香港保險業監管局GL20簡介
GL20是香港保險業監管局(IA)發布的香港保險公司監理的指引。具體而言,它為保險業務的開展提供了指導,並重點關注以下領域:
- 公司管治: 建立保險公司內部管治結構和流程的最佳實務。
- 風險管理: 概述對風險管理框架的期望,以確保保險公司充分識別、評估和管理風險。
- 內部控制: 推薦有效的內部控制系統,以保護資產並確保財務報告的完整性。
香港保險業監管局(IA)網路安全指引修訂 (GL20)
了解修訂後的GL20指南中的新網路安全標準,這裡介紹一下與先前版本相比的幾個關鍵變更:
- 網路彈性評估框架 (CRAF):新版本包括 CRAF,提供有關風險評估和控制原則的全面指南。該框架旨在幫助保險公司有效實施其網路安全措施。
- 評估要求:保險公司現在需要完成三類評估:
- 固有風險評估(IRA)
- 成熟度評估(MA)
- 基於威脅情報的攻擊模擬 (TIBAS) (適用於高或中固有風險水準的保險公司)
- 文件和提交:保險公司必須在生效之日起十二個月內向保險業監管局提交評估結果以及理由和補救路線圖。所有提交應於 2025 年 12 月 31 日完成。
- 參與外部顧問:對於高或中固有風險等級的企業,必須聘請外部顧問進行評估。
- 擴大評估範圍:修訂後的指南擴大了範圍,涵蓋支援保險公司在香港運營的所有系統、基礎設施(本地和雲端)、流程和人員。
網路彈性評估框架 (CRAF)
香港保險業監管局在修訂後的GL20指南中引入的網路彈性評估架構(CRAF)包括三個主要評估:固有風險評估(IRA)、成熟度評估(MA)和基於威脅情報的攻擊模擬(TIBAS)。
1. IRA
2. MA
3. TIBAS
固有風險評估
IRA 根據各種指標和評估標準,評估保險公司網路安全姿勢的固有風險等級。該評估有助於保險公司了解他們面臨的網路威脅以及對其營運的潛在影響。 IRA 的整體固有風險評級為低、中或高
成熟度評估
MA 評估保險公司網路安全控制和實務的成熟度。它涉及根據指南中概述的一組控制原則評估保險公司的網路安全姿勢。該評估確定了目前網路安全框架中的差距,並要求保險公司製定補救路線圖以解決這些差距並提高其控製成熟度水平
基於威脅情報的攻擊模擬
具有中或高固有風險水準的保險公司需要 TIBAS。該評估涉及根據與保險業相關的威脅情報來模擬現實世界的網路攻擊。此模擬測試保險公司的網路安全系統、流程和人員,以評估他們偵測、回應網路事件和從網路事件中復原的能力。對於中等風險的保險公司,模擬必須涵蓋至少三種攻擊場景,而高風險的保險公司則必須涵蓋五種攻擊場景
CRAF提交協議
授權保險公司必須在以下期限內向保險業監管局(IA)提交評估結果:
- 12個月 適用於高固有風險評級的保險公司。
- 18個月 適用於低或中等固有風險評級的保險公司。
首次提交後,保險公司應每三年提交一次結果。提交的內容應包括:
- 固有風險評估結果:
- 整體固有風險等級及單項指標等級。
- 支援評級的相關文件和資訊。
- 網路安全成熟度評估結果:
- 整體網路安全成熟度水準與個體控制原則水準。
- 確定改進/補救計劃的差距,包括行動點和目標完成日期。
- 基於威脅情報的攻擊模擬 (TIBAS) 結果 (對於中或高固有風險評級):
- 透過描述和風險評級確定 TIBAS 練習中的差距。
- 附加資訊:
- 保險監管局合理要求的任何其他資訊。
結果,包括保險監管局規定的完整評估模板,應由保險公司的首席執行官或高級行政人員以及負責進行評估的評估員和/或驗證員審查和簽署。
我們的評估服務
我們提供全面的評估服務,幫助保險公司遵守最新版本的保險業監理局網路安全指南 (GL 20)。我們的方法包括:
我們的專家團隊使用先進的工具和方法來確保您的網路安全措施符合 GL 20 要求,協助您實現合規性並加強整體安全諮勢。
ISO 27001 諮詢服務
我們提供全面的 ISO 27001 諮詢服務,協助您開發符合 ISO 27001 標準的有效資訊安全管理系統 (ISMS)。透過與 ISO 27001 保持一致,您可以增強對 GL 20 的合規性並採用全球最佳實踐,從而更好地幫助您的組織應對不斷變化的網路威脅和監管要求。在我們的支援下,您可以有效地獲得 ISO 27001 認證,增強您的安全狀況並贏得客戶和利害關係人的信任。
造訪我們的網站 https://cassolution.com/what-is-iso-iec-27001 了解更多
如需了解有關 GL 20 流程的更多信息,請填寫下面的查詢表,我們將盡快與您聯繫。