作者

中国工商银行(欧洲)有限公司巴黎分行总经理 金宁

中国工商银行(欧洲)有限公司巴黎分行副总经理 张文剑

中国工商银行(欧洲)有限公司巴黎分行科技部 孟庆龙

中国工商银行(欧洲)有限公司巴黎分行总经理 金宁

数字时代,信息和通信技术(ICT)大幅提高了金融市场的运作效率,但也使金融系统更容易受到网络威胁或ICT中断的影响。以欧盟地区为例,虽然ICT系统与数字技术的普遍应用已成为金融实体经营活动的核心特征,但其数字化弹性运营尚未得到很好的实现,也未能融入更广泛的运营框架当中。在此背景下,《数字运营弹性法案》(Digital Operational Resilience Act,DORA)要求金融机构及第三方供应商能够在遭受网络攻击或ICT系统发生中断时保护、检测、遏制及修复其ICT能力,以期为欧盟金融行业创建具有约束力的ICT风险管理框架,并提供了一致性规则以满足所有受监管金融实体的数字运营弹性技术标准,同时为关键ICT服务提供商建立了监督框架。

一、DORA的适用范围与发布背景

作为在所有欧盟成员国具有法律效力的一项法规,DORA草案发布于2020年9月24日,2022年11月10日获得欧洲议会通过,并拟于2025年1月17日正式生效实施。该法案不仅仅适用于金融机构,同时将提供IT和网络安全服务的金融公司等关键第三方也纳入其中,有效填补了第三方违规行为可能导致的风险漏洞。“数字运营弹性”即指金融实体通过直接或间接使用ICT第三方服务商提供的服务来确保其所需的全部ICT相关能力,并借助这些能力来解决所使用网络和信息系统的安全问题,以及持续提供高质量的金融服务(包括在ICT中断期间)。

在DORA出台之前,欧盟金融法规主要针对金融机构,允许它们通过分配资本来管理操作风险,但由于金融机构没有实际承担管理运营弹性的各方面任务,从而暴露了许多可以被网络犯罪分子利用的漏洞。对此,DORA超越之前的同类法规,涵盖了金融机构和其他受影响组织管理运营弹性的所有方面。对于银行机构而言,尽管实施DORA需要开展额外的工作来满足合规要求,但却可有效提高银行的业务运营弹性,从而更好地保护银行和客户的敏感数据。

二、DORA的五大技术支柱及要点

结合实际业务场景,DORA在五个领域为金融实体和ICT服务提供商制定了技术要求,并提出按金融实体的规模比例执行。具体而言,DORA明确了ICT风险管理框架、ICT事件及网络威胁上报机制管理、数字化运营弹性测试、ICT第三方服务提供商管理和网络安全相关信息分享等五大支柱,其中网络安全信息分享为自愿进行,鼓励但非必须。

1.ICT风险管理框架

在风险管理方面,DORA要求金融实体必须建立全面且记录完整的ICT风险管理框架,以便能快速、高效、全面地应对ICT相关风险,并确保高水平的数字运营弹性。具体而言,ICT风险管理框架应覆盖战略、政策、程序、ICT协议和工具等各个方面,以充分且适当地保护所有信息资产和ICT资产,包括计算机软件、硬件设备,以及所有与之相关的物理组件和基础设施,确保所有信息资产和ICT资产免受损坏,以及避免未经授权的访问或使用等安全风险。此外,ICT风险管理框架还应包括一份数字化运营弹性策略,并能够根据实施和监测中吸取的经验教训不断改进。

2.ICT事件及网络威胁上报机制管理

作为DORA的核心内容之一,ICT事件及网络威胁上报机制可使监管机构更快地响应网络威胁,同时帮助金融实体更好地了解不断变化的威胁形势。基于上述目标,金融实体不仅要定义和实施ICT事件管理流程,以便检测、管理和报告ICT事件,还需根据DORA中详述的标准以及欧洲监管机构制定的标准,对所有ICT相关事件和重大网络威胁进行记录和分类。其中,重大ICT相关事件必须向管理层报告,并在期限内使用欧盟监管机构定义的通用模型向主管当局申报。此外,金融实体也可以在自愿的基础上报告重大网络威胁。

