⾹港⾦融管理局(“⾦管局”)于 2020 年 11 ⽉发布了⽹络弹性评估框架 (C-RAF) 2.0,此后,持牌银⾏、有限制牌照银⾏和接受存款公司将⾄少接受⼀次此评估流程,并为下⼀轮 C-RAF 测试做准备。
固有风险评估(低/中/高):以明确的,反映银行营运价值、类型、体积及复杂性的标准作基础,评估银行总体网络风险。
网络成熟度评估 (基础/中等/高等):根据在每一个成熟度等级下的管控要求,从7个关键网络领域全面评估银行的管控方案。认可机构应根据固有风险评估的结果决定目标网络成熟度,然后进行成熟度评估。认可机构也应基于所鉴定的差距,分析、概括、以及决定改进行动在路线图的优先次序。
情报主导的网络攻击模拟测试(Intelligence-led Cyber Attack Simulation Testing,iCAST)。iCAST是端到端网络攻击模拟测试框架,利用情报主导的网络攻击情景,评估各银行对网络攻击的识别和响应的能力。