简化DORA第三方评估
《数字运营韧性法案》(DORA)旨在确保欧洲金融业在遭遇严重运营中断时仍能保持韧性。
DORA为银行、保险公司和投资公司等金融领域企业及机构的网络与信息系统安全制定了统一要求。
DORA为数字运营韧性建立了监管框架,要求所有机构必须确认其能够承受、应对并从各类信息通信技术中断及网络威胁中恢复。该框架同样适用于为金融服务业提供信息通信技术(ICT)服务的关键第三方,例如云平台或数据分析服务提供商。
相关要求
- 评估与信息通信技术第三方供应商相关的风险,包括运营风险、集中度风险和系统性风险。
- 建立并维护所有信息通信技术第三方供应商及服务的登记册。
- 在与第三方ICT服务提供商签订合同时,应进行全面的尽职调查。
- 测试信息通信技术第三方供应商的业务连续性能力。
- 确保第三方供应商合同包含可持续评估的权利与义务。
- 制定恢复和应急预案,以应对大规模网络攻击或系统中断的情况。
- 监控与信息通信技术第三方供应商相关的集中度风险。
- 确保分包商同样受制于相同的尽职调查、监控和风险管理标准。
《数字化转型条例》第五章:管理信息通信技术第三方风险——将普遍能力映射至要求
第五章第一节第28至30条规定了满足监管要求的相关实践。
注:此非《数字货币监管法案》(DORA)要求的完整清单。如需全面了解DORA要求,请查阅完整法案文本,并咨询贵机构的审计团队或外部审计师。
第五章:信息通信技术第三方风险管理
第一部分:信息通信技术第三方风险稳健管理的核心原则
DORA 要求
对应的第三方风险管理最佳实践
第二十八条:一般原则
28 (1).金融实体应将信息通信技术第三方风险作为其信息通信技术风险管理框架内信息通信技术风险的组成部分进行管理,该框架如第6条第(1)款所述
,并遵循以下原则:
(a)对于已通过
合同安排使用信息通信技术服务开展业务运营的金融机构,应始终全面承担
遵守本条例及适用金融服务法律
所规定
义务的责任;
(b)金融实体对信息通信技术第三方风险的管理应遵循比例原则,同时考虑:
(i)与信息通信技术相关的依赖关系的性质、规模、复杂性和重要性,
(ii)因与信息通信技术第三方服务供应商签订的信息通信技术服务使用合同安排而产生的风险,需考虑相关服务、流程或功能的关键性或重要性,以及对金融服务和活动在个体及集团层面连续性与可用性的潜在影响。
28 (2).作为其信息通信技术风险管理框架的一部分,除第16条第(1)款第一项所述实体及微型企业外的金融机构,应制定并定期审查信息通信技术第三方风险策略,在适用情况下应考虑第6条第(9)款所述的多供应商策略。 该信息通信技术第三方风险策略应包含关于使用信息通信技术第三方服务提供商所提供、支持关键或重要功能的信息通信技术服务的政策,并应在个别基础上适用,在相关情况下,还应在子合并和合并基础上适用。 管理机构应基于对金融机构整体风险状况以及业务服务规模和复杂性的评估,定期审查在使用支持关键或重要功能的ICT服务的合同安排方面所识别的风险。
Prevalent 支持计划评估,以确定关系之间的数据流,利用独特的关系映射功能确定数据存在的位置、数据流向以及与组织外部的谁共享数据。自动生成风险登记册,突出关键风险领域,提高数据的可见性。
普瑞瓦尔与您的团队协作,在整体风险管理框架下共同制定并实施第三方风险管理(TPRM)策略、流程及解决方案;筛选风险评估问卷与框架;优化项目以覆盖第三方风险全生命周期——从供应商遴选与尽职调查到终止合作与退出管理。
在此过程中,Prevalent将协助您定义:
- 明确角色与职责(例如RACI)。
- 第三方库存。