3.数字化运营弹性测试

作为ICT风险管理框架的重要组成部分,由监管机构指定的重要金融实体需要至少每三年进行一次威胁主导的高级别渗透测试(Threat-Led Penetration Testing)。其中,数字化运营弹性测试不仅要明确方法、路径和工具等各个方面,而且对于支持关键或重要功能的所有ICT系统和应用程序应保持每年测试一次,同时确保该测试由独立的内部或外部团队实施;此外,还需通过明确相关流程和策略,确保测试期间发现的任何问题都可以得到分级、分类和解决,并定义实施恢复计划的审查和验证流程。

4.ICT第三方服务提供商管理

DORA引入欧盟监管机构对关键ICT服务提供商的直接监控机制,统一与第三方ICT服务提供商相关的风险管理要求,规定金融实体对于关键、重要功能的ICT服务提供商必须完成以下工作:一是制定与第三方ICT服务提供商相关的风险策略;二是制定针对关键或重要功能ICT服务的使用政策;三是维护与第三方ICT服务提供商签订的所有合同相关的信息登记册;四是在建立关系之前进行尽职调查,特别是评估集中度风险;五是在合同中纳入最低标准条款,特别是有关终止的条款;六是对外包商及外包服务进行持续监控。

5.网络安全信息分享

在信息安全领域,DORA鼓励金融实体在受信任的金融实体社区内共享网络威胁情报和信息,以进一步提高金融实体对网络威胁的认识,持续提升金融实体的风险防御能力与威胁检测水平,以及不断完善相应的缓解、响应和恢复机制。

三、银行业落地五大支柱的可行建议

1.建立ICT风险管理框架并定期进行更新

结合法案内容,银行可参考ISO有关标准及信息安全管理体系,通过系统方法构建内部治理和内控机制框架,全面覆盖战略、政策、程序、ICT协议和工具等内容,并详细说明具体的安全保护措施。而且,鉴于网络攻击真正的目标是访问业务数据,上述措施不仅要能够保护银行的应用软件和物理设备,还需要保护其上的各种数据。

具体而言,银行应统筹制定包含以下内容的数字运营弹性策略:一是解释ICT风险管理框架如何支持金融实体的业务战略和目标;二是根据金融实体的风险偏好,通过分析ICT中断影响来确定其相应的风险容忍度;三是明确信息安全的具体目标,包括关键绩效指标和关键风险指标;四是解释ICT参考架构以及实现特定业务目标所需的任何更改;五是针对性设立不同机制,以更好地检测ICT相关事件,以及防止风险传播;六是结合重大ICT相关事件的数量和预防措施的有效性,明确当前的数字运营弹性状况;七是实施数字运营弹性测试,并明确披露ICT相关事件的沟通策略;八是根据集团规模,制定全球范围内的多供应商策略。此外,在实际操作中,银行还需要定期(至少每年一次)对该框架进行更新,并在发生重大ICT相关事件或根据相关数字运营弹性测试及审计流程得出了整改结论,以及在监管机构指示修改时,能够立查立改、尽快完成。

2.建立资产保护和弹性机制

结合DORA对于资产保护的相关要求,银行制度流程应满足如下原则:一是确保数据传输方式的安全性,减少因数据损坏(或丢失)、未经授权的访问和技术缺陷等引发的风险;二是防止数据可用性不足、真实性和完整性受损、机密性泄露和数据丢失等事件的发生;三是确保数据免受管理不善、人为错误等导致的相关风险;四是制定完善的网络和基础设施管理办法,包括在发生网络攻击时隔离受影响信息资产的自动化机制;五是为防止发生病毒感染,网络连接基础设施应基于允许即时切断或分段的方式设计,并同步建立监测机制、事件响应流程及自动警报机制等。

3.制定ICT业务连续性制度

在制定ICT业务连续性制度时,银行应着重考虑以下几点内容:一是关注重要功能的连续性,确保能对所有与ICT相关的事件进行快速有效响应,以限制损害并优先恢复业务活动;二是启动专门计划来遏制不同类型事件的以防止造成进一步损害,并量身定制相应恢复程序;三是在评估影响和损失的基础上,明确与内部团队、外部利益相关者的沟通措施,并制定业务连续性演练、数据备份与恢复、危机沟通计划等相关方案。

4.建立ICT事件管理流程

根据DORA的要求,银行针对ICT事件的管理流程应包括以下内容:一是设置预警指标,根据事件的优先级和严重程度以及受影响服务的关键性,对事件进行识别、跟踪、记录和归类,并分配对应的角色和职责;二是制定与员工、外部利益相关者和媒体的沟通计划,确保及时向高级管理层报告重大事件,并向相关管理机构进行通报;三是建立事件响应程序以进一步减轻影响,并确保服务及时、安全地投入运营。

