【網絡安全】合規=安全?全面網絡風險評估才是皇道
文章2024年8月30日
最近,本港多間企業和機構遭黑客入侵,被勒索或騙取驚人款項,令人嘩然,也頓時令不少高管提高警覺,重新審視公司的網絡安全防護措施,並希望透過網絡保險來轉移風險和減少潛在損失。然而,原來不少公司因缺乏適當的網絡安全措施而被評為高風險,被保險公司拒保。
今時今日,企業面對越來越先進和繁複的網絡攻擊風險,對供應鏈中的系統和資料構成重大威脅。一般的企業都會根據行業合規框架制定網絡安全措施,理論上已經可以為企業提供基本保障,亦會受保險公司認可,此類合規措施通常包括:
- 多重身分認證
- 特權存取管理控制和程序
- 漏洞和修補程式管理程序
- 使用監控和檢測工具,例如資訊安全監控中心
- 安全資訊與事件管理
- 端點偵測與回應
- 事故回應機制及測試
- 穩健並有定期測試的備份解決方案
如果企業無法向保險公司提供上述合規措施的證明,保險公司則幾乎不能提供任何網絡保險保障。即使企業看似已做足基本功夫,但因應不同行業和營運模式,所需的風險評估亦有所迥異,這也是保險公司越來越重視的一環。
故此,企業在落實網絡合規措施以外,亦應進行全面的網絡風險評估,就最新市場形勢評估網絡事故對公司財務、營運、資料數據、系統等的潛在影響,從而制定切合需要的風險防範措施。在考慮投保網絡保險時,企業亦應向保險公司及保險經紀提供這些風險評估報告,促進雙方的討論,對釐定承保範圍、保額和保費也更為有利。
網絡世界瞬息萬變,要作出有效的安全措施及風險評估,企業或需依賴專業諮詢服務。蘇黎世樂意為各大中小企業提供網絡安全建議和風險評估,請按此了解我們的方案,或向網絡風險主管Ruiwen Wan查詢 (ruiwen.wan@hk.zurich.com)。
資料來源:
Risk assessments are essential for cyber resilience and insurance