欧盟《数字运营弹性法案》下ICT风险管理框架建设研究

作者

中国工商银行(莫斯科)股份公司副总经理 张文剑

中国工商银行（欧洲）有限公司巴黎分行科技部 孟庆龙

随着数字时代的迅猛发展，金融行业正经历深刻的数字化转型。在此过程中，信息通信技术（ICT）逐渐成为推动金融行业数字化转型的重要动力。然而，ICT的大规模应用也使金融行业面临前所未有的网络威胁和ICT风险挑战，其运营弹性正不断遭受各种网络威胁与ICT中断的严峻考验。其中，ICT风险可能给银行带来重大的审慎风险，甚至危及银行的生存。为应对这些挑战，欧盟发布了《数字运营弹性法案》（DORA），为欧盟金融行业ICT风险管理制定了强有力的框架及规范要求。DORA的发布为欧盟范围内所有银行应对各种类型的ICT相关干扰和威胁指明了方向，也为我国金融行业加强ICT风险管理框架建设，应对不断演变的网络安全威胁，确保金融服务的连续性和完整性提供了有益参考。

一、DORA对ICT风险管理框架的要求

根据DORA规定，银行应建立全面且文件齐备的ICT风险管理框架，以便迅速、高效、全面地应对ICT风险，确保业务运营具有高度的数字化弹性。该框架至少应包括必要的策略、政策、流程、ICT协议和工具，以充分保护所有信息资产和ICT资产，包括计算机软硬件、服务器以及所有相关的物理组件和基础设施（如场地、数据中心和敏感指定区域），防止其遭受损坏和未经授权访问或使用等风险。

银行应根据ICT风险管理框架，采用适当手段最小化ICT风险的影响，同时将ICT风险的管理与监督责任分配给起到控制作用的部门，并确保其具备适当的独立性，以避免利益冲突。ICT风险管理功能、控制功能和内部审计功能应根据三道防线模型或内部风险管理与控制模型保持适当的分离和独立。

此外，银行ICT风险管理框架应包括一份数字化业务弹性策略及其具体实施方式，并可在集团层面制定一个全面的ICT多供应商策略，说明对ICT第三方服务提供商存在的关键依赖关系，需要解释采购ICT第三方服务提供商的合理性。银行还应对ICT风险管理框架进行记录并至少每年审查一次，同时定期接受内部审计，与银行的审计计划保持一致。审计员应具备充足的ICT风险知识、技能和专长，并保持适当的独立性。ICT审计的频率和重点应与银行的ICT风险相匹配。

二、银行建设ICT风险管理框架的方法

基于DORA对ICT风险管理框架的要求，银行可以从以下几个方面建设ICT风险管理框架。

1.建立ICT风险治理和组织架构

建立ICT风险管理框架是DORA的重要内容。在实践中，银行可采用“三道防线”模型构建ICT风险治理和组织架构。

第一道防线由运营团队组成，主要负责制定银行ICT策略，并将其作为总体战略的一部分报送管理层审批；监督银行ICT策略的实施；对日常ICT风险进行监控、处理，采取适当的技术或组织方法进行ICT风险管理。

第二道防线由风险管理和合规团队组成，负责监控第一道防线，包括创建监控流程、实施整体风险管理策略、确保所有职能部门按照风险管理政策运作。

第三道防线由独立的内部审计师组成，负责审查ICT风险管理功能、合规功能，并确保其独立性和客观性。银行应遵循监管相关要求，将管理及监督ICT和安全风险的责任分配给具有控制功能的部门。控制功能应包括风险管理功能、合规功能和内部审计功能，其中，风险管理和合规功能应受到内部审计功能的审查。内部审计功能应具备独立性，并能依据风险为本的原则，审查银行所有ICT和安全相关活动（包括外包活动）和部门，确保其符合银行的内部政策、流程以及外部要求。

