指南B-13与第三方业务韧性
相关要求
-
技术与网络风险通过明确的责任划分和管理架构,以及全面的战略和框架进行管控。
-
一种安全的技术态势,能够维护金融零售机构(FRFI)技术资产的机密性、完整性和可用性。
-
一个稳定、可扩展且具有弹性的技术环境。该环境通过强大且可持续的技术运行与恢复流程保持最新状态并获得支持。
遵守加拿大金融监管机构(OSFI)B-13号指引
指南B-13为金融风险机构(FRFI)构建风险管理计划提出了17项原则。这些原则旨在提升金融风险机构的运营韧性。下表将主流第三方风险管理平台的功能与最相关的原则进行对照。
注:本表不应被视为全面、权威的指导。完整要求清单请咨询您的审计师,并参阅加拿大金融监管机构(OSFI)的完整指南。
| 原则 | TPRM 最佳做法 |
|---|---|
|
领域:治理与风险管理 该领域规定了 OSFI 对用于支持风险管理和技术与网络安全监督的正式问责制、领导力、组织结构和框架的期望。 结果:技术与网络风险通过明确的责任划分和组织架构,以及全面的策略和框架得到管控。 |
|
|
原则1:高级管理层应将技术和网络风险管理职责分配给高级管理人员。同时应确保建立适当的组织架构,并为金融机构(FRFI)全范围的技术和网络风险管理配备充足资源。 原则2:金融机构应制定、记录、批准并实施战略性技术与网络安全计划。该计划应与业务战略保持一致,设定可衡量的目标,并随金融机构技术与网络安全环境的变化而动态调整。 |
资深专家将与您的团队协作,在整体风险管理框架下共同制定并实施第三方风险管理流程与解决方案;筛选风险评估问卷及框架;优化项目方案以覆盖第三方风险全生命周期——从供应商甄选与尽职调查,直至终止合作与退出管理。 在此过程中,Prevalent将协助您定义:
|
| 原则3:金融零售机构应建立技术与网络风险管理框架(RMF)。该框架应明确技术与网络风险的风险偏好,并界定金融零售机构识别、评估、管理、监控及报告技术与网络风险的流程与要求。 | 主流的TPRM平台配备了庞大的框架特定风险评估库——涵盖ISO、NIST等多种标准。通过利用预构建的框架特定风险评估,可简化控制映射与报告流程。所选框架应与企业级风险管理要求保持一致。 |
|
领域:技术运营与韧性 该领域规定了 OSFI 对 "管理和监督与技术资产和服务的设计、实施、管理和恢复有关的风险 "的期望。 成果:构建稳定、可扩展且具有弹性的技术环境。该环境通过稳健可持续的技术运行与恢复流程保持更新并获得支持。 |
|
| 原则7:金融机构应实施系统开发生命周期(SDLC)框架,以确保技术系统的安全开发、采购和维护,使这些系统能够按预期运行,从而支持业务目标的实现。 | 作为尽职调查流程的一部分,Prevalent可协助您的团队分析第三方软件产品的软件物料清单(SBOM)。这将帮助您识别可能影响组织安全与合规状况的潜在漏洞或许可问题。 |
| 原则10:金融机构应有效检测、记录、管理、解决、监控和报告技术事件,并最大限度地减少其影响。 |
普瑞维兰持续追踪并分析针对第三方机构的外部威胁。为此,普瑞维兰通过监控互联网及暗网中的网络威胁与漏洞,同时整合公共及私有渠道的声誉、制裁与财务信息来源,构建全面防护体系。 监测来源包括
所有监测数据都应与评估结果相关联,并集中到每个供应商的统一风险登记册中,从而简化风险审查、报告、补救和应对措施。 当所有评估与监控数据整合至中央风险登记册后,Prevalent将依据可能性与影响模型实施风险评分与优先级排序。该模型将风险归类至矩阵框架中,使您能清晰识别影响最大的风险,从而优先针对这些风险开展整改工作。 最后,借助Prevalent,您可以指派责任人,并追踪风险与补救措施,直至达到企业可接受的水平。 |
| 原则11:金融监管机构应制定服务与能力标准及流程,以监督技术运营管理,确保满足业务需求。 | 借助Prevalent平台,您可根据不断变化的业务需求和优先级持续评估第三方风险管理计划的有效性,在整个合作关系生命周期中衡量第三方供应商的关键绩效指标(KPI)和关键风险指标(KRI)。 |
|
领域:网络安全 该领域规定了 OSFI 对 "管理和监督网络风险 "的期望。 成果:建立安全的技术态势,确保金融零售机构(FRFI)技术资产的机密性、完整性和可用性。 |
|
| 原则14:金融风险管理机构应建立一系列实践、能力、流程和工具,用于识别和评估网络安全中的薄弱环节,这些薄弱环节可能被外部威胁行为者和内部威胁行为者所利用。 | Prevalent TPRM 平台拥有一个庞大的预建模板库,可用于 第三方风险评估评估应在供应商入职、合同续签时进行,或根据合作关系中的重大变化,按要求频率(如季度或年度)实施。 评估应集中管理,并以工作流、任务管理和自动证据审查功能为后盾,以确保您的团队在整个关系生命周期中对第三方风险具有可见性。 重要的是,Prevalent 包括基于风险评估结果的内置补救建议,以确保您的第三方及时、满意地处理风险,并向审计人员提供适当的证据。 在此过程中,Prevalent持续追踪并分析第三方面临的外部威胁。所有监控数据均需与评估结果关联,并集中存储于各供应商的统一风险登记册中,从而优化风险审查、报告、整改及响应措施的实施流程。 |
| 原则17:金融风险管理机构应针对影响其技术资产的网络安全事件作出响应、控制、恢复并吸取教训,包括源自第三方供应商的事件。 |
作为您更广泛的事件管理策略的一部分,Prevalent确保您的第三方事件响应计划能够让团队快速识别、应对、报告并减轻第三方供应商安全事件的影响。 第三方事件响应服务的主要功能包括
此外,Prevalent还利用了包含全球数千家企业多年数据泄露历史的数据库——涵盖被盗数据的类型与数量、合规与监管问题,以及供应商实时数据泄露通知。 凭借这些洞察,您的团队能够借助Prevalent专家的力量,更深入地理解事件的范围与影响、涉及的数据类型、第三方运营是否受到波及,以及修复措施的完成时间。 |
