欧盟《数字运营弹性法案》下第三方供应商风险管理启示

作者

中国工商银行(莫斯科)股份公司副总经理 张文剑

中国工商银行（欧洲）有限公司巴黎分行科技部 孟庆龙

中国邮政储蓄银行金融科技部 张佩玮

中国工商银行(莫斯科)股份公司 副总经理 张文剑

当前，金融机构越来越依赖信息和通信技术(ICT）第三方供应商（以下简称“供应商”）提供服务，并与之形成了一个复杂的关系网络。这种对供应商的依耐性可能引发多重风险，包括数据泄露、网络攻击、系统故障以及因供应商风险管理实践不足而引发的连锁风险，最终显著增加金融机构的整体运营风险。为应对这一挑战，欧盟出台了《数字运营弹性法案》（Digital Operational Resilience Act,DORA）。该法案超越了以往仅针对金融机构的监管范畴，将为金融机构提供IT和网络安全服务的关键第三方供应商也纳入其中，从而填补了第三方违规行为所导致的漏洞。

DORA要求金融机构采取主动且基于风险的供应商风险管理策略，以系统性提升其运营韧性。同时，DORA致力于在欧盟范围内建立一个统一的供应商风险管理监管框架。该框架不仅为在整个欧盟运营的金融机构和第三方供应商创造公平的竞争环境，也通过推行共同的标准和最佳实践，增强了整个金融机构的整体运营弹性。此外，统一的规范还有助于降低金融机构的合规成本，并显著提升供应商的透明度和责任意识。本文旨在通过梳理DORA中对供应商风险管理的相关要求，为我国金融机构解决供应商风险管理问题提供有效借鉴。

一、供应商风险管理原则与策略

金融机构应将供应商风险纳入其整体ICT风险管理框架统一管理。在管理此类风险时，金融机构应遵循比例原则，重点考量两个方面的因素：一是其与供应商依赖关系的性质、规模、复杂性和重要性；二是因使用供应商服务所引入的合同风险，尤其应评估这些服务所支持流程或功能的关键性或重要性，以及一旦发生中断可能对金融服务和活动的连续性和可用性在客户和集团层面造成的潜在影响。

金融机构必须制定专门的供应商风险管理策略，并定期予以审查。该策略应明确针对供应商支持的关键或重要功能的信息技术服务使用的政策。在此基础上，管理层应根据金融机构的整体风险情况和业务服务的规模和复杂性，定期评估供应商合同中可能存在的风险，审查并监督金融机构关于使用由供应商提供的ICT服务的政策。同时，金融机构应在公司层面建立有效的报告机制，确保及时掌握以下信息：供应商ICT服务达成的服务标准；供应商的任何重大变更计划；这些变更对关键或重要功能可能产生的潜在影响以及相应的应对、恢复和纠正措施。

二、供应商合同管理

根据DORA要求，金融机构在与供应商签订合同之前，应做好供应商尽职调查、风险评估、合同要素完整性确认、终止条件制定和退出策略审查等工作。

1.尽职调查和风险评估

金融机构需谨慎评估拟外包的信息科技活动是否与信息科技外包战略、引入原则一致，并对此项科技外包活动进行全面风险评估的基础上作出审慎决策。因此，金融机构在与供应商签订合同之前必须执行全面的尽职调查和风险评估，内容包括：确定外包服务是否涉及关键或重要功能，并核查是否满足合同签订的监管要求；识别并评估与本次外包合同相关的各项风险；综合评估替代解决方案的收益和成本，同时评估该解决方案是否满足数字弹性策略中规定的业务需求和目标；对潜在的供应商开展尽职调查；识别并评估合同可能带来的利益冲突；如果合同允许供应商将支持关键或重要功能的ICT服务分包给其他第三方服务供应商（尤其是分包商位于第三国），则应权衡与此类分包相关的利益和风险。

2.合同要求和分包管理

金融机构和供应商的权利和义务应明确划分并以书面形式列出。完整合同应包括服务水平协议，并以书面文件的形式记录，该书面文件应以纸质形式提供给各方，或以其他可下载、可持久访问的格式记录。合同至少应包括以下内容：对供应商所提供的所有功能和服务的清晰完整描述；供应商应提供承包或分包功能和ICT服务以及处理数据的地点（地区或国家）、存储位置，当上述信息变更时，应提前通知金融机构；关于数据（含个人数据）保护的可用性、真实性、完整性和保密性的相关规定；在供应商破产、清算、停业或终止合同时，确保金融机构处理的个人和非个人数据易于访问、可恢复和可返回的规定；服务水平描述及其更新和修订；供应商有义务就ICT服务相关事件，无额外费用或按约定费用向金融机构提供协助；供应商有义务与金融机构的监管机构充分合作；明确合同的终止权和相关的最低通知期；供应商参与金融机构ICT安全意识培训计划和数字运营弹性培训的要求。

如果合同涉及关键或重要职能的ICT服务，除上述提到的要素外，还应至少包括以下内容：供应商向金融机构的通知期限和报告义务；要求供应商实施和测试业务应急计划，并制定ICT安全措施、工具和政策；供应商有义务配合金融机构开展基于威胁的渗透测试（TLPT）；金融机构有权持续监督供应商服务水平。

