MENU

陶義德 和 羅成軒

澳門金融管理局（AMCM）最近發布了新的保險業網絡安全指引。

該指引與保險業務中的大多數運營機構有關，特別是與獲授權保險公司、再保險公司、養老基金管理公司、保險經紀人和公司中介機構有關，主要目的是應對日益嚴重的網絡攻擊威脅，並增強針對相應的防禦機制。 為此，新的指引為澳門保險業提供了一套網絡風險管理方面的網絡安全控制及措施，運營機構必須採用及定期評估該措施。

應當指出，該指引著重於運營機構必須採用措施的八個主要領域，分別如下：

• 管治: 與運營機構面臨的其他形式風險之有效管理保持一致，妥善管治是妥當進行網絡風險管理的關鍵。運營機構應建立、實施及增強其管理網絡威脅的方法。因此，應建立清晰及全面的網絡防衛框架，且以網絡防衛策略為指導，並界定網絡防衛目標及為實現該等目標訂明人員、流程及技術要求。此外，建立董事會及高級管理層（如有）的明確職能及職責，及營造認識網絡安全重要性的良好文化亦同樣重要。
• 識別: 倘若沒有妥當了解運營機構生態系統，運營機構在實施網絡安全控制時可能會面臨覆蓋範圍不足的風險。運營機構應構建組織知識管理，以識別和分類業務流程、系統、人員、資產、數據及外部依賴。通過了解業務背景、支持關鍵功能的資源及相關網絡風險，運營機構可集中及優先考慮其工作重點，使其與風險管理策略保持一致。
• 防護: 倘若對系統及流程沒有足夠的安全控制，則數據及策略的機密性、完整性及可用性可能會受到損害。運營機構應實施妥當的保障措施，以確保關鍵服務的提供及控制潛在網絡安全事件的影響。
• 偵測: 及時偵側可使運營機構有適當的準備時間來部署針對網絡安全事件的對策。運營機構應界定適當活動，以識別網絡安全事件的發生。
• 應對及恢復: 運營機構需控制及減少網絡安全事件的影響。運營機構應制定針對網絡安全事件的應對計劃，及任何在網絡安全事件發生期間受損服務的復原及恢復計劃。
• 測試: 運營機構應嚴格測試其網絡防衛框架要素，以確定其總體有效性。運營機構應採取妥善測試機制，以識別與既定防衛目標之間的差距，及為獲授權網絡風險管理的實體提供可靠和有意義的信息。
• 態勢感知: 高度態勢感知可大大增強獲授權實體對理解及防止網絡事件的能力，及有效地偵測、應對無法預防的網絡攻擊及從中恢復。運營機構應主動監控網絡威脅形勢，並參與信息共享計劃，以進一步增強獲授權實體的網絡防衛能力。
• 學習及發展: 隨著網絡威脅的迅速發展，運營機構需要有一個適應網絡防衛框架。運營機構應灌輸網絡風險意識的文化，持續地重新評估及改進組織中各個級別的網絡防衛態勢活動。

新的指引包含上述領域的詳細說明（特別是與採取措施有關的領域），AMCM期望運營機構盡早採取此類行動，同時制定及實施與本指引一致的有效網絡安全管理。但是，儘管指引明確決定了實施有關控制的方法或特定技術，AMCM期望運營機構能夠根據每個運營機構的網絡風險狀況實施。當評估其風險狀況時，應考慮以下領域： (i)技術和連接類型； (ii)傳遞渠道； (iii)在線/移動產品和技術服務；(iv)組織特點； (v)外部威脅。

倘若獲授權運營機構是其總部／地區辦公室為網絡安全管理提供支持的海外保險實體的分支機構，亦會期望其能證明其措施能夠滿足該指引的要求。

儘管沒有制定採用本指引要求的時間表，AMCM期望運營機構盡快遵守相關指引。

鑑於上述情況，應徵求法律顧問的意見，充分理解及遵從指引對運營機構的要求，以符合AMCM的期望。