在網路威脅日益複雜的時代,香港金融機構面臨持續不斷的網路攻擊。平均而言,香港的機構每週會遭受約1,675次網路攻擊。不斷升級的威脅情勢促使香港金融管理局(金管局)持續改善其監管架構。自2016年推出網路安全強化計畫(CFI)以來,該框架不斷發展演進,CFI 2.0已於2021年生效。近期發布的網路風險管理的法定指引TM-C-1將於2024年11月生效,這進一步彰顯了金管局致力於提升業界網路安全韌性的決心。這一趨勢傳遞出一個明確的訊息:監管要求正在不斷提高。
本文從評估的角度對C-RAF 2.0進行了專業解讀。文章旨在提煉該框架的邏輯,重點闡述關鍵變化,並揭示行業中普遍存在的不足。透過理解這些核心要素,授權機構(AI)可以更好地使其自我評估工作與監管預期保持一致。
C-RAF 2.0 評估是一個結構化的三步驟流程,旨在對機構的網路韌性進行全面評估。該框架的核心邏輯是將所需的網路安全成熟度與機構固有的風險敞口相匹配。這三個步驟如下:
下表概述了構成 C-RAF 2.0 評估核心的七個領域及其關鍵組成部分:
| 等級 | 領域 | 關鍵組成部分 |
|---|---|---|
| 治理(中央) | 治理 | 網路韌性監督、策略和政策、風險管理、審計和人員培訓。 |
| 內部環境 | 鑑別 | IT資產識別、風險識別和評估。 |
| 內部環境 | 保護 | 基礎設施保護、存取控制、資料安全和修補程式管理。 |
| 內部環境 | 偵測 | 漏洞偵測、異常活動偵測和威脅監控。 |
| 內部環境 | 應對與恢復 | 回應計劃、事件管理、升級和報告。 |
| 外部環境 | 情境意識 | 威脅情報和資訊共享。 |
| 外部環境 | 第三方風險管理 | 外部連線、第三方管理和持續監控。 |
固有風險評估從五個不同類別評估機構的風險敞口:技術、交付管道、產品和技術服務、業務規模和組織特徵以及網路威脅記錄。此評估的目的是確定機構的整體風險狀況,進而決定其所需的最低成熟度等級。
iCAST是中高級成熟度機構的強制性要求。它是一項以情報驅動的紅藍對抗演練,旨在模擬真實世界的攻擊場景。 C-RAF 2.0引入了藍隊參與要求和更靈活的威脅情報報告機制,使測試更加全面和貼近實際。
C-RAF 2.0引入了多項變更,其中三項對評估流程的影響尤其顯著。這些變更反映了監管重點的演變以及對更穩健的網路風險管理方法的需求。
C-RAF 2.0重新定義了固有風險評估中的「向上調整」規則。如果低風險指標的數量不超過中風險指標和高風險指標的總和,則整體風險等級將向上調整。此項變更以及更詳細的指標標準和計算方法旨在防止機構低估其風險敞口。
C-RAF 2.0 的一項重大變更是明確要求董事會和高階管理層對網路風險管理負責。這項轉變旨在解決業界普遍存在的誤區,即把網路風險視為純粹的技術問題,而非業務風險。從評估的角度來看,機構現在必須提供董事會層級參與的證據,而不僅僅是技術控制措施。
根據香港金融管理局2023年12月發布的關於管理第三方網路風險的通函,C-RAF 2.0加強了第七領域第三方風險管理的要求。評估範圍現已涵蓋外部連接的識別與管理、基於風險的第三方控制測試以及對第三方風險的持續監控。這與即將出台的OR-2營運韌性要求一致,該要求的合規期限為2026年5月。
根據產業觀察,C-RAF評估過程中存在一些常見缺陷。認識到這些缺陷有助於機構更好地準備自我評估,並找出需要改進的領域。
實際上,一些機構可能需要在治理層面的多個方面進行改進。這些面向包括確保首席資訊安全長 (CISO) 和技術風險管理負責人的獨立性,建立正式的網路安全預算流程,以及在董事會層級建立網路風險定期審查機制。這些問題通常源自於治理結構未能充分體現網路風險對業務的重要性。
常見的偵測與回應弱點包括:關鍵伺服器上端點偵測與回應 (EDR) 工具覆蓋不足、針對高影響低機率網路安全事件的場景規劃不完善,以及缺乏定期的復原演練。成熟度評估不僅關注工具是否已部署,還關注其是否有效運作並經過驗證。
隨著對雲端服務和外包的依賴日益加深,第三方風險管理已成為評估的重點領域。常見的薄弱環節包括關鍵應用程式資料流映射不完整、對第三方網路安全控制測試頻率不足,以及缺乏基於風險的差異化管理機制。有些機構可能誤以為外包服務也意味著將相關的網路安全責任轉移出去。然而,從監管角度來看,該責任始終由授權機構承擔。
在開始進行 C-RAF 2.0 自我評估之前,先思考幾個核心問題會很有幫助。這些問題旨在幫助你將思考與該框架的關鍵評估維度保持一致。
C-RAF 2.0 的核心理念是將網路韌性從技術問題提升為治理重點。隨著 TM-C-1 法定指南的發布以及 OR-2 合規截止日期(2026 年 5 月)的臨近,金融機構主動了解並準備評估要求,是滿足不斷變化的監管期望的務實之舉。
