因應香港監管規範 台資銀行宜正視網絡防衛計劃

2017-09-07

(左起)
資誠企業管理顧問公司執行董事張晉瑞、
資誠聯合會計師事務所風險與控制服務主持會計師許林舜、
普華商務法律事務所合夥律師梁鴻烈

 

香港金融管理局(Hong Kong Monetary Authority, HKMA)為提高香港銀行業抵禦網絡攻擊的能力,宣布推出網絡防衛計劃(Cybersecurity Fortification Initiative),並納入監管規定,此規定影響眾多有在香港設立分行的台灣銀行業者。此網絡防衛計劃分做兩階段施行,第一階段,台灣僅有一間台資銀行在港分行列入執行名單,為因應第二階段所有銀行皆需在2018年底前完成的「網絡防衛評估框架」(C-RAF)評鑑,資誠聯合會計師事務所及資誠企業管理顧問股份有限公司於2017年9月7日舉辦「銀行如何因應香港金管局最新網絡監管規範」研討會,以分享C-RAF實務經驗,以及分享資誠PwC深入了解HKMA對C-RAF之解讀與要求程度,協助台資銀行面對全新評估框架。

資誠聯合會計師事務所風險與控制服務主持會計師許林舜致詞時表示,近年金融產業營運模式越來越仰賴網際網路,技術的創新應用讓金融產業提供的服務多元發展,然而網路的應用發展遠較網際安全技術的發展來的快速,導致金融業者正面臨嚴峻的網際安全風險。金融科技在技術創新的幫助下業績成長,罪犯也在利用技術創新的優勢,讓網際犯罪可以在任何時間和任何地點發生。

資誠企業管理顧問公司執行董事張晉瑞指出,香港金融管理局推出的網絡防衛計畫共有三大主要元素,分別是「網絡防衛評估框架」、「專業培訓計劃」及「網絡風險資訊共享平台」。

網絡防衛評估框架有別於傳統的監管要求,是第一個以「風險為本」的監管規定,由HKMA擔任監督者角色,檢視銀行防衛及應對網路攻擊的成熟程度,受監管對象必須先自行完成C-RAF評鑑,並對其結果及差異進行改善計劃的規劃,以及提交相關文件至HKMA進行審查,促使各銀行之網絡防衛能力最終達到與自己風險狀況相符的水平。

網絡防衛評估框架包含三大支柱且分做兩階段施行,第一階段,香港金管局挑選30間機構於2017年9月前完成C-RAF固有風險評估(inherent risk assessment)及成熟度評估(maturity assessment),若評估適用,則於2018年6月底前完成執行「網絡攻防模擬測試」(Intelligence-led Cyber Attack Simulation Testing, iCAST),第二階段的實施對象為所有其餘機構,於2018年底前完成固有風險及成熟度評估作業,網絡攻防模擬測試執行時間將由HKMA另行決定。

張晉瑞強調,與傳統風險評鑑方法不同的是,網絡防衛評估框架的固有風險係考慮現有環境的風險,且不考慮控制措施的結果;針對不同的固有風險等級,C-RAF定義了與風險狀況相對應的預期成熟度要求,銀行之網絡防衛能力最終須達到與自己風險狀況相符的水平;再者,C-RAF要求執行網絡攻防模擬測試(iCAST),這些都是目前台灣銀行業者不熟悉的監管要求及面臨的挑戰。

張晉瑞提醒,犯罪集團手法層出不窮,銀行未必有能力第一時間應付,「網絡防衛計劃」可以為台資銀行提供評估工具、人才培訓的指引,情報分享平台則可為銀行提供途徑,取得最新即時資訊科技的情報,建議台資銀行宜及早做好準備,以因應香港金融管理局的監管法規。

Contact us

楊 証凱

媒體聯絡人, PwC Taiwan

Tel: +886 2 27296666, x26610

關注我們