为应对日益增多的网络攻击对欧洲金融体系韧性的考验,欧盟议会于2022年通过立法,旨在加强银行、保险公司及投资公司等金融机构的信息技术安全。这项《数字运营韧性法案》(DORA)旨在确保欧洲金融业在遭遇严重运营中断时仍能保持韧性。
《数字运营韧性法》为金融领域的数字运营韧性建立了监管框架,要求所有企业必须确认其能够承受、应对并从各类信息通信技术中断及网络威胁中恢复。该法案对网络和信息系统安全设定了统一要求,并在第五章中明确规定了为金融服务业提供信息通信技术(ICT)服务(如云平台或数据分析服务)的关键第三方机构的合规要求。
本文探讨了《数据保护条例》(DORA)中涉及第三方的重要条款,并指明了可用于满足DORA第五章要求的最佳实践能力。
DORA第五章:信息通信技术第三方风险管理
DORA第五章回顾了第一部分中规定的必要控制措施和流程,以及第二部分中监管制度的监督机制。
第一部分:信息通信技术第三方风险稳健管理的核心原则
第一部分:健全管理信息通信技术第三方风险的关键原则旨在确保金融机构妥善管理并降低因使用第三方提供的信息通信技术服务而产生的风险。相关要求摘要如下:
风险管理框架
金融机构必须评估与信息通信技术(ICT)第三方供应商相关的风险。这包括评估潜在的操作风险、集中度风险和系统性风险。机构必须考虑所提供服务的关键性。风险管理和监督的程度应与第三方ICT服务对金融机构的关键性和潜在影响成正比。这被称为比例原则。
尽职调查
金融机构在与第三方信息通信技术服务商签订合约前,必须开展全面尽职调查。该评估应涵盖服务商可靠、安全地提供服务的能力,并确保其符合监管要求。签约后需实施持续监控,以确保第三方服务商维持预期的运营韧性水平,包括其对安全标准的遵守情况。
合同要求
金融机构与第三方信息通信技术服务供应商签订的合同必须包含详细的风险管理条款,确保供应商在风险缓解和业务连续性保障方面承担相应责任。合同还应包含终止权条款,允许金融机构在第三方未能满足监管或业务韧性要求时终止合作关系。金融机构必须为关键信息通信技术服务制定书面退出策略并进行演练,确保在关键服务供应商无法继续提供服务时仍能维持业务韧性。
集中风险与依赖管理
金融机构必须监控与信息通信技术第三方供应商相关的集中度风险,尤其当少数供应商主导市场时。机构必须制定应急预案以应对此类集中度可能引发的业务中断。为降低集中度风险,鼓励各实体在可行情况下实现信息通信技术服务供应商的多样化。
信息通信技术第三方风险登记册
金融机构必须建立所有信息通信技术第三方供应商及服务的登记册,其中应包含合同详情、服务关键性及风险评估等信息。该登记册须定期更新,并备供监管机构审查。
韧性测试
DORA要求金融机构对其信息通信技术(ICT)第三方供应商的运营韧性能力进行测试。这包括通过模拟或压力测试评估第三方在遭遇重大中断或网络攻击时应对能力。
次级外包
若第三方信息通信技术服务商将部分服务分包,金融机构必须确保分包商同样遵循相同的尽职调查、监控及风险管理标准。
第三方风险情景
鼓励金融机构分析各类第三方风险情景,例如网络攻击或大规模系统故障,并针对此类事件制定恢复与应急预案。
第二部分:关键信息通信技术第三方服务提供商的监管框架
第二部分:关键信息通信技术第三方服务提供商的监管框架,确立了对关键信息通信技术第三方服务提供商(CTPP)实施监督与监管的规则和要求。其中包括任命首席监管人监督服务提供商的风险管理和韧性实践、开展检查与韧性测试的权限,以及对事件报告和纠正措施的要求。
DORA针对关键信息通信技术第三方供应商引入直接监管机制,要求其遵守额外的报告与运营韧性标准。该举措旨在确保这些关键信息通信技术供应商维持高标准的运营韧性,从而为金融体系的整体稳定性作出贡献。
Prevalent如何助力简化DORA第三方风险管理合规工作
《数字运营韧性法案》(DORA)第五章第一节第28-30条规定了多项要求,旨在确保金融机构妥善管理并降低因使用第三方提供的信息通信技术(ICT)服务而产生的风险。这些正是第三方风险管理(TPRM)专业人员为满足第二节监管要求需实施的实践措施。
然而,仅凭基于电子表格的手动风险评估方法,根本无法充分评估、持续监控并管理第三方对DORA要求的遵守情况。普瑞万特可助您一臂之力。
Prevalent第三方风险管理(TPRM)平台
是一款集中式自动化解决方案,可协同您的整体网络安全和企业风险管理计划,对第三方服务提供商的风险进行评估、监控和管理。借助Prevalent平台,您的团队能够:
- 集中管理第三方服务供应商合同的分发、讨论、存档与审核流程,确保关键条款被纳入、达成共识并通过关键绩效指标(KPI)与关键风险指标(KRI)予以执行。Prevalent合同核心功能具备自动化工作流,可将签约供应商自动纳入正式尽职调查流程。
- 建立涵盖所有第三方服务提供商及第四方、N方依赖关系与集中度的综合清单,作为企业利益相关方可信赖的统一第三方登记册。
- 评估固有风险以指导服务提供商的风险评级、分层与分类工作,并据此确定持续尽职调查活动的适当范围与频率。
- 通过使用包含750余份问卷模板的丰富库,这些模板针对多种最佳实践框架进行优化并内置整改指导,实现第三方生命周期各阶段的弹性风险评估与整改流程自动化。
- 持续追踪并分析第三方面临的外部威胁,通过监控互联网和暗网中的网络威胁与漏洞,将这些洞察融入第三方服务提供商控制措施的验证工作。
- 通过程序化监控、评估和响应管理,实现第三方事件响应的自动化。
- 自动化合同评估与离职流程,以降低贵机构在合同终止后面临的风险。
欲了解Prevalent如何简化DORA第三方风险管理合规流程,请立即下载完整的DORA第三方风险管理检查清单或申请产品演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
