Customer Loyalty: A Field Study. In ICIS, 1-9. TASC（2025年8月4日）。〈網路犯罪分子將Raspberry Pi連接到銀行網路並盜取ATM現金〉。https://www.tasc.tw/tw/news-detail/cybercrooks_bribed_lackeys_in_physical%EF%BC%8F。 The New York Times（2014年5月21日）。〈美國銀行網站遭大規模網路攻擊〉。https://infosecu.technews.tw/2014/05/21/fireeye-finded-iranian-ajax-security-team-in-stuxnet-incident/。 The Star Kenya (2023, July 28). Explainer: DDoS attack that crippled services in Kenya for hours. https://www.the-star.co.ke/news/2023-07-28-explainer-ddos-attack-that-crippled-services-in-kenya-for-hours/. Von Solms, R., & von Solms, S. H. B. (2004). A framework for the governance of information security. Computers & Security, 23(8), 638–646. Wang, S. Y. K., & Hsieh, M. L. (2021). The ATM Hacking Case. In Digital Robbery: ATM Hacking and Implications (pp. 15-32). Cham: Springer International Publishing. Yayla, A. A., & Hu, Q. (2011). The impact of information security events on the stock value of firms: the effect of contingency factors. Journal of Information Technology, 26(1), 60-77. Yin, R. K. (2009). Case study research: Design and methods (Vol. 5). sage. Zand, A., Modelo-Howard, G., Tongaonkar, A., Lee, S. J., Kruegel, C., & Vigna, G. (2017). Demystifying DDoS as a service. IEEE Communications Magazine, 55(7), 14-21. Zawila-Niedzwiecki, J., & Byczkowski, M. (2009). Information security aspect of operational risk management. Foundations of Management, 1(2), 45-60.	-
dc.identifier.uri	http://tdr.lib.ntu.edu.tw/jspui/handle/123456789/101397	-
dc.description.abstract	隨著金融科技（FinTech）快速發展，資訊科技已成為金融業運作的基石，帶來便利與效率，但也引發日益嚴峻的資安挑戰。臺灣金融業近年屢次發生重大資安事件，包括 2016 年第一銀行 ATM 遭駭盜領案、2023 年上海商業儲蓄銀行客戶個資外洩案，以及 2024 年親俄駭客組織之大規模 DDoS 攻擊，顯示金融業不僅面臨外部駭客的組織化威脅，亦受限於內部治理失效、法規遵循流於形式及供應鏈安全管理缺失等結構性問題。本研究採用文獻分析與個案比較法，系統性整理臺灣金融業資安事件之類型與成因，並建構「技術、制度、法律」之三維度分析架構。研究發現，當前防禦體系之失靈，核心原因在於機構往往陷入「形式合規」之誤區，過度倚重技術採購，而忽略了管理制度之實質執行度與法律聯防之自動化效能。依據上述分析架構，本研究針對結構性成因提出五大核心因應策略：技術面，推動「情資導向主動防禦」與「多層次防禦機制」，建議導入威脅情報平台（TIP）與 AI 智能偵防；制度面，落實「權限最小化分層管理」與「制度合規實質化」，主張全面導入零信任架構，並以資安長（CISO）職權實質化作為落實基礎，法律與協作向，建構「跨產業情資聯防與共享機制」，建議透過法制化之「免責保障條款」提升分享意願，實現自動化之生態系聯防。未來展望應聚焦於新興科技之資安防護，藉由整合技術韌性、制度實效與法律保障，協助臺灣金融業建構具備「反脆弱」特質之防衛體系，從根本提升整體產業之韌性與國際競爭力。	zh_TW
dc.description.abstract	The rapid growth of Financial Technology (FinTech) has made information technology essential to financial operations, but it has also intensified cybersecurity risks. Major incidents in Taiwan—such as the 2016 First Bank ATM heist, the 2023 Shanghai Bank data breach, and the 2024 large-scale DDoS attacks—highlight not only sophisticated external threats but also internal weaknesses, including governance failures, superficial regulatory compliance, and poor supply chain security. This study analyzes these issues using a three-dimensional framework: Technology, Institution, and Law. The main finding is that many defense failures result from “formal compliance”—an overemphasis on acquiring technical solutions while neglecting effective management practices