金管推銀行網絡防衞計畫

陳德霖表示,網絡防衞計畫是一項監管規定,將於下周向銀行發通告。

【星島日報報道】針對黑客攻擊銀行系統的情況愈趨活躍,金管局聯同銀行與其他界別推出「網絡防衞計畫」(CFI)。金管局總裁陳德霖昨於論壇表示,當局推出的CFI有三大支柱:設立「網絡防衞評估框架」、推動「專業培訓計畫」、建立「網絡風險資訊共享平台」,並於下周向所有銀行發出通告,列明CFI是一項監管規定,冀年底前落實人才培訓及資訊平台。 當局提出設立「網絡防衞評估框架」,陳德霖表示,當局將就框架的建議諮詢銀行界,為期3個月。他解釋,該框架的目的是制定一套具普遍性的風險為本框架,讓銀行評估自身的風險狀況;同時參照國際經驗,定出所需的防禦措施及保安水平,防範網絡攻擊,當局會要求銀行制定適當的管治安排和程序。 據了解,評估框架有兩方面:「自身風險程度」評估,以及網絡防衞能力「成熟程度」評估,前者旨在讓銀行從內部科技、過往遭受網絡攻擊的記錄等範疇,檢視銀行暴露於網絡世界的程度;後者在7個範疇評估銀行實際管理網絡風險的能力,包括偵測攻擊的措施、受襲時應變及恢復運作安排等。 陳德霖續稱,具體而言,當局會審視銀行能否有效偵測網絡攻擊並實施相應的保障措施,以及在遇襲時如何應對,和恢復正常運作的速度;他續指,如果發現銀行的實際網絡防衞能力未達標,金管局會與銀行跟進,盡快提升其網絡防衞水平。 提到網絡專才培訓,陳德霖坦言,本港缺乏網絡安全方面的合資格專才,當局正與英國網絡安全核證機構CREST緊密合作,確保該計畫是參照最先進的國際標準設計及制定。他透露,培訓及證書計畫共有三個專業水平級別,分別為「基礎」、「從業員」及「專家」級別,並將確保相關或同等經驗與專門知識得到適當承認。當局又與銀行公會及應科院合作,推出網絡風險資訊共享平台,供全港所有持牌銀行使用。