此外,DORA根据事件严重程度明确了两大类ICT事件及网络风险分级分类标准依据(见表1),以及在发现ICT事件或网络威胁后向监管机构上报的具体要求:一是初步通知,即在事件被归类为重大事件的4小时内,以及在事件发现后的24小时内须完成上报;二是中期报告,即在初步通知上报后的72小时内须完成上报,且一旦原始事件的状态发生重大变化,或重大ICT事件的处置信息发生新的变化,应立即提交中期报告,随后在每次获得相关状态更新时以及在主管部门提出具体要求时,酌情提交更新通知;三是最终报告阶段,即在提交中期报告后的1个月内完成根因分析(无论是否已实施缓解措施),并在有实际影响数据可以替代评估数据时提交最终报告。

表1 ICT事件及网络风险分级分类标准依据

5.执行数字运营弹性测试

在进行数字资产弹性测试之前,银行应提前识别所使用的数字资产并绘制信息系统总体视图,以实现对机构内部资产的全面了解,同时在后续过程中按关键性、风险级别对其进行分类。根据DORA的规定,银行应确保至少每年对支持关键或重要功能的所有ICT系统和应用程序进行适当的测试,测试内容则可以分为一般测试和高级测试两种。其中,一般测试包括漏洞评估和扫描、开源分析、网络安全评估、差距分析、物理安全审查、问卷和扫描软件解决方案、可行的源代码审查、基于场景的测试、兼容性测试、性能测试、端到端测试和渗透测试等,高级测试则主要指基于风险的渗透性测试。

6.ICT第三方运营商风险管理

第三方运营商风险管理是DORA的核心内容之一,DORA特别强调了与ICT服务提供商相关的风险管理措施。对于银行而言,ICT服务提供商管理工作既需要信息安全部门的参与,也需要法律合规部门配合。同时,与其他法案条款类似,在第三方运营商风险管理方面,DORA同样要求银行“根据比例原则,考虑到依赖关系的性质、范围、复杂性和重要性”以及按这些安排产生的风险来管理第三方服务提供商。因此,在应用DORA相关规则时,银行需根据实际情况作出恰当的判断,并从制定第三方风险管理策略、制定签订合同协议前应遵循的准则、制定关键服务第三方运营商退出策略以及了解监管机构对于关键服务提供商的要求等方面,不断完善ICT服务提供商管理体系。

7.培训与意识提升

为更好落实DORA的相关要求,银行应制定ICT安全意识和数字运营弹性培训计划,并确保相关培训适用于所有员工和高级管理人员,且能够与其职能范围相适应。在适当情况下,银行还应将ICT第三方服务提供商纳入相关的培训计划。例如,在员工培训方面,银行可定期为员工提供有关DORA要求、ICT风险管理和事件响应程序的培训,并确保所有员工了解他们在维持运营弹性方面所发挥的作用。

8.ICT风险管理检查与监督

在监督检查方面,银行应将ICT风险管理纳入三道防线进行管理,定期由内部或外部审计人员对ICT风险管理工作进行审计。审计人员可预先确定对ICT风险管理开展审计和检查的频率以及需要审计的区域,并严格遵循与监管指导方针一致的审计标准,对银行实施的ICT应对和恢复计划的内容、银行的数字运营弹性战略的实施效果等进行审计。同时,基于内部审计结论,银行还应该建立正式的跟进程序,包括对关键ICT审计发现的问题进行及时验证和整改,确保验证流程及执行情况的正确性,并编写详细的审计报告。DORA要求,内部审计师必须“在ICT风险管理方面具有足够的专业知识和技能”。

综上所述,DORA框架可在保护金融数字基础设施方面发挥出至关重要的作用。作为重要的金融实体,银行不仅要全面做好DORA的实施和落地工作,还应在必要时积极与外部资源展开合作。同时,第三方ICT服务提供商也应为即将到来的合同要求变化做好准备。此外,通过与DORA规定对标,银行可对ICT风险、网络攻击风险、业务连续性风险以及第三方服务器供应商风险等进行一次全面的梳理自查,从而持续提升自身的网络安全防护能力、应急处置能力和ICT风险管理能力。

本文拟刊于《中国金融电脑》

声明:本文来自中国金融电脑,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。