此外，银行管理层应制定确保数据高可用性、真实性、完整性和保密性的政策；明确ICT相关职能的职责和责任，并建立适当的治理安排，以促进这些职能之间的沟通和协调；制定和批准相关策略和计划，并定期审查和更新这些政策和计划；指定一名高级管理层成员监督相关风险敞口和文件，管理层成员应持续更新知识储备并不断提升相关技能，以了解和评估ICT风险及其对银行业务的影响。所有这些要素都需要明确定义在正式文件中。

2.制定ICT风险管理相关制度、流程

银行应制定涵盖ICT风险管理、资产管理、加密技术、操作安全、项目及变更管理、物理和环境安全、意识培训、网络安全等相关内容的ICT风险管理制度和流程（见表1），并将之纳入ICT风险管理框架。这些制度、流程必须详细说明保护组织ICT和信息资产的措施，以确保网络安全，维护数据的可用性、真实性、完整性和保密性。

表1 ICT风险管理的政策、流程

ICT风险管理的制度和流程应包括以下所有内容：明确ICT风险容忍度；进行ICT风险评估的流程和方法，识别影响或可能影响所支持的业务功能、支持这些功能的ICT系统和ICT资产，以及衡量ICT漏洞被威胁利用的潜在影响和可能性的定量和定性指标；识别、实施和记录ICT风险评估所需的处理措施，包括使ICT风险降至风险容忍度所需的ICT风险处理措施；关于在实施ICT风险处理措施后仍然存在的ICT风险，包括识别剩余ICT风险的规定、接受超出银行风险容忍度的剩余ICT风险以及评估过程中分配角色和责任的规定、接受剩余ICT风险的清单及接受这些风险原因的解释、至少每年评估接受的剩余ICT风险的规定；监控银行ICT风险和网络威胁环境，包括内外部漏洞威胁以及银行ICT风险的变化，及时发现可能影响其ICT风险状况的变化；关于确保银行业务策略和数字业务弹性策略的变更等相关规定。

3.识别ICT资产和ICT风险

银行应识别、分类并充分记录所有由ICT支持的业务功能、角色和职责，支持这些功能的信息资产和ICT资产，以及它们在ICT风险方面的角色和依赖关系。根据DORA要求，识别工作是ICT风险管理框架中的重要一环，主要包括资产识别、风险识别、第三方服务识别以及至少每年一次的审查。

（1）资产识别

资产通常可分为信息资产（如机构内的流程、商业活动、业务信息）和ICT资产（如软硬件资产、网络资产、基础设施）。资产识别就是要识别所有信息资产和ICT资产，包括远程站点、网络资源和硬件设备，并标注关键资产，绘制信息资产和ICT资产的配置及其相互之间的链接和依赖关系。

（2）威胁识别

银行应根据实际情况识别威胁及其来源，包括自然原因或人为原因导致的威胁。除需对威胁进行整体识别之外，还需要对其进行分类研究，根据威胁的相关性进行识别和定位，分类可能包括未授权行为、物理损坏、技术故障、信息盗取等。

（3）第三方服务识别

银行应识别并记录所有依赖ICT第三方服务提供商的流程，以及与支持关键或重要功能服务的ICT第三方服务提供商之间的相互联系。

（4）已有安全措施识别

银行可以通过调研包含处理流程、相关手册、风险报告等内容的文档，和系统负责人、风险负责人进行访谈，现场调研实际处理流程及安全方法，定期回顾检查等方式，识别已经存在的安全措施。

（5）漏洞识别

漏洞识别是指识别出存在于资产或安全方法中可被外界攻击利用的漏洞。银行应持续识别所有ICT风险来源，特别是与其他银行相关的风险暴露，评估与其ICT支持业务功能、信息资产和ICT资产相关的网络威胁，同时至少每年审查一次影响它们的风险情景。虽然漏洞本身不会造成损害，但应识别并监控其变化。漏洞可能与资产的属性有关，这些属性的使用方式或目的可能与购买或开发资产时的预期不同，需要考虑不同来源的漏洞，如资产内在或外在漏洞。

