香港資安監理規範新趨勢...由於近來網路攻擊事件頻繁,金融...
TRANSCRIPT
4 CHANG HWA BANK
第 6 6 卷 第 1 2 期
彰 銀 資 料
由於近來網路攻擊事件頻繁,金融
業者首當其衝,所以 2016 年香港金管局公布「網路安全防衛計劃」
(Cybersecurity Fortification Initiative 簡稱 CFI),將藉此計劃來提升金融業者的網路安全。這項計劃由三大支柱組
成,簡述如下:
1. 網路防衛評估架構(Cyber Resilience Assessment Framework簡稱C-RAF):
這是一套以風險為基礎的評估框
架,讓所有在香港營業的銀行以此評估
框架,去評估本身的風險狀況,以及訂
出適當的網路攻擊防禦措施,並提升其
安全水平。
2. 專業培訓計劃(Professional Development Program 簡稱 PDP):
這個計劃的目的乃是在未來培訓
出更多合格的網路安全專業人員。金管
局正與香港應用科技研究院(應科院)
香港資安監理規範新趨勢
及香港銀行學會合作擬定專業培訓計
劃的課程設計架構,目標是在 2016年底前推出。
3. 網路風險資訊共享平台(Cyber Intelligence Sharing Platform 簡 稱
CISP):
這個平台主要目的乃在提供分享
有關網路攻擊的相關資訊。讓銀行能夠
從風險資訊共享平台及時得到提示或
警告。就可能出現的網路攻擊,可以事
先作好應對措施,對所有銀行會有很大
幫助。金管局將會與應科院及香港銀行
公會合作推出這個平台。
香港金管局首先選 30家銀行,執行「網路安全防衛計劃」,2017 年 9月底前要完成。其餘在香港營業的銀行
都必須在 2018年 9月底前完成「網路安全防衛計劃」。除非該銀行已有同等
有效的風險評估架構,否則必須運用此
王益堅
66-12-4.indd 4 2017/12/20 下午 06:59:49
Topic Discussion December 2017
CHANG HWA BANK 5
架構,評估其網路風險狀態及防禦能力
水平。銀行一旦定出其風險狀況,以及
所須的防禦措施及保安水平,董事會及
高級管理階層應制定妥善的管理措施
及程序,以達到符合其風險狀況的網路
防衛水平。
C-RAF的評估步驟,簡述如下:
1. 固有風險評估
固有風險包含 5個類別:
(1) TECHNOLOGY( 共 有 19 個評估項目)
(2) DELIVERY CHANNELS( 共
有 4個評估項目)
(3) TRACKED RECORD ON CYBER THREATS(共有 13個評估項目)
(4) PRODUCTS AND TECHNOLOGY SERVICES(共有 6個評估項目)
(5) O R G A N I Z A T I O N A L CHARACTERISTICS(共有 6個評估項目)
每個評估項目的風險等級分為:
Low、Medium、High。
統計所有評估項目的風險等級,
出現最多的等級,即為整體的固有風險
等級。
2. 網路安全成熟度評估
C-RAF 成 熟 度 有 7 domains、25 components
Domain 1 – Governance(共有 5 大項 85個控制項目)
Domain 2 – Identification(共有 2大項 25個控制項目)
Domain 3 – Protection(共有 6大項111個控制項目)
Domain 4 – Detection(共有 4 大項66個控制項目)
Domain 5 – Response and recovery(共有 3大項 53個控制項目)
Domain 6 – Situational awareness(共有 2大項 18個控制項目)
D o m a i n 7 – T h i r d p a r t y r i s k management(共有 3大項 43個控制項目)
每個大項的成熟度等級分為:
Baseline、Intermediate、Advanced。如下圖:
66-12-4.indd 5 2017/12/20 下午 06:59:49
6 CHANG HWA BANK
第 6 6 卷 第 1 2 期
彰 銀 資 料
(1) 若滿足 Baseline 的所有控制項目,而未滿足 Intermediate, Advanced 的所有控制項目,則成熟度為 Baseline。
(2) 若滿足 Baseline及 Intermediate的所有控制項目,而未滿足
Advanced 的所有控制項目,則成熟度為 Intermediate。
(3) 若滿足 Baseline、Intermediate及Advanced的所有控制項目,成熟度則為 Advanced.
3. 固有風險程度與最小成熟度之要求
「威脅情報導向的網絡攻擊模擬測
試 」(Intelligence-led cyber attack simulation testing 簡稱 iCAST)
實施步驟簡述如下:
(1) 決定威脅情報導向範圍及目標
(2) 收集需要的資訊,進行威脅情報分析。
(3)設計測試情境
(4)進行測試
(5)提出測試報告
縱觀香港金管局的「網路安全防
衛計劃」,所有在香港開業的銀行最慢
在 2018年 9月底須完成「網路防衛評估架構」評估,其範圍包括所有支援香
港分行業務的軟、硬體。評估其網路風
險狀態及防禦能力水平。若銀行固有風
險等級與網路安全成熟度不匹配,則應
制定妥善的管控措施及程序,以達到符
合其風險狀況的網路安全成熟度。
- 參考資料 -
1. HKMA -Cybersecurity Fortification Initiative(CFI)
2. HKMA -Cyber Resilience Assessment Framework(“C-RAF”)
3. HKMA- Intelligence-led cyber attack simulation testing(“iCAST”)
(1) 當固有風險程度為 Low,其最小成熟度之要求為 Baseline。
(2) 當固有風險程度為 Medium,其 最 小 成 熟 度 之 要 求 為
Intermediate。
(3) 當固有風險程度為 High,其最小成熟度之要求為 Advance。
若未達到最小成熟度之要求,則必須提出改善措施,使其達到最小成
熟度之要求。
4. 威脅情報導向的網絡攻擊模擬測試
若 該 銀 行 的 結 果, 風 險 等 級
為 Medium 或 High, 則 必 須 實 施
Inherent risk level Minimum required maturity level
High Advanced
Medium Intermediate
Low Baseline
66-12-4.indd 6 2017/12/20 下午 06:59:50