- 基于贵组织风险承受能力的风险评分与阈值设定。
- 评估与监测。基于第三方关键性的方法论。
- 第四方映射,助您洞悉扩展供应商生态系统中的风险。
- 持续监测数据来源(网络安全、业务运营、声誉管理及财务状况)。
- 关键绩效指标(KPI)和关键风险指标(KRI)。
- 管理政策、标准、系统和流程以保护数据。
- 服务等级的合规性与合同报告要求。
- 事件响应要求。
- 风险与内部利益相关方报告。
- 风险缓解与补救策略。
28 (3).金融实体应在其信息通信技术风险管理框架内,在实体层面、子合并层面及合并层面维护并更新信息登记册,该登记册应涵盖与使用信息通信技术第三方服务提供商所提供信息通信技术服务相关的所有合同安排。
第一项所述合同安排应妥善记录,区分涉及支持关键或重要职能的ICT服务与非关键性服务。
金融机构应至少每年向主管当局报告新增ICT服务使用安排的数量、ICT第三方服务提供商类别、合同安排类型以及所提供ICT服务和职能。
金融机构应根据主管当局要求,提供完整信息登记册或指定部分内容,并附上主管当局认为实施有效监管所需的任何信息。
金融机构应及时向主管当局通报任何计划中的合同安排,涉及使用支持关键或重要功能的ICT服务,以及当某项功能成为关键或重要功能时的情况。
借助Prevalent,您可以通过电子表格模板导入供应商,或通过API连接现有采购解决方案,构建集中化的第三方库存。企业内部团队可通过集中化的信息收集表单及关联的工作流任务,填充关键供应商信息。该功能通过电子邮件邀请向所有人员开放,无需任何培训或解决方案专业知识。
在此过程中,Prevalent会创建全面的供应商档案,其中包含与第三方相关的所有文件证据,以及人口统计数据、第四方信息、ESG评分、近期业务与声誉洞察、数据泄露历史及最新财务表现。这些信息为审计流程提供了必要的背景支持。
此外,Prevalent通过量化所有供应商的固有风险,有效实现供应商分级管理,设定适当的后续尽职调查层级,并确定持续评估的范围。用于计算供应商分级固有风险的评估标准包括:
- 对业务绩效和运营的关键性。
- 地点及相关法律或监管考量。
- 涉及受保护数据、客户数据或面向客户的系统。
分级流程的一部分是识别供应商生态系统中的第四方和第N方供应商,因为关键依赖关系可能影响分级决策。借助Prevalent平台,您可以通过问卷调查评估供应商,或被动扫描供应商的公开基础设施。生成的关系图谱将揭示可能使组织面临风险的延伸依赖关系。
28 (5).金融机构仅可与符合适当信息安全标准的ICT第三方服务提供商签订合同安排。当此类合同安排涉及关键或重要职能时,金融机构在签订安排前,应充分考虑ICT第三方服务提供商采用最新且最高质量的信息安全标准的情况。
28 (6).金融机构在对信息通信技术第三方服务提供商行使访问、检查和审计权时,应基于风险导向原则,遵循关于采用和整合此类审计标准的监管指引,通过遵守公认审计标准预先确定审计和检查的频率及审计范围。
若与信息通信技术第三方服务提供商签订的ICT服务使用合同涉及高度技术复杂性,金融机构应核实内部或外部审计师(或审计师团队)是否具备有效执行相关审计与评估所需的专业技能和知识。
利用Prevalent平台中的标准化风险评估(例如基于ISO 27001的评估),以确定是否遵循关键第三方风险管理原则。通过工作流自动化、任务管理及自动证据审查功能评估风险评分,可简化整个流程。
通过Prevalent平台,在定期问卷式风险评估的基础上,持续追踪并分析第三方面临的外部威胁。作为该方案的重要组成部分,Prevalent实时监测互联网及暗网中的网络威胁与安全漏洞。
监测来源包括
