2022年3月,英国央行审慎监管局(PRA)启动了新的《监管声明》(SS2/21),该声明明确了PRA监管机构应如何遵守外包及第三方风险管理相关监管要求,以提升业务韧性。
适用于所有英国银行、投资和保险公司,以及海外银行和保险公司在英国的分支机构,监管声明(SS)的目标是:
“…促进增强韧性并推动云计算及其他新技术的应用…补充《审慎监管局规则手册》SS1/21中关于运营韧性的要求与预期…并落实欧洲银行管理局(EBA)《外包安排指引》(EBA外包指引)。”
监管声明还阐明了重大外包与非外包第三方安排的区别,明确了评估和第三方尽职调查的预期要求,并指出了需要详细审查的领域,包括:
- 数据安全
- 访问权、审计权及信息权
- 次级外包
- 业务连续性与退出策略
本文探讨了《监管声明》中对外包与非外包第三方均设定的评估及尽职调查要求,同时指明Prevalent第三方风险管理平台具备哪些功能可用于满足PRA要求。
解读PRA监管声明SS2/21第三方风险管理要求
监管声明SS2/21要求受英国审慎监管局(PRA)监管的机构在供应商入驻期间及此后定期进行重要性评估。PRA期望获知各机构的重要第三方情况,因此现在正是确保您的第三方遵循必要的业务和运营韧性实践以符合合规要求、最大限度降低组织风险的时机。
将普遍能力映射至PRA监管声明SS2/21要求
主流第三方风险管理平台可协助金融机构满足PRA SS2/21中关于外包与非外包第三方管理的要求。
注:本指南仅包含最相关的要求,不应视为全面指南。如需完整要求清单,请详细查阅完整的《监管声明》并咨询您的审计师。
第二部分:定义与范围
为满足2.8和2.9中的要求,主流平台提供:
- 基于综合标准进行风险画像、分层评估及固有风险与残余风险评分,以识别重要与非重要外包第三方。
- 超过100个标准化模板及定制化风险评估方案,专为有形与无形第三方量身打造,内置工作流、任务及证据管理功能。评估体系覆盖多项基于ICT安全的框架标准,包括《网络安全基本要求》(Cyber Essentials)、ISO 27001、NIST 800-53、GDPR等众多规范。
- 修复管理,内置指导机制,针对重要外包第三方识别出的风险采取行动。
- 按框架或法规进行合规与风险报告,以简化审计流程。
第三部分:比例原则
为满足3.6和3.7中的要求,主流平台:
- 使安全与风险管理团队能够根据供应商固有风险评分自动分层。评估结果可用于设定适当的后续尽职调查级别,并确定持续评估的范围。
- 自动将基于控制的评估所收集的信息映射至包括ISO 27001、GDPR在内的数十种监管框架。这使您能够快速可视化并处理关键合规要求,同时简化审计流程。
- 提供通用合规框架(PCF),这是一项单一且全面的评估方案,使安全与风险管理团队能够针对多项监管要求进行映射响应。
第五章:外包前阶段
为满足5.8、5.10-5.13及5.18-5.24中的要求,主流平台提供:
- RFx管理,助力企业实现供应商选择决策的自动化,并融入风险智能分析。
- 合同生命周期管理,通过自动化提升供应商签约体验,并实施持续的SLA监控。
- 对第三方进行全面分析和分层,以确定其重要性。评估标准包括关键性、监管考量、对第四方的依赖程度、运营风险、财务状况及声誉。
- 内置工作流、任务和证据管理的最大标准化与定制化风险评估库。包含基于ISO 22301标准的内置业务韧性评估。
- 原生网络安全、数据泄露、业务运营、声誉及财务风险
持续监控,在年度评估间隔期动态评估供应商风险,并将发现结果与评估数据关联比对,以判定是否需要进一步调查。 - 将评估和监控结果自动映射至NIST、ISO及其他控制框架,以证明合规性。
- 构建更强大的第三方业务韧性计划指南
- 通过事件评估、风险评分及修复指导,实施安全事件响应以识别并减轻第三方供应商安全漏洞的影响。
第六节:外包协议
为满足6.3节的要求,Prevalent将供应商合同的分发、讨论、保留和审查集中管理。凭借这些功能,组织可集中追踪所有可能影响服务水平的合同及合同属性,从而有效执行合同保障措施。
