Deloitte專欄-台資銀行不可輕忽的香港網絡防衛計畫

隨著全球網路安全環境日漸複雜、數位金融交易市場及數據持續發展與成長,引發全球法律和監管聚焦,各國監管機構在資安與隱私保護法和要求正不斷發展,陸續祭出網路安全實務準測,在全球網路戰爭與攻擊不斷發生的今日,全球主要國家金融監管機構皆陸續發布網路安全規範,對金融業者之要求日趨嚴謹,使得近年來積極向海外發展的台資銀行將面對一道全新的區域性合規難關。

在政府新南向政策推動之際,不論是已設立據點或即將揮軍南下的台資銀行,除面對反洗錢議題外,也需兼顧隱私保護與網路安全防護等議題,另外應於今年底前完成的環球銀行金融電信協會(SWIFT)客戶安全計劃(Customer Security Programme)也將是另一項挑戰。隨著網路安全監管要求的發布,網安已成為金融機構重大營運風險,未來甚至可能演變為海外金融市場准入與業務競爭的障礙。

香港網絡防衛計畫:香港金融管理局(Hong Kong Monetary Authority,HKMA)近年來陸續透過監管政策手冊要求銀行健全其風險管理,面對日趨嚴峻的網路環境與日益攀升的網路安全風險,HKMA於2016年推出網絡防衛計劃(Cybersecurity Fortification Initiative,CFI),網絡防衛計劃核心三大支柱包含網路防衛評估框架(Cyber Resilience Assessment Framework,C-RAF)、專業培訓計劃(Professional Development Programme,PDP)及網路風險資訊共享平台(Cyber Intelligence Sharing Platform,CISP)。

HKMA期望透過實施網絡防衛計劃全面提昇香港金融體系之整體網絡安全防護水準,強化抵禦網路攻擊之能力,以鞏固香港作為亞洲國際金融中心之地位,其中專業培訓計劃及網路風險資訊共享平台已陸續於2016年底起開始實施,而網路防衛評估框架則分為兩階段實施,台資銀行關注的第二階段需2018年底前完成。

網路防駐評估框架C-RAF:香港金管局所發布之C-RAF係融合美國聯邦金融機構檢查委員會(FFIEC)所提出之網路安全評估工具(Cybersecurity Assessment Tool)及英國註冊道德安全測試員理事會(CBEST)所提出之情報主導的網路攻擊測試(Intelligence-led Cyber Attack Simulation Testing,iCAST)架構而形成的一套以「風險為基礎」的網路安全風險評估框架,其中FFIEC Cybersecurity Assessment Tool自2015年起已於全美銀行業全面實施,而CBEST iCAST則為英國英格蘭銀行所採用。

建議因應作法:香港金管局採用階段性方法推行C-RAF,第一階段挑選主要零售銀行、部分全球銀行等約30個香港當地金融機構作為優先適用對象,相關機構在今年9月前應完成網路固有風險及成熟度評估,其他金融機構則需要2018年底前完成。此外,固有風險評估結果為中或高之金融機構需依據iCAST之執行要求,利用情報主導的網路攻擊情境評估其對網路攻擊的識別和回應的能力,於期限內完成測試。

勤業眾信從協助台資銀行的經驗中歸納下列實施重點:一、依據香港分行營運型態及業務發展複雜性,評估固有風險胃納程度,反映銀行對網路防衛之成熟度需求。二、評估香港分行網路安全管理成熟度,從治理與內、外部環境之七大關鍵領域針對管理現況進行流程成熟度分析。三、強化香港分行網路安全管理能力,以達與風險相符的管理水準。

香港網絡防衛計劃明確展現香港金管局提昇金融機構網路安全管理水準之決心,面對此項變革,台資銀行若未及早因應,不僅會面臨網路安全合規風險,也將影響業務發展,台資銀行千萬不可輕忽,董事會及高階管理人員更應重視風險管理議題,採取適當措施及投入必要資源以持續提昇管理成熟度,確保台資銀行海外業務的健全發展。(本文作者吳佳翰為勤業眾信風險管理諮詢股份有限公司執行副總經理、林彥良為副總經理)

(工商時報)


推薦閱讀

發表意見
留言規則
中時電子報對留言系統使用者發布的文字、圖片或檔案保有片面修改或移除的權利。當使用者使用本網站留言服務時,表示已詳細閱讀並完全了解,且同意配合下述規定:
  • 請勿重覆刊登一樣的文章,或大意內容相同、類似的文章
  • 請不要刊登與主題無相關之內容
  • 發言涉及攻擊、侮辱、影射或其他有違社會善良風俗、社會正義、國家安全、政府法令之內容,本網站將會直接移除
  • 請勿以發文、回文等方式,進行商業廣告、騷擾網友等行為,或是為特定網站、blog宣傳,一經發現,將會限制您的發言權限或者封鎖帳號
  • 為避免留言系統變成發洩區和口水版,請勿轉貼新聞性文章、報導或相關連結
  • 請勿提供軟體註冊碼等違反智慧財產權之資訊
  • 禁止發表涉及他人隱私、含有個人對公眾人物之私評,且未經證實、未註明消息來源的網路八卦、不實謠言等
  • 請確認發表或回覆的內容(圖片)未侵害到他人的著作權、商標、專利等權利;若因發表或回覆內容而產生的版權法律責任將由使用者自行承擔,不代表中時電子報的立場,請遵守相關法律規範
違反上述規定者,中時電子報有權刪除留言,或者直接封鎖帳號!請使用者在發言前,務必先閱讀留言板規則,謝謝配合。