170 C-RAF 其實是一個銀行對風險的自我評估機制,以及衡量自身應對風險的成熟程度有多 高。換言之,評估要求有兩個大方向,一,是每家認可金融機構必須評估自身的風險, 透過所設計的「固有風險評估」的項目,去審視和評核本身的風險狀況。「固有風險 評估」之下,有5個評估分項,包括「技術」(Technology)、「輸送渠道」(Delivery Channel)、「網絡威脅過往紀錄」(Tracked Record on Cyber Threats)、「產品及 技術服務」(Products and Technology Services)和「機構特性」(Organization Characteristics)。例如,該銀行有多少名員工和客戶,分行數目有多少等,而這 5 個 分項裡又有各自不同數目的細項,需要銀行回答。二,是對自身「網絡安全成熟程度 評估」。 我們從參與「網絡防衛評估架構」並接受我們調研的 22 家銀行中,進行了統計分析,並 將之對應互相之間的網絡安全表現。筆者於本文闡述這項研究報告(《Cybersecurity For Financial Industry: An Analysis of the Cyber Resilience Assessment Framework》)的 一些主要觀察和發現。 C-RAF 問題數量含「玄機」 未詳述之前,須補充一點,我們亦將香港金融管理局設計的「網絡防衛評估架構」跟國 際上普遍應用的網絡安全管理和理論進行對照,發覺這個 C-RAF 的設計和要求是和國際 「接軌」的,做得不錯。 我們分析了參與調研的 22 家銀行的數據,發現一些很值得跟讀者和公眾分享的現象。這 些現象與「普通智慧」的理解有異。 在這個 C-RAF 評核裡,正如前文所述,有不少的評估分項,例如,在「固有風險評估」 項目之下便有 5 個評估分項,我們仔細分析金融機構在這些細項範疇裡,那一項做得 好,那一項做得不好。透過研究,我們最先觀察到的:若着眼於風險系數,即那一個最 高,便以為是呈現風險糸數最高的項目,也就是主要的風險源頭 ……,這個看法不一定 正確,因為風險系數有多高,往往取決於評估框架內要求回答多少個問題。具體來說, 在「固有風險評估」之下的「技術」分項,有 17 個回答細項,「輸送渠道」4 個;「網 絡威脅過往紀錄」7 個;「產品及技術服務」14 個;「機構特性」亦為 9 個。事實上,回 答愈多,計算得出來的風險系數也會愈高。純粹從金融機構自我評估出來的風險系數, 按系數高低作判斷,會出現一個誤導性的結論。 5 促資訊保安
RkJQdWJsaXNoZXIy NDk5Njg=