- 犯罪论坛、洋葱网页、暗网特权访问论坛、威胁情报源以及泄露凭证粘贴网站——此外还包括多个安全社区、代码仓库和漏洞数据库。
- 包含全球数千家企业多年数据泄露历史的数据库。
所有监控数据均应与评估结果关联,并集中存储于供应商统一风险登记册中,从而简化风险审查、报告、整改及响应流程,同时优化审计工作。
当所有评估与监控数据整合至中央风险登记册后,Prevalent将依据概率与影响模型实施风险评分及优先级排序。该模型将风险归类至矩阵框架,便于您快速识别高影响风险并优先开展整改工作。 指派责任人并追踪风险及整改措施,直至达到企业可接受的水平。
关键在于:针对成熟度较低且超出企业风险承受能力的供应商管控措施,系统将自动生成整改建议。Prevalent内置基于风险评估结果的整改方案,确保供应商及时有效地处理风险,并能向审计方提供充分证据。
28 (7).金融实体应确保在下列任何一种情况下,可终止关于使用信息通信技术服务的合同安排:
(a)信息通信技术第三方服务提供商对适用法律、法规或合同条款的重大违反;
(b)在信息通信技术第三方风险监控过程中识别出的、被认为可能改变通过合同安排提供的职能履行情况的情形,包括影响该安排或信息通信技术第三方服务提供商状况的重大变更;
(c)信息通信技术第三方服务提供商在整体信息通信技术风险管理方面存在可证实的薄弱环节,尤其体现在其确保数据可用性、真实性、完整性及保密性的方式上——无论该数据属于个人数据或其他敏感数据,抑或非个人数据;
(d)当主管机关因相关合同安排的条款或相关情况,无法再对该金融机构实施有效监督时。
28 (8).对于支持关键或重要功能的信息通信技术服务,金融机构应制定退出策略。 退出策略应考虑信息通信技术第三方服务提供商层面可能出现的风险,特别是其可能出现的故障、所提供信息通信技术服务的质量下降、因信息通信技术服务提供不当或失败导致的业务中断、与相关信息通信技术服务的适当和持续部署相关的任何重大风险,或根据第7款所列任何情况终止与信息通信技术第三方服务提供商的合同安排。
金融机构应确保其能够在不产生以下后果的情况下终止合同安排:
(a)对其业务活动的干扰,
(b)限制对监管要求的遵守,
(c)损害向客户提供的服务的连续性和质量。
退出方案应全面、有据可查,并根据第4(2)条规定的标准进行充分测试和定期审查。
金融机构应制定替代方案及过渡计划,确保能够从信息通信技术第三方服务提供商处撤回已签约的信息通信技术服务及相关数据,并将其安全完整地转移至替代服务商或重新整合至内部系统。
金融机构应建立适当应急措施,以在发生首款所述情形时维持业务连续性。
借助Prevalent,您可以自动化合同评估和离职流程,从而降低组织在合同终止后面临的风险。
- 安排任务以审查合同,确保所有义务均已履行。
- 签发合同评估以评估状态。
- 利用调查和工作流程报告,涵盖系统访问、数据销毁、访问管理、所有相关法律的合规性、最终付款等事项。
- 集中存储和管理文件及证书,例如保密协议、服务水平协议、工作说明书和合同。
- 分析文件以确认关键标准是否得到满足。
采取可操作的措施降低供应商风险,并提供整改建议和指导。 - 通过自动将评估结果映射到法规和框架,可视化并满足合规要求。
第28(9) 条和第28(10)条是针对监管机构和联合委员会的具体规定。
第二十九条:实体层面的信息通信技术集中风险初步评估
29 (1).金融实体在执行第28条第(4)款(c)项所述风险识别与评估时,还应考虑拟就支持关键或重要功能的信息通信技术服务订立合同安排是否会导致下列任一情形:
(a)与难以替代的ICT第三方服务供应商签订合同;或