and automated legal collaboration. To address these structural vulnerabilities, five core countermeasures are proposed: Technical: Adopt intelligence-driven, proactive, and multi-layered defense mechanisms, leveraging Threat Intelligence Platforms (TIP) and AI-based detection. Institutional: Implement hierarchical management with least privilege, strengthen real compliance through Zero Trust architecture, and empower Chief Information Security Officers (CISO). Legal/Collaborative: Build cross-industry intelligence sharing and joint defense mechanisms, including Safe Harbor clauses to encourage information sharing. Looking ahead, integrating technical resilience, effective governance, and legal safeguards is crucial for Taiwan’s financial industry to build an “anti-fragile” defense system, enhancing both resilience and international competitiveness.	en
dc.description.provenance	Submitted by admin ntu (admin@lib.ntu.edu.tw) on 2026-01-27T16:31:25Z No. of bitstreams: 0	en
dc.description.provenance	Made available in DSpace on 2026-01-27T16:31:25Z (GMT). No. of bitstreams: 0	en
dc.description.tableofcontents	口試委員會審定書 i 致謝 ii 中文摘要 iii Abstract iv 目　次 V 圖　次 VII 表　次 VIII 第一章緒論 1 第一節研究背景與動機 1 第二節研究目的與問題 2 第二章文獻回顧 5 第一節資安及金融資安風險 5 第二節金融業資安威脅之研究趨勢與論點分析 10 第三節金融資安風險防範機制 16 第三章研究設計與分析架構 19 第一節研究分析架構之建構 19 第二節金融資安防護體系建立 23 第三節研究方法與實施步驟 29 第四章臺灣金融資安環境之狀況 32 第一節臺灣金融資安之特殊性與核心價值 32 第二節國內金融資安普遍存在的問題 34 第五章臺灣金融業重大ATM資安事件分析 40 第一節 ATM遭駭事件 40 第二節總結與啟示 44 第六章臺灣金融業銀行重大客戶資料外洩事件 48 第一節銀行客戶資料外洩事件 48 第二節總結與啟示 53 第七章臺灣金融重大分散式阻斷服務（DDoS）攻擊事件 56 第一節分散式阻斷服務（DDoS）攻擊事件 56 第二節總結與啟示 60 第八章因應對策與制度建議 63 第一節基於技術、制度、法律與協作維度防範策略 63 第二節執行配套與落實先決條件 65 第九章結論與未來建議 70 第一節　研究發現 70 第二節　研究限制 78 參考文獻 80 壹、中文 80 貳、英文 83 附錄 86	-
dc.language.iso	zh_TW	-
dc.subject	金融資安	-
dc.subject	ISO 27001	-
dc.subject	NIST CSF	-
dc.subject	資安治理	-
dc.subject	DDoS 攻擊	-
dc.subject	ATM 遭駭	-
dc.subject	Financial Cybersecurity	-
dc.subject	ISO 27001	-
dc.subject	NIST Cybersecurity Framework(NIST CSF)	-
dc.subject	Cybersecurity Governance	-
dc.subject	DDoS Attacks	-
dc.subject	ATM Hacking	-
dc.title	探討金融業面臨的資安風險及因應對策-以臺灣為例	zh_TW
dc.title	Cybersecurity Risks and Countermeasures Faced by the Financial Industry: A Case Study of Taiwan	en
dc.type	Thesis	-
dc.date.schoolyear	114-1	-
dc.description.degree	碩士	-
dc.contributor.oralexamcommittee	李庚霈;黃建實	zh_TW
dc.contributor.oralexamcommittee	Gung-Pei Li;Chien-shih Huang	en
dc.subject.keyword	金融資安,ISO 27001NIST CSF資安治理DDoS 攻擊ATM 遭駭	zh_TW
dc.subject.keyword	Financial Cybersecurity,ISO 27001NIST Cybersecurity Framework(NIST CSF)Cybersecurity GovernanceDDoS AttacksATM Hacking	en
dc.relation.page	92	-
dc.identifier.doi	10.6342/NTU202600152	-
dc.rights.note	未授權	-
dc.date.accepted	2026-01-20	-
dc.contributor.author-college	社會科學院	-
dc.contributor.author-dept	國家發展研究所	-
dc.date.embargo-lift	N/A	-
顯示於系所單位：	國家發展研究所

文件中的檔案：

檔案	大小	格式
ntu-114-1.pdf 未授權公開取用	1.38 MB	Adobe PDF

顯示文件簡單紀錄

系統中的文件，除了特別指名其著作權條款之外，均受到著作權保護，並且保留所有的權利。