GL20中的網路彈性評估架構(CRAF)
香港保險業監理局於2024年12月修訂並發布了《網路安全指引》(GL20)。該指引將於2025年1月1日起生效。
本指南規定了獲授權保險公司應具備的網路安全最低標準,以及保險監理局 (IA) 在評估保險公司網路安全框架有效性時所依據的一般指導原則。本指南對網路安全框架 (CRAF) 進行了定義。
筆記:
香港金融管理局(金管局)也發布了類似的CRAF供香港銀行使用。本網頁的內容主要介紹保險業監理局所發布的供香港保險公司使用的CRAF。
為保險公司量身定制的綜合框架 專家評估員 定期和臨時評估 監管合規 基於風險的方法
CRAF是什麼?
CRAF適合哪些人?
CRAF有哪些好處?
CRAF是如何運作的?
初步評估包括使用固有風險評估矩陣評估貴組織的固有風險等級。根據評級結果:
- 低風險:繼續進行網路安全成熟度評估。
- 中/高風險由具備相應資格的評估人員進行重新評估。重新評估完成後,即可進行網路安全成熟度評估。
在完成固有風險評估之後,將根據網路安全成熟度評估矩陣對組織的網路安全成熟度進行評估。此階段旨在確保組織擁有必要的控制措施和流程,以有效降低網路風險。
對於具有中等或較高固有風險評級的保險公司,CMA 必須由具有相應資格的評估員進行。
如果評估由內部員工作為評估員進行,則 CMA 的結果也必須由具有相應資格的驗證員進行獨立驗證。
作為網路安全成熟度評估的一部分,應由具備必要技能和專業知識,以及紅隊和威脅情報領域行業認可資質的專家進行獨立的威脅情報和網路攻擊模擬測試。
它有所不同,除了執行安全漏洞分析之外,滲透測試模擬應針對單一系統或隔離環境,至少涵蓋 3 個端到端的網路攻擊場景,並在生產環境中進行,以模擬真實攻擊場景。
- 定期評估至少每三年進行一次。
- 臨時評估建議在業務或技術發生重大變化時進行評估。此外,當內部稽核師認為適當時,保險公司也應進行臨時評估。
相關評估應由具備網路安全和風險管理必要資格和經驗的專業人員進行。所有結果均經過獨立驗證,以確保最高的完整性和準確性。
保險公司必須根據其固有風險評級,在規定的期限內向保險監理局(IA)提交評估結果。這包括:
- 針對固有風險評估和網路安全成熟度評估的詳細報告,包括 TIBAS 測試中針對具有中等或高固有風險評級的保險公司所發現的控制原則差距。
- 找出控制漏洞並制定改進計劃。
- 自首次提交以來,每三年進行一次定期更新。
不遵守規定且不採取緩解措施,可能會影響投資協會對適用本指引的授權保險公司的董事或控制人的持續適任性和適當性的看法。
網路彈性評估需要多少費用?