(b)与同一信息通信技术第三方服务提供商或与其密切关联的信息通信技术第三方服务提供商签订多项合同安排,以提供支持关键或重要职能的信息通信技术服务。
金融机构应权衡替代方案的成本效益,例如选用不同的信息通信技术第三方服务提供商,同时需评估拟定方案是否符合其数字韧性战略中规定的业务需求与目标,以及方案如何满足这些要求。
若因不合规、高风险评分或过度集中使用而需更换第三方供应商,Prevalent将提供基于行业通用框架的第三方风险评估网络,以确定合适的替代方案。
我们的按需风险评估库提供数万份已完成且经过验证的评估报告及佐证材料,可作为潜在第三方供应商的储备库——这些供应商均已通过严格的ICT安全准则审核。
29 (2).当涉及支持关键或重要功能的信息通信技术服务使用合同安排包含信息通信技术第三方服务提供商可能将支持关键或重要功能的信息通信技术服务进一步分包给其他信息通信技术第三方服务提供商的情形时,金融机构应权衡此类分包可能产生的收益与风险,尤其当分包商为设立在第三国的信息通信技术分包商时。
当合同安排涉及支持关键或重要功能的信息通信技术服务时,金融机构应充分考虑信息通信技术第三方服务提供商破产时适用的破产法规定,以及在紧急恢复金融机构数据方面可能出现的任何限制。
当与设立于第三国的ICT第三方服务提供商就支持关键或重要功能的ICT服务使用签订合同时,金融机构除考虑第二项所述因素外,还应评估该第三方服务提供商是否符合欧盟数据保护规则,以及该第三国是否具备有效的法律执行机制。
当支持关键或重要功能的ICT服务使用合同安排涉及分包时,金融机构应评估潜在的长期或复杂分包链条是否及其如何影响其全面监控合同职能的能力,以及主管当局就此方面有效监督该金融机构的能力。
借助Prevalent,您可在第三方生态系统中识别第四方及第N方分包关系。通过问卷评估供应商,或被动扫描供应商的公开基础设施。生成的关系图谱将揭示可能使组织面临风险的延伸依赖关系与信息流。
随后,利用合同条款(如审计权)将风险评估范围扩展至这些第四方及第N方。
第三十条:关键合同条款
30 (1).金融实体与信息通信技术第三方服务提供商的权利义务应明确划分并以书面形式载明。完整合同应包含服务水平协议,并以单一书面文件形式记录,该文件应以纸质形式或可下载、持久且可访问的其他格式提供给各方。
30 (2).关于使用信息通信技术服务的合同安排应至少包括以下要素:
(a)对信息通信技术第三方服务提供商将提供的所有功能和信息通信技术服务进行清晰完整的描述,说明是否允许将支持关键或重要功能的信息通信技术服务(或其重要部分)进行分包,如允许分包,则需说明适用该分包的条件;
(b)合同或分包职能及信息通信技术服务提供地点(即地区或国家)以及数据处理地点(包括存储地点),并要求信息通信技术第三方服务提供商若计划变更此类地点须提前通知金融机构;
(c)关于数据(包括个人数据)保护的可用性、真实性、完整性和保密性的规定;
(d)有关在信息通信技术第三方服务提供商破产、处置或终止业务运营,或终止合同安排时,确保个人和非个人数据能够以易于获取的格式被访问、恢复和返还的规定;
(e)服务级别说明,包括其更新和修订;
(f)当发生与向金融机构提供的信息通信技术服务相关的信息通信技术事件时,信息通信技术第三方服务提供商有义务在不产生额外费用或按预先确定的费用向金融机构提供协助;
(g)信息通信技术第三方服务提供商有义务与金融机构的主管当局和处置当局(包括其指定人员)充分合作;
(h)终止权及终止合同安排的相关最短通知期,符合主管当局和处置当局的预期;