第七节:数据安全
为满足第7节的要求,Prevalent提供了一个统一的协作平台,用于开展隐私评估并缓解第三方和内部隐私风险。关键数据安全与隐私评估功能包括:
- 定期评估并绘制关系图,以揭示个人数据的存在位置、共享位置和访问权限--所有这些都汇总在风险登记册中,以突出关键风险点。
- 隐私影响评估可发现存在风险的业务数据和个人身份信息 (PII),使您能够分析风险的来源、性质和严重程度,并获得补救指导。
- 供应商评估依据《通用数据保护条例》(GDPR)
及其他隐私法规,通过普适合规框架(PCF)实现——通过将识别出的风险映射至具体管控措施,助您揭示潜在风险点。 - 将 GDPR 风险和响应映射到控制措施--为您提供合规百分比评级和特定利益相关者报告。
- 该数据库包含全球数千家公司 10 多年的数据泄露历史。包括被盗数据的类型和数量、合规性和监管问题以及实时供应商数据泄露通知。
- 集中入职、分发、讨论、保留和审查供应商合同。这可确保数据保护规定从合作关系一开始就得到执行。
第八节:访问、审计与信息权利
为满足8.7和8.9中的要求:
- 普遍控制验证服务通过对照既定测试规程,审查第三方评估反馈及相关文件,以验证所示控制措施是否切实到位。
- 普瑞维兰特专家首先审核评估反馈,无论来自定制问卷还是标准化问卷。随后我们将反馈内容映射至SIG、SCA、ISO、SOC II、AITECH及其他控制框架。最后,我们与您共同制定整改方案并全程追踪直至完成。凭借远程与现场服务选项,普瑞维兰特以专业能力助力您利用现有资源降低风险。
- Prevalent 通过内置任务和验收管理以及强制上传功能,集中管理认证、协议、合同和支持证据。
第九节:分包
为满足第9节的要求,Prevalent通过原生识别评估或被动扫描第三方公共基础设施,识别第四方及第N方关系。由此生成的关系图谱可揭示可能通向目标环境的信息路径与依赖关系。经此流程发现的供应商将接受持续监控,以识别其财务风险、ESG风险、网络安全风险、业务风险及数据泄露风险,同时进行制裁对象/政治敏感人物筛查。
第十节:业务连续性与退出计划
为满足10.1、10.3和10.9中的要求,Prevalent:
- 为组织提供免费资源,供其在构建或完善第三方业务连续性计划时使用。
- 包含基于ISO 22301标准实践的全面业务韧性评估,使组织能够:
- 根据供应商的风险状况和对业务的重要性对其进行分类
- 概述恢复点目标(RPO)和恢复时间目标(RTO)
- 集中管理系统库存、风险评估、RACI 图表和第三方
- 确保在业务中断期间与供应商保持一致的沟通
普瑞万如何助力满足PRA SS2/21外包与第三方风险管理要求
Prevalent可协助企业实现重要性评估自动化,并持续监控外包及非外包第三方供应商的业务韧性风险。通过评估与监控功能,企业能够判定并验证供应商的缺陷或绩效失效是否对以下方面造成重大损害:
- 该组织满足阈值条件的能力
- 遵守《基本规则》或金融行为监管局(FCA)的《业务原则》
- 英国的金融稳定性
- 该组织在《PRA规则手册》信息收集部分下的要求
- 该组织的财务或运营韧性
对于已将内部控制或关键职能外包的组织,Prevalent可协助判断缺陷或绩效失效是否会对相关职能产生不利影响。同时,它还能帮助评估中断、失效或绩效不足可能对以下方面造成的影响:
- 操作风险、行为风险、信息与通信技术(ICT)风险、法律风险及声誉风险
- 该组织遵守法律法规要求并据此进行报告的能力
- 该组织获取关键数据的权限,或机密及高度机密数据遭泄露的风险
遵守PRA SS2/21的后续步骤
如需了解Prevalent如何协助满足PRA监管声明SS2/21中的要求,请立即下载完整的合规检查清单或申请演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