（6）后果识别

后果识别是风险识别中的重要步骤，银行需要识别发生事件时的后果，包括调研和修复时间、无法工作时间、机会损失、健康和安全、恢复损失的经济支出、企业形象等。

4.制定数字运营弹性策略

ICT风险管理框架必须包含一个数字运营弹性策略，明确为应对风险和实现特定目标采取的方法。弹性策略的主要内容包括：解释框架如何支持银行的业务策略和目标；根据银行的风险偏好确定ICT风险容忍度，分析ICT干扰的影响容忍度；明确信息安全目标，包括关键绩效指标和关键风险指标；解释ICT参考架构以及为达到特定业务目标需做出的更改；概述用于检测ICT相关事件的不同机制，预防其影响并提供保护；根据报告的严重ICT相关事件数量以及预防措施的有效性，证明当前的数字运营弹性状况；实施数字运营弹性测试，概述需要披露的ICT相关事件的沟通策略。

银行需要监控其数字运营弹性策略的实施效果，包括映射ICT风险的发展情况，分析事件的频率、类型、规模和演变，并重点关注网络攻击及其模式。数字运营弹性策略应通过重大事件后的强制审查、激活业务连续性计划和应急恢复计划遇到的困难、网络威胁监控、信息共享安排和运营弹性测试等的经验进行不断改进。此外，应至少每年向管理层提交一次报告 ，内容涵盖前述各点的结论以及建议。

5.管理ICT第三方风险

银行应将ICT第三方风险纳入ICT风险管理框架，并按照以下原则进行管理。

(1)责任原则

使用ICT服务进行业务运营并签订合同安排的银行，在任何时候都应遵守和履行DORA和适用的金融服务业法律的所有义务，承担全部责任。

(2)比例原则

比例原则是指金融机构根据机构规模，风险情况，服务、活动、运行操作的规模、复杂程度等按比例实施法案相关条款。根据比例原则，考虑以下因素：一是与ICT相关依赖关系的性质、规模、复杂性和重要性，二是与ICT第三方服务提供商签订的合同安排中使用ICT服务产生的风险，以及可能对金融服务连续性和可用性的潜在影响。

（3）定期审查原则

银行应采纳并定期审查ICT第三方风险策略，并考虑适用的多供应商策略。ICT第三方风险策略应包括ICT第三方服务提供商支持的关键或重要功能的信息技术服务使用政策。管理层应根据银行的整体风险概况、业务服务的规模和复杂性，定期审查与ICT服务支持的关键或重要功能相关的合同安排中的风险。

（4）信息登记原则

银行还必须维护和更新“与所有使用ICT服务的ICT第三方服务提供商签订的合同安排有关的信息登记册”，即银行应拥有整个ICT提供商生态系统的完整清单，能清楚区分支持关键功能和非关键功能的供应商，并在监管部门要求时提供此登记册。

（5）事前评估原则

在签订使用ICT服务的合同安排之前，银行应评估合同是否覆盖支持关键或重要功能的ICT服务；评估是否满足合同签订的监管条件；识别并评估与合同安排相关的所有风险，包括该合同安排可能加剧的ICT集中风险；对潜在的ICT第三方服务提供商进行全面尽职调查，并在选择和评估过程中确保ICT第三方服务提供商合适；识别并评估合同安排可能导致的利益冲突。

6.定期审查ICT风险管理框架

根据DORA，银行需记录和审查ICT风险管理框架，确保其持续改进。作为审查过程的一部分，还应生成审查结果报告，根据要求将该报告发送给主管部门。报告应协助银行正确记录和实施所做的修改或修订，并应作为定期和持续审查ICT风险管理框架的基础。

三、总结

ICT风险管理框架是DORA的基石，反映了其在银行运营弹性中不可或缺的作用。通过实施全面的ICT风险管理框架，银行可以保障运营、保护敏感数据并确保关键功能的连续性。银行管理层必须完整考虑DORA的要求，将ICT风险管理嵌入组织结构中，遵守DORA中ICT风险管理相关的标准，最终达到提升ICT风险与网络威胁的抵御能力、提高适应性和弹性、降低事件发生概率的目的，为金融生态系统的整体稳定性和安全性作出贡献。

本文拟刊于《中国金融电脑》

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。