网络安全指引（9页）.pdf

1. 引言

1.1 本指引由保险业监管局（“保监局”）依据《保险业条例》（第41章）（“该条例”）第133条发出。保监局的主要职能是规管与监管保险业，以保障现有及潜在的保单持有人。本指引旨在订明获授权保险人在网络安全方面应达到的最低标準，以及保监局在评估保险人的网络安

全框架的成效时所採用的一般指导原则。

1.2 网络风险是保险人所面对最主要的业务运作风险之一，尤其是关乎保险人以数码和线上形式运作的业务。网络安全事故可导致保险人财务损失、业务中断、声誉受损，并為其带来其他负面影响。因此，本指引要求获授权保险人建立具防卫力的网络安全框架，以保障其业务数据及其现有或潜在的保单持有人的个人资料，并确保业务持续运作。

2. 释义

2.1 在本指引中，除文意另有所指外：

(a) “关键系统”就获授权保险人而言，指某个系统，而该系统的故障会令该保险人的业务运作受到重大干扰，或对该保险人向其现有或潜在的保单持有人所提供的服务造成重大影响；

(b) “网络风险”指以电子方式，包括技术工具和平台（例如电脑系统、手机应用程式、互联网及电讯网络等），在传输、储存、使用或处理数据的过程中所產生的任何风险。当中的风险包括数据违规与洩露、数据损失、由网络安全事件造成该等数据的实体损坏、因滥用和在未获授权的情况下存取数据而產生的欺诈行為、数据储存与传输引致的法律责任、以及该等数据的可用性、完整性和机密性；

(c) “网络安全”指关乎获授权保险人的系统和业务运作上的保安的策略、政策、标準、常规、科技及创新。网络安全包含以下各项的活动：降低威胁、减少安全漏洞、阻吓、4国际性协作、事故应变、防卫及恢復等活动；

(d) “网络安全事件”指威胁到获授权保险人的系统安全的事件，包括数据在电子形式下洩露、拒绝服务攻击、入侵受保护的资讯系统或数据资產、恶意破坏或窜改数据、滥用资讯系统、大规模感染恶意软件、网站窜改、以及影响联网系统的恶意程式；

(e) “海事相互保险人”指获授权保险人只经营其成员间相互承保对方（指船东、承租人或经营船舶者或其他与航运业务有关的人士）与海事相关的风险的保险业务