4 CHANG HWA BANK

第 6 6 卷　第 1 2 期

彰 銀 資 料

由於近來網路攻擊事件頻繁，金融

業者首當其衝，所以 2016 年香港金管局公布「網路安全防衛計劃」

（Cybersecurity Fortification Initiative 簡稱 CFI），將藉此計劃來提升金融業者的網路安全。這項計劃由三大支柱組

成，簡述如下：

1. 網路防衛評估架構（Cyber Resilience Assessment Framework簡稱C-RAF）：

這是一套以風險為基礎的評估框

架，讓所有在香港營業的銀行以此評估

框架，去評估本身的風險狀況，以及訂

出適當的網路攻擊防禦措施，並提升其

安全水平。

2. 專業培訓計劃（Professional Development Program 簡稱 PDP）：

這個計劃的目的乃是在未來培訓

出更多合格的網路安全專業人員。金管

局正與香港應用科技研究院（應科院）

香港資安監理規範新趨勢

及香港銀行學會合作擬定專業培訓計

劃的課程設計架構，目標是在 2016年底前推出。

3. 網路風險資訊共享平台（Cyber Intelligence Sharing Platform 簡 稱

CISP）：

這個平台主要目的乃在提供分享

有關網路攻擊的相關資訊。讓銀行能夠

從風險資訊共享平台及時得到提示或

警告。就可能出現的網路攻擊，可以事

先作好應對措施，對所有銀行會有很大

幫助。金管局將會與應科院及香港銀行

公會合作推出這個平台。

香港金管局首先選 30家銀行，執行「網路安全防衛計劃」，2017 年 9月底前要完成。其餘在香港營業的銀行

都必須在 2018年 9月底前完成「網路安全防衛計劃」。除非該銀行已有同等

有效的風險評估架構，否則必須運用此

王益堅

66-12-4.indd 4 2017/12/20 下午 06:59:49

Topic Discussion December 2017

CHANG HWA BANK 5

架構，評估其網路風險狀態及防禦能力

水平。銀行一旦定出其風險狀況，以及

所須的防禦措施及保安水平，董事會及

高級管理階層應制定妥善的管理措施

及程序，以達到符合其風險狀況的網路

防衛水平。

C-RAF的評估步驟，簡述如下：

1. 固有風險評估

固有風險包含 5個類別：

（1） TECHNOLOGY（ 共 有 19 個評估項目）

（2） DELIVERY CHANNELS（ 共

有 4個評估項目）

（3） TRACKED RECORD ON CYBER THREATS（共有 13個評估項目）

（4） PRODUCTS AND TECHNOLOGY SERVICES（共有 6個評估項目）

（5） O R G A N I Z A T I O N A L CHARACTERISTICS（共有 6個評估項目）

每個評估項目的風險等級分為：

Low、Medium、High。

統計所有評估項目的風險等級，

出現最多的等級，即為整體的固有風險

等級。

2. 網路安全成熟度評估

C-RAF 成 熟 度 有 7 domains、25 components

Domain 1 – Governance（共有 5 大項 85個控制項目）

Domain 2 – Identification（共有 2大項 25個控制項目）

Domain 3 – Protection（共有 6大項111個控制項目）

Domain 4 – Detection（共有 4 大項66個控制項目）

Domain 5 – Response and recovery（共有 3大項 53個控制項目）

Domain 6 – Situational awareness（共有 2大項 18個控制項目）

D o m a i n 7 – T h i r d p a r t y r i s k management（共有 3大項 43個控制項目）

每個大項的成熟度等級分為：

Baseline、Intermediate、Advanced。如下圖：

66-12-4.indd 5 2017/12/20 下午 06:59:49

6 CHANG HWA BANK

第 6 6 卷　第 1 2 期

彰 銀 資 料

（1） 若滿足 Baseline 的所有控制項目，而未滿足 Intermediate, Advanced 的所有控制項目，則成熟度為 Baseline。

（2） 若滿足 Baseline及 Intermediate的所有控制項目，而未滿足

Advanced 的所有控制項目，則成熟度為 Intermediate。

（3） 若滿足 Baseline、Intermediate及Advanced的所有控制項目，成熟度則為 Advanced.

3. 固有風險程度與最小成熟度之要求

「威脅情報導向的網絡攻擊模擬測

試 」（Intelligence-led cyber attack simulation testing 簡稱 iCAST）

實施步驟簡述如下：

（1） 決定威脅情報導向範圍及目標

（2） 收集需要的資訊，進行威脅情報分析。

（3）設計測試情境

（4）進行測試

（5）提出測試報告

縱觀香港金管局的「網路安全防

衛計劃」，所有在香港開業的銀行最慢

在 2018年 9月底須完成「網路防衛評估架構」評估，其範圍包括所有支援香

港分行業務的軟、硬體。評估其網路風

險狀態及防禦能力水平。若銀行固有風

險等級與網路安全成熟度不匹配，則應

制定妥善的管控措施及程序，以達到符

合其風險狀況的網路安全成熟度。

－　參考資料　－

1. HKMA -Cybersecurity Fortification Initiative（CFI）

2. HKMA -Cyber Resilience Assessment Framework（“C-RAF”）

3. HKMA- Intelligence-led cyber attack simulation testing（“iCAST”）

（1） 當固有風險程度為 Low，其最小成熟度之要求為 Baseline。

（2） 當固有風險程度為 Medium，其 最 小 成 熟 度 之 要 求 為

Intermediate。

（3） 當固有風險程度為 High，其最小成熟度之要求為 Advance。

若未達到最小成熟度之要求，則必須提出改善措施，使其達到最小成

熟度之要求。

4. 威脅情報導向的網絡攻擊模擬測試

若 該 銀 行 的 結 果， 風 險 等 級

為 Medium 或 High， 則 必 須 實 施

Inherent risk level Minimum required maturity level

High Advanced

Medium Intermediate

Low Baseline

66-12-4.indd 6 2017/12/20 下午 06:59:50