香港保险业监管局于2024年12月修订发布《网络安全指引》(GL20),并于2025年1月1日起生效。
该指引规定了在香港获授权的保险公司应具备的网络安全最低标准以及保险业监督在评估保险公司网络安全框架有效性时使用的一般指导原则。该指引定义了网络防卫评估框架 (CRAF) ,旨在帮助授权保险公司评估其在网络防卫方面的固有风险和成熟度。评估框架利用既定的风险指标、控制原则和计算方法来提供见解,以增强组织的网络风险管理。
香港金融管理局 (HKMA) 也发布了类似的 CRAF,供香港银行使用。本文介绍保险业监管局发布的供香港保险公司使用的 CRAF。
网络防卫评估框架 (CRAF) 是一种结构化的评估工具,专为授权保险公司设计,用于评估其在网络防卫方面的固有风险和成熟度。CRAF 提供了一套全面的风险指标、控制原则和方法,可指导组织识别漏洞并实施有效的网络安全措施。通过利用定性和定量评估标准,CRAF 使保险公司能够深入了解其网络防卫状况,确保他们能够主动管理风险并保护其关键资产免受不断演变的网络威胁。
网络防卫评估框架 (CRAF) 为寻求加强网络安全态势的授权保险公司提供了众多好处:
CRAF 适用于在香港或从香港运营的授权保险公司,包括从事各种保险业务的保险公司。该框架对于希望增强网络防卫并遵守保险业监管局 (IA) 规定的监管要求的组织尤其有益。CRAF 适用于大型保险公司和小型实体,提供灵活的评估方法,以满足每个组织的特定需求和复杂性。此外,它还是风险管理和网络安全团队的宝贵资源,帮助他们做出明智的决策,以加强其整体网络风险管理策略。
获授权保险公司需在规定的时间内向香港保险管理局(IA)提交评估结果:对于高固有风险评级的保险公司,需在12个月内提交,而对于低或中等风险评级的保险公司,则需在18个月内提交,起始于CRAF生效之日。初次提交后,评估结果需每三年提交一次。提交内容应包括:
所有提交的结果,包括完成的模板,必须由首席执行官或高级执行官、以及参与评估的评估者和验证者进行审核并签字。
根据CRAF为保险公司提供网络防卫评估,包括以下其中一项或全部:
在我們所做的每一項工作中,我們始終堅持最高的質量和專業標準。這不僅使我們的行動成為行業標杆,也成為我們不斷精進和堅守的使命。