如果供应商将部分服务分包，金融机构必须确保分包商达到与主供应商同等的尽职调查、监控和风险管理标准。

3.解除合同条件

DORA规定，当出现以下情形时，金融机构应确保终止合同：供应商严重违反法律法规或合同条款；在监控ICT第三方风险的过程中发现可能影响合同履行或供应商状况的重大变化；供应商在其整体ICT风险管理方面（尤其在确保数据的可用性、真实性、完整性和机密性方面）存在明显缺陷；监管机构因合同条款或相关情形无法有效监督金融机构时，金融机构应确保可以终止使用ICT服务的合同。

4.退出策略

对于支持关键或重要功能的ICT服务，金融机构应制定并演练退出策略，以保障服务连续性、满足监管要求及维持运营弹性。退出策略应重点考虑以下几个方面：

一是在供应商层面出现的风险，特别是可能出现的故障、所提供ICT服务质量下降、ICT服务提供不当或失败导致的任何业务中断或其他重大风险。

二是设定替代解决方案并制定过渡计划，确保已签订合同的ICT服务和相关数据，能够从供应商处安全完整地转移给替代供应商或在内部重新整合。

三是采取适当的应急措施保障业务连续性，包括设置强制性的充分过渡期。在此期间，原供应商应继续提供相应的功能或ICT服务，以降低中断风险或确保其有效解决和重组；并应允许金融机构迁移至新供应商或转回内部解决方案。

三、供应商信息管理

DORA旨在强化对金融机构ICT第三方风险的有效监控。其核心举措之一是要求金融机构必须建立并维护一份全面的供应商服务的信息登记册，该登记册必须涵盖所有相关合同内容、所提供服务的关键性等级和风险评估的详细信息。金融机构必须定期更新此登记册，并可供监管审查。此外，金融机构需每年至少一次向监管机构上报该登记册，并在其要求时能够及时提供相关信息。根据DORA技术规范标准，信息登记册的模板根据金融机构对供应商所提供服务的依赖程度进行分类，主要包括合同一般信息、合同具体信息、供应商详情及ICT服务供应链等。

四、审计与检查

根据DORA要求，支持关键或重要功能的ICT服务合同还应包含允许金融机构或指定第三方访问、检查、审计及复制相关数据的权利，该权利是金融机构对供应商绩效进行持续监控的关键工具，供应商应在检查过程中充分配合。金融机构在对供应商开展访问、检查和审计时，应基于以风险为本的方法，遵循普遍接受的审计标准及监管相关规定，预先明确审计和检查的频率以及需要审计的领域。如果合同涉及较高的技术复杂性，金融机构应确保审计人员（无论内部或外部）具备足够的技能和知识，以有效地对供应商进行相关审计和评估。

五、对我国金融机构的启示

DORA强调，要对供应商进行主动监督、风险评估和持续监控。供应商风险管理对于金融机构运营弹性至关重要，遵守DORA不仅是一项监管义务，也是金融机构整体风险管理战略的重要组成部分。对于我国金融机构而言，可借鉴DORA对供应商的监管要求，加强对供应商的风险管理，确保自身数字运营弹性水平。

一是加强对所有供应商风险的识别和评估。金融机构应识别所有供应商，并映射其在IT架构中的定位、连接关系和数据路径,据此判定其对组织运营的关键程度和风险优先级，以便进行更深入的风险管理；评估供应商安全控制措施的有效性，包括其应对内部数据泄露、Web应用攻击、网络攻击、社会工程、处理不当或意外暴露，以及操作中断或数据损坏等威胁的能力。

二是完善供应商尽职调查程序。在签订任何协议之前，金融机构必须评估供应商的运营弹性、数据保护措施、整体风险状况和履行合同义务的能力；审查供应商过往的绩效，包括任何安全漏洞、系统中断或监管违规行为。同时，应审查供应商的财务稳定性以确保其能持续提供服务，并系统评估其安全认证、事件响应计划和数据保护政策等的完备性。

三是建立持续性的供应商监控机制，对供应商的服务交付、服务绩效、业务连续性、合规性、安全态势以及事件管理能力进行持续监控，确保其风险水平动态可知、可控。

四是加强应急事件响应管理，将供应商纳入事件响应计划和弹性测试。金融机构需制定明确的计划和程序应对涉及供应商的事件，确保最大限度降低这些事件对自身运营和服务的干扰，并定期开展业务连续性和灾难恢复测试，以验证整体应急机制的有效性。

此外，金融机构需秉持积极进取的态度，转变传统管理思维，基于以风险为本的方法，结合自身实际，制定科学的供应商管理策略，严格执行供应商风险管理措施，通过构建供应商评价体系，实施供应链多元化战略等措施，从而有效规避各种供应商风险，全面提升第三方风险管理水平，为实现数字时代安全且可持续性发展的目标奠定坚实基础。

本文拟刊于《中国金融电脑》

声明：本文来自中国金融电脑，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。