香港保險業監管局(IA)於2024年12月發佈了最新修訂的《網絡安全指引 GL20》,正式要求在港經營的認可保險公司採用 網絡韌性評估框架(Cyber Resilience Assessment Framework,簡稱 CRAF),以加強其整體網絡安全防禦能力。倘若未能遵從相關要求,更可能面臨金錢罰則。(詳細指引內容可參閱我們上一篇文章) 那麼,我們如何確定公司是否已符合這些最新的合規要求呢? 認識模擬攻擊測試(Breach and Attack Simulation, BAS) 今天,我們為大家介紹一項能協助保險公司應對 GL20 合規要求的關鍵技術 —— 模擬攻擊測試平台(BAS 平台)。 根據新版…
香港保險業監管局(Insurance Authority)於2019年發布了《網絡安全指引》(”GL20″),以規範和監管保險業,保護所有保單持有人免受網絡威脅。該指引設立了保險公司應具備的網絡安全最低標準,以及保監局在評估保險公司網絡安全框架有效性時使用的一般指導原則。為應對快速變化的新興技術和網絡安全威脅,保監局提議更新框架,並於2024年第一季度推出修訂版的GL20。此次更新涵蓋了一個新的GL20評估方法,將為保險公司提供更詳細的網絡風險管理指導。根據提案,對保險公司的評估包括如下內容: 固有風險評估(Inherent Risk Assessment,IRA) 保險公司需進行固有風險評估(IRA),以鑑定保險公司在網路攻擊的威脅下,能快速應對並回復,維持運作的水平,固有風險評估的內容包括計算保險公司的風險情況,然後評估其固有風險評級,將其評級分為低、中、高三個等級, 最終確定保險公司的整體固有風險評級,以分析保險公司的網絡安全應對狀況。 成熟度評估(Maturity Assessment,MA) 而成熟度評估的目的是確定保險公司的網絡安全態勢(Security Posture)的實際成熟度。保險公司須按GL20的評估框架,包括在網絡安全管理、保護、偵測、修復等方面定立網絡安全方案,並制定和實施改進藍圖,以達到預期的網絡安全態勢。 網絡攻擊模擬測試(Threat Intelligence Based Attack Simulation,TIBAS) 對於中等風險的保險公司,其網絡攻擊模擬測試應至少涵蓋三個端到端的網絡攻擊場景,對於高風險的公司,則需涵蓋五個場景。此次演練的一部分亦包括評估網絡安全系統、人員和流程。 與當前的GL20不同,修訂版GL20要求在推出後9個月內提交評估結果給保監局,並在此後每三年提交一次。保險公司應儘早開始進行評估活動,特別是需要外部諮詢的高風險或中等風險保險公司。 與我們聯繫以了解更多資訊並做出正確的決定。 電話:2168…