上周(2019年11月28日),欧洲银行局(EBA)发布了题为“关于信息通信技术和安全风险管理的EBA指南”的报告的最终版本(指南)( 链接这里)关于金融机构(FIS)信息和通信技术(ICT)和安全风险的缓解和管理。我们突出以下一些关键的外卖。

背景

EBA于2017年发布了先前版本的指南。指导方针将纳入并废除2017年指南的指导方针 2020年6月30日生效。该指南还旨在与2019年9月底生效的外包指南一起阅读。

指导方针旨在协调对信息通信技术和安全风险管理的要求。

他们的范围将涵盖:

  • 信用机构和投资公司(如欧盟资本需求指令所定义)所有活动
  • 付款服务提供商(根据经修订的付款服务指令)进行付款服务

从指南亮点

  • 比例为 - 作为一个起点,FIS应该以比例的方式实施指导方针,并考虑到他们的业务,内部组织以及服务和产品的性质,范围,复杂性和风险的大小,而且FIS提供。
  • 治理与战略 - 每个FI的管理机构应确保组织内部有足够的内部治理和内部控制框架。其他措施包括:对准ICT策略与FI的整体业务战略;确保员工足够,受过培训,以支持他们的ICT业务需求;并分配充足的预算来实现这些目标。重要的是要注意管理熊 总体问责制 for implementation.
  • ICT和安全风险管理框架 - 指导方针要求FIS为管理和监督ICT和安全风险的管理和监督责任分配 独立和客观控制功能。 FIS应识别并映射其业务职能,并根据此基于的支持流程和信息资产 企业关键性 每个功能。 FIS还应进行风险评估,以确定如何减轻风险,或者是否有必要进行变化。
  • 第三方提供商 - 为了保证ICT服务的连续性,FIS还应确保与第三方(而不只是外包)的合同和服务水平协议符合安全有关的目标,例如最低网络安全要求。同样,应建立声音业务连续性管理流程。这包括进行并记录“业务影响分析”,并开发短期和长期响应和恢复计划。业务连续性措施也很重要,以减轻第三方提供商的失败,这为FIS的业务职能提供了重要支持。

评论

在我们的指导方针中有两点。

首先,“比例”的概念。虽然在欧盟规则中不是一个新的概念,但将其应用于指南的实施意味着在一组FIS中镀金,甚至是一个FI本身就不可能。就自己的风险胃口,信息通信技术和安全风险以及每个企业职能而需要考虑。因此,难以复制其他人在街上做什么。

其次,开展合理的业务连续性影响分析是我们在谈论“业务恢复力”的概念相对新的概念时,我们看到了英格兰银行推荐的东西。

我们不期望在年底之前发布的指导方针。相反,我们期待他们被搁置并替换了一系列的操作弹性要求,将巩固这一概念带来的挑战,包括从第三方关系(如外包)和网络风险等。

看看欧洲金融监管机构(包括英格兰银行似乎在这方面领先地领导的方式)将会有趣,并响应指导方针,特别是他们是否将继续努力制定具体的业务恢复力规则。

暂时,FIS应该依靠指导方针提高他们的信息通信技术和安全风险管理框架,并在准则2020年6月30日生效之前。我们可以帮助解决这个问题,所以请联系。