(i)根据第13条第(6)款,信息通信技术第三方服务提供商参与金融机构信息通信技术安全意识计划及数字运营韧性培训的条件。
30 (3).关于使用支持关键或重要功能的信息通信技术服务的合同安排,除第2款所述要素外,还应至少包括以下内容:
(a)完整的服务级别描述,包括其更新和修订内容,其中应包含在商定服务级别内精确的定量和定性绩效目标,以便金融机构对信息通信技术服务进行有效监测,并在未达到商定服务级别时及时采取适当纠正措施;
(b)信息通信技术第三方服务提供商向金融机构的通知期限及报告义务,包括须通报任何可能对其有效提供信息通信技术服务能力产生重大影响的事态发展——该服务需依据约定服务水平支持关键或重要职能;
(c)要求信息通信技术第三方服务提供商制定并测试业务应急预案,同时建立信息通信技术安全措施、工具及政策,以确保为金融机构提供符合其监管框架的服务时达到适当的安全级别;
(d)信息通信技术第三方服务提供商有义务参与并充分配合金融实体根据第26条和第27条开展的反洗钱和反恐怖融资工作;
(e)持续监督信息通信技术第三方服务提供商的履约情况,具体包括以下内容:
(i)金融实体或其指定第三方及主管当局享有不受限制的访问、检查和审计权利,并有权在现场复制对信息通信技术第三方服务提供商运营至关重要的相关文件,且该权利的有效行使不受其他合同安排或实施政策阻碍或限制;
(ii)在其他客户权益受到影响时,有权商定替代性保障水平;
(iii)信息通信技术第三方服务提供商在主管当局、首席监督人、金融机构或指定第三方进行现场检查和审计期间,须全面配合的义务;以及
(iv)提供有关此类检查和审计的范围、应遵循的程序及频率的详细信息的义务;
(f)退出策略,特别是设立强制性的充分过渡期:
(i)在此期间,信息通信技术第三方服务提供商将继续提供相应功能或信息通信技术服务,以减少金融机构中断风险或确保其有效处置与重组;
(ii)允许金融机构迁移至其他信息通信技术第三方服务提供商,或根据所提供服务的复杂程度转为采用内部解决方案。
作为对(e)点的例外,信息通信技术第三方服务提供商与作为微型企业的金融机构可约定:该金融机构的访问权、查阅权及审计权可委托给由信息通信技术第三方服务提供商指定的独立第三方行使,且该金融机构可随时向该第三方索取有关信息通信技术第三方服务提供商履约情况的信息及保证。
30 (4).在协商合同安排时,金融机构和信息通信技术第三方服务提供商应考虑采用公共机构为特定服务制定的标准合同条款。
Prevalent将供应商合同的分发、讨论、保留和审查集中管理,以实现合同生命周期的自动化并确保关键条款得到执行。核心功能包括:
- 集中管理所有合同及其属性(如类型、关键日期、金额、提醒事项和状态),并提供基于角色的自定义视图。
- 工作流程功能(基于用户或合同类型),实现合同管理生命周期自动化。
- 自动提醒和逾期通知,简化合同审查。
- 集中合同讨论和意见跟踪。
- 合同和文件存储,具有基于角色的权限和所有访问的审计跟踪。
- 版本控制跟踪,支持离线合同和文档编辑。
- 基于角色的权限可实现职责分配、合同访问和读/写/修改访问。
通过Prevalent平台,在供应商关系生命周期中持续评估第三方供应商的关键绩效指标(KPI)和关键风险指标(KRI),根据不断变化的业务需求和优先级,不断评估您的第三方风险管理(TPRM)计划的有效性。
有了这种能力,您就可以确保在供应商合同中明确规定责任和审计权条款,并相应跟踪和管理 SLA。
有了 Prevalent,采购和法律团队就有了执行供应商合同条款和关键绩效指标的单一解决方案,并简化了管理和审查。
30 (5).包含针对监管机构和联合委员会的具体规定。
