保險公司的網路防衛評估-GL20

網絡防衛評估框架（CRAF）

網路防衛評估框架（Cyber Risk Assessment Framework， CRAF）是由香港保險業監管局制定的一套指導原則，旨在幫助獲授權保險公司識別、評估和管理其面臨的網路風險。 該框架為保險公司提供了一種系統化的評估方法，以確保其網路安全措施的有效性和充分性，從而保護客戶數據和業務運營的連續性。

CRAF 適合哪些公司？

網絡防衛評估框架的要求適用於所有在香港或從香港經營保險業務的獲授權保險公司。 網絡防衛評估框架應涵蓋支援獲授權保險公司的香港業務的所有系統、基礎設施（包括辦公室和雲端基礎設施）、流程和人員。

CRAF 有什麼好處？

系統化評估：提供結構化的評估流程，幫助保險公司全面瞭解其網路安全狀況。

風險管理提升：通過識別和評估網路潛在風險，保險公司能夠制定有效的風險管理策略，降低潛在損失。

合規性保障：有助公司遵守相關監管要求，幫助保險公司避免潛在的處罰並保持其運營誠信。

客戶信任：增強客戶對公司網路安全的信任，維護公司聲譽。

CRAF 需要做什麼工作？

固有風險評估：評估公司在未採取任何網路安全控制措施情況下的網路風險等級。

網路安全成熟度評估：根據固有風險等級評估現有網路安全措施的成熟度，並與應達到的水平進行比較。

基於威脅情報的攻擊類比 （TIBAS） 測試：主要目標是模擬真實的攻擊場景，基於最新的威脅情報來評估組織在面對特定攻擊者時的防禦能力。 生成的報告主要集中在組織的防禦能力、檢測能力和恢復能力上，提供戰略性的建議。

制定改進計劃：若評估結果顯示實際成熟度低於應達到的水準，需制定相應的改進或補救計劃。

定期評估与更新：固有風險評估和網絡安全成熟度評估應至少每三年進行一次。 在其業務性質或技術發生任何重大改變時作出評估。 保險人亦應在保監局認為適當時，應保監局要求進行特別評估。應最少每年測試一次其網絡安全框架的所有組成部分（滲透測試），以決定其整體成效。

提交安排：獲授權保險公司應於本網絡防衛評估框架生效日期起的12個月內（固有風險等級為高的保險人）及18個月內（固有風險等級為低或中的保險人），向保監局提交評估結果。 首次提交後，保險人應在其後每三年提交一次評估結果。 其中應包括，固有風險評估結果，網絡安全成熟度評估結果，對於固有風險等級為中或高的TIBAS工作中發現的管控原則差距。 若不遵守規定且未採取緩解措施，可能會影響保監局對本指引適用的獲授權保險公司的董事或控權人是否持續適當人選的看法。

信飛科技有限公司如何提供協助？

我們的網路安全專業團隊擁有豐富的經驗和知識，可以幫助公司為遵守新的 GL20 評估要求做好準備。

我們的服務範圍涵蓋從建議、營運到實施，其中以下主要服務直接滿足修訂後的 GL20 要求：

GL20 網路安全框架的風險評估，成熟度評估。

規劃、開展和執行類似於 TIBAS 的 紅隊模擬攻擊，根據網路威脅情報分析模擬機構面臨的各種的威脅，這反過來又為該機構提供了評估網路彈性成熟度的機會。

針對客戶的業務系統，進行滲透測試，挖掘系統内潛藏的漏洞。

提供安全運營服務，通過持續監測及早偵測網絡安全事件。

GL20 要求適用於所有在香港或從香港經營保險業務的授權保險公司，請隨時聯絡我們的團隊以取得進一步了解。