OSFI B-13 是加拿大金融机构监管办公室 (OSFI) 发布的一项准则,概述了提高技术和网络风险(包括第三方发布的风险)抵御能力的风险管理要求。与针对外包的 B-10 准则类似,B-13 准则适用于所有受联邦监管的金融机构 (FRFI),包括在加拿大运营的外国银行分行和外国保险公司分行。
准则 B-13最初于 2022 年 7 月发布,分为三个领域,每个领域都有一个有助于抵御技术和网络风险的预期成果。成果由 17 项原则支持,而这些原则又由个别准则支持。
OSFI B-13 和第三方风险管理
关于第三方风险管理,准则 B-13 强调金融机构需要实施全面战略,管理与外包和第三方关系相关的风险。下表概述了 B-13 中针对第三方风险管理的具体准则,并针对这些要求提供了最佳做法建议。
注:本表仅总结了第三方风险特定要求。如需所有要求和原则的完整清单,请查阅OSFI 的完整指南。
| 原则 | TPRM 最佳做法 |
|---|---|
| 领域: 治理和风险管理
该领域规定了 OSFI 对用于支持风险管理和技术与网络安全监督的正式问责制、领导力、组织结构和框架的期望。 成果:通过明确的责任和结构,以及全面的战略和框架来管理技术和网络风险。 |
|
| 原则 1: 高级管理层应将管理技术和网络风险的责任分配给高级官员。还应确保建立适当的组织结构和充足的资源,以管理整个联邦共和国金融情报局的技术和网络风险。
原则 2:FRFI 应定义、记录、批准和实施战略性技术和网络计划。该计划应与业务战略保持一致,设定可衡量的目标和目的,并随着 FRFI 技术和网络环境的变化而变化。 |
寻找 专家 与您的团队合作,根据您的整体风险管理方法,确定并实施 TPRM 流程和解决方案;选择风险评估问卷和框架;优化您的计划,以应对从采购和尽职调查到终止和离职的整个第三方风险生命周期。
作为这一过程的一部分,您应该确定: * 明确角色和责任(如 RACI)。 |
| 原则 3:FRFI 应建立技术和网络风险管理框架(RMF)。该框架应规定技术和网络风险的风险偏好,并确定 FRFI 识别、评估、管理、监控和报告技术和网络风险的流程和要求。 | 查看具有大型特定框架风险评估库(如 ISO、NIST 或其他)的风险管理解决方案。利用预建的特定框架风险评估,简化控制映射和报告。所选框架应符合企业级风险管理要求。 |
| 领域: 技术运作和复原力
该领域规定了 OSFI 对 "管理和监督与技术资产和服务的设计、实施、管理和恢复有关的风险 "的期望。 成果:一个稳定、可扩展和有弹性的技术环境。该环境与时俱进,并得到稳健、可持续的技术运行和恢复流程的支持。 |
|
| 原则 7:联邦共和国金融情报机构应实施系统开发生命周期(SDLC)框架,以安全开发、 购置和维护技术系统,使其发挥支持业务目标的预期作用。 | 作为尽职调查流程的一部分,要求供应商提供其软件产品的最新软件物料清单(SBOM)。这将帮助您识别任何可能影响组织安全和合规性的潜在漏洞或许可问题。 |
| 原则 10:FRFI 应有效地检测、记录、管理、解决、监控和报告技术事件,并尽量减少其影 响。 | 持续跟踪和分析 对第三方的外部威胁.作为其中的一部分,监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。
监控来源应包括 所有监测数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 将所有评估和监控数据关联到中央风险登记册后,根据可能性和影响模型进行风险评分和优先排序。该模型应将风险框定为一个矩阵,以便于查看影响最大的风险,并优先针对这些风险采取补救措施。 指定负责人并跟踪风险和补救措施,使其达到企业可接受的水平。 |
| 原则 11:FRFI 应制定服务和能力标准及流程,监测技术的运营管理,确保满足业务需 求。 | 根据不断变化的业务需求和优先事项,持续评估 TPRM 计划的有效性,通过关系生命周期来衡量第三方供应商的关键绩效指标 (KPI) 和关键风险指标 (KRI)。 |
| 领域: 网络安全
该领域规定了 OSFI 对 "管理和监督网络风险 "的期望。 成果:安全的技术态势,维护联邦共和国金融情报机构技术资产的保密性、完整性和可用性。 |
|
| 原则 14:FRFI 应保持一系列实践、能力、流程和工具,以识别和评估网络安全的薄弱环节, 这些薄弱环节可能会被外部和内部威胁行为者利用。 | 寻找具有大型预建第三方风险评估模板库的解决方案。评估应在供应商入职、合同续签时进行,或根据关系中的重大变化以任何规定的频率(如每季度或每年)进行。 重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、满意地应对风险,并能向审计人员提供适当的证据。所有监控数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。准则 B-13 要求是更广泛框架的一部分,旨在确保金融机构有效管理技术和网络风险,尤其是在第三方服务使用越来越多的情况下。从这些实践开始您的合规之旅: |
| 原则 17:FRFI 应应对、控制、恢复影响其技术资产的网络安全事件,并从中学习,包 括源于第三方供应商的事件。 | 作为更广泛的 事件管理策略 确保您的第三方事件响应计划能够让您的团队快速识别、响应、报告和减轻以下事件的影响 第三方供应商安全事件.
第三方事件响应服务的主要功能包括 此外,还可考虑利用包含全球数千家公司数年数据泄露历史记录的数据库,包括被盗数据的类型和数量、合规性和监管问题,以及实时供应商数据泄露通知。 有了这些洞察力,您的团队就能更好地了解事件的范围和影响;涉及哪些数据;第三方的运营是否受到影响;以及补救措施何时完成--所有这一切都要借助专家的力量。 尽职调查:在与第三方建立关系之前,进行彻底的合同前尽职调查。这包括评估第三方的财务稳定性、声誉及其网络安全措施的充分性。 |
- 第三方合同:在第三方合同中纳入涉及技术和网络风险的具体条款。这包括与数据保护、审计权、遵守关键绩效指标和关键风险阈值以及事故响应要求相关的条款。
- 风险评估:定期进行风险评估
了解第三方可能带来的潜在风险,主要与技术和网络安全有关。这应包括评估第三方如何处理数据以及数据中断或数据泄露的潜在影响。 - 监测和报告:持续监控网络风险、第三方绩效以及对合同协议的遵守情况。他们应有报告和及时处理任何问题或违规行为的流程。
- 事件管理和响应:确保第三方有适当的事件管理和响应计划。这包括明确的沟通渠道和应对网络事件的协议。
- 业务连续性和应急计划:
确保第三方拥有与机构应急计划相一致的强大业务连续性计划。这有助于在发生中断时确保关键服务的连续性。 - 终止和退出战略:制定明确的战略和程序,以终止第三方关系,确保平稳过渡,同时不影响安全性或服务的连续性。
OSFI B-13 合规性的下一步措施
OSFI B-13 准则为确保抵御技术和网络风险(包括第三方带来的风险)提供了一个全面的框架。如果贵机构正在检查其业务复原力实践,请下载我们的OSFI B-13 合规检查表或联系 Prevalent申请演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
