Person using a futuristic HUD interface screen with data, business information

保险公司的网络防卫评估



网络防卫评估框架(CRAF)

香港保险业监管局发布的《网络安全指引》(GL20)规定了一个 网络防卫评估框架 (CRAF) ,旨在帮助授权保险公司评估其在网络防卫方面的固有风险和成熟度。评估框架利用既定的风险指标、控制原则和计算方法来提供见解,以增强组织的网络风险管理。

《网络安全指引》(GL20)由香港保险业监管局于2024年12月修订发布,并于2025年1月1日起生效。

该指引规定了获授权保险公司应具备的网络安全最低标准以及保险业监督在评估保险公司网络安全框架有效性时使用的一般指导原则。该指引定义了 CRAF。

注:

香港金融管理局 (HKMA) 也发布了类似的 CRAF,供香港银行使用。本网页内容重点介绍保险业监管局发布的供香港保险公司使用的 CRAF。

为保险公司量身定制

综合框架

专家评估员

定期和临时评估

监管合规

基于风险的评估方法

什么是网络防卫评估框架 CRAF?

《网络安全指引》(GL20)中规定的 网络防卫评估框架 (CRAF) 是一种结构化的评估工具,专为授权保险公司设计,用于评估其在网络防卫方面的固有风险和成熟度。CRAF 提供了一套全面的风险指标、控制原则和方法,可指导组织识别漏洞并实施有效的网络安全措施。通过利用定性和定量评估标准,CRAF 使保险公司能够深入了解其网络防卫状况,确保他们能够主动管理风险并保护其关键资产免受不断演变的网络威胁。

CRAF 适合哪些人?

CRAF 适用于在香港或从香港运营的授权保险公司,包括从事各种保险业务的保险公司。该框架对于希望增强网络防卫并遵守保险业监管局 (IA) 规定的监管要求的组织尤其有益。CRAF 适用于大型保险公司和小型实体,提供灵活的评估方法,以满足每个组织的特定需求和复杂性。此外,它还是风险管理和网络安全团队的宝贵资源,帮助他们做出明智的决策,以加强其整体网络风险管理策略。

CRAF 有什么好处?

网络防卫评估框架 (CRAF) 为寻求加强网络安全态势的授权保险公司提供了众多好处:

  • 系统风险评估:CRAF 提供了一种结构化的方法来识别和评估固有的网络风险,使组织能够有效地优先考虑其安全工作。
  • 监管合规性:该框架有助于遵守监管要求,帮助保险公司避免潜在的处罚并保持其运营诚信。
  • 切实可行的见解:CRAF 提供定制建议,使组织能够实施有效的网络安全控制并提高其整体恢复能力。
  • 提高声誉:通过采用 CRAF,保险公司可以与客户建立信任并提高其在市场上的声誉。
  • 业务连续性:最终,CRAF 将带来更安全的运营环境,确保在不断演变的网络威胁下业务连续性。
Business28.png

CRAF 如何工作?

初步评估包括使用固有风险评估矩阵评估贵组织的固有风险水平。根据评级:

  • 低风险:进行网络安全成熟度评估。
  • 中/高风险:由具备相应资质的评估人员进行重新评估,重新评估后方可进行网络安全成熟度评估。

在固有风险评估之后,将根据网络安全成熟度评估矩阵评估组织的网络安全成熟度。此阶段可确保组织拥有必要的控制措施和流程,以有效缓解网络风险。

对于具有中等或高等固有风险评级的保险公司,CMA 必须由具有所需资格的评估师进行。
如果评估由内部员工作为评估员进行,则 CMA 的结果还必须由具有所需资格的验证员进行独立验证。

作为网络安全成熟度评估的一项内容,独立的威胁情报和网络攻击模拟测试应由具备必要技能和专业知识以及红队和威胁情报领域业界认可资格的专家进行。
它不同于并高于在单个系统或隔离环境上执行安全漏洞评估或渗透测试。模拟中应至少涵盖 3 个端到端网络攻击场景,在生产环境中模拟真实的攻击场景。

  • 定期评估:至少每三年进行一次。
  • 临时评估:在业务或技术发生重大变化时提出建议。当保险业监督认为适当时,保险公司也应临时进行评估。

相关评估应由具备网络安全和风险管理必要资质和经验的专业人员进行。所有结果均经过独立验证,以保持最高标准的完整性和准确性。

保险公司必须根据其固有风险评级,在规定时间内向保险业监管局(IA)提交评估结果。其中包括:

  • 关于固有风险评估和网络安全成熟度评估的详细报告,包括 TIBAS 测试针对具有中等或高固有风险评级的保险公司确定的控制原则差距。
  • 识别控制差距并制定改进计划。
  • 首次提交后每三年定期更新。

若不遵守规定且未采取缓解措施,可能会影响保监局对本指引适用的获授权保险公司的董事或控权人是否持续适当人选的看法。

Banking13.png

网络防卫评估的费用是多少?

由于每家公司对 CRAF 都有不同的先决条件和具体要求,因此分析和相关报告的费用无法以固定金额提供。请与我们联系,我们将很乐意为您提供个性化解决方案。

您对我们有何期望?

在管理体系和流程认证方面拥有超过 35 年的经验,包括信息安全和隐私信息安全领域。来自全球 DQS 网络的行业经验丰富的评估员。

DQS HK 根据《网络安全指引》(GL20) 中规定的 网络防卫评估框架 (CRAF) 提供以下服务:

  • 固有风险评估,
  • 网络安全成熟度评估,和/或
  • 威胁情报和网络攻击模拟 (TIBAS) 测试。

根据特定项目的范围,评估团队将指派具有适当专业 IT 安全资格的专家,例如 CISA、CISSP、CISM、CEH、OSCP 或 OSEP 。

 

注:

本网页所载资料仅供参考,可能并非最新资料。此等资料不应用作法律建议。读者在就此指引相关的任何事宜作出决定前,应向其它相关方寻求专业意见。

Content businesswoman smiling at camera. Portrait of beautiful happy young businesswoman standing wi

询价

您当地的联系人

我们将很乐意为您提供针对 CRAF 的定制报价。

諮詢報價