HKMA-C-RAF-2.0-Self-Assessment-Guide.png

HKMA C-RAF 2.0 自我評估指南：提升金融機構網絡應變能力的策略

DQS HK

博客團隊

2月 18 , 2026

在網絡威脅日趨複雜的年代，香港的金融機構正面對無情的攻擊。香港的機構平均每週受到約 1,675 次網路攻擊。這種威脅不斷升級的趨勢促使香港金融管理局 (HKMA) 持續加強其監管架構。自 2016 年推出「網絡安全強化措施」(CFI) 以來，該架構不斷演進，CFI 2.0 將於 2021 年生效。最近，金管局於 2024 年 11 月發出有關網絡風險管理的法定指引 TM-C-1，進一步強調金管局致力提升業界的網絡應變能力。這一趨勢意味著一個明確的信息：監管的期望正在不斷提高。

本文從評估的角度對 C-RAF 2.0 進行專業詮釋。其目的在於提煉框架的邏輯、強調主要的變更，以及闡明在業界觀察到的常見弱點。透過瞭解這些核心要素，認可機構 (AI) 可以更好地將其自我評估工作與監管期望相結合。

C-RAF 2.0 評估架構概述

C-RAF 2.0 評估是一個結構化的三步流程，旨在全面評估機構的網路復原能力。該架構的核心邏輯是將所需的網路安全成熟度等級與機構固有的風險暴露相結合。三個步驟如下：

固有風險評估：此初始步驟透過評估五個類別的風險暴露，來確定機構的固有風險等級。
網路安全成熟度評估：根據固有風險等級，此步驟會評估機構在七個領域的網路安全成熟度。
智慧型網路攻擊模擬測試 (iCAST)：對於中度或高度成熟度的機構，iCAST 是一項模擬真實網路攻擊的強制性測試。

網路安全成熟度的七個領域

下表提供了七個領域及其關鍵組成部分的高層次概覽，這些組成部分構成了 C-RAF 2.0 評估的核心：

等級	領域	關鍵元件
治理 (中央)	治理	網路復原監督、策略與政策、風險管理、稽核與人員訓練。
內部環境	識別	IT 資產識別、風險識別與評估。
內部環境	保護	基礎結構保護、存取控制、資料安全及修補程式管理。
內部環境	偵測	漏洞偵測、異常活動偵測和威脅監控。
內部環境	回應與復原	回應規劃、事件管理、升級和報告。
外部環境	情勢感知	威脅情報與資訊分享。
外部環境	第三方風險管理	外部連接、第三方管理和持續監控。

固有風險評估類別

固有風險評估會評估機構在以下五個不同類別中面臨的風險：技術、傳送管道、產品與技術服務、業務規模與組織特性，以及網路威脅記錄。此評估的目的在於確定機構的整體風險狀況，進而決定所需的最低成熟度等級。

iCAST 簡介

iCAST 是中度和高度成熟度等級機構的強制性要求。它是一種情報驅動的紅隊/藍隊演習，模擬真實世界的攻擊情境。C-RAF 2.0 引入了藍隊要求和更靈活的威脅情報報告機制，使測試更全面、更逼真。

2.0 版的三項主要變更

C-RAF 2.0 引入了多項變更，但其中有三項對評估流程有重大影響。這些變更反映了不斷演進的法規重點，以及需要更強大的網路風險管理方法。

在固有風險評估中引入「向上覆寫」機制

C-RAF 2.0 重新定義了固有風險評估中的「向上覆蓋」規則。如果低風險指標的數量不超過中風險和高風險指標的總和，則整體風險級別將向上調整。這項變更，以及更詳細的指標標準和計算方法，旨在防止機構低估其風險暴露程度。

將管理責任提升至董事會

C-RAF 2.0 的一項重大變更，是明確要求董事會和資深管理階層對網路風險管理負責。這種轉變解決了業界普遍存在的弊端，即將網路風險視為純粹的技術問題，而非商業風險。從評估的角度來看，機構現在必須提供董事會層級參與的證據，而不僅僅是技術控制措施。

強化第三方風險管理要求

為配合金管局於 2023 年 12 月發出有關管理第三方網絡風險的通告，C-RAF 2.0 已加強了範疇 7 對第三方風險管理的要求。該評估現在涵蓋外部連接的識別和管理、以風險為基礎的第三方控制測試，以及對第三方風險的持續監控。這與即將實施的 OR-2 營運復原能力要求一致，該要求的合規截止日期為 2026 年 5 月。