修订后的技术风险管理指南包括对金融机构与第三方服务提供商进行“严格监督”安排的指示,以确保数据机密性和高级管理层的职责细节。
新加坡已经修订了当前针对金融机构的技术风险管理指南,其中包括对与第三方服务提供商的伙伴关系进行“严格监督”,以确保数据的机密性。更新后的列表还包括有关安全控制和压力测试以及任命第三方供应商和高级IT管理人员的更新指南。
新加坡金融管理局(MAS)周一在一份声明中表示,根据《技术风险管理指南》进行了详细修订,以适应新兴技术和当前威胁形势的变化。
注意到金融机构越来越多地使用云技术和API(应用程序编程接口),行业法规强调了将安全控制和更强的风险缓解策略纳入这些组织的技术开发和部署生命周期的一部分的需要。
它补充说:“最近发生在供应链上的一系列网络攻击,通过利用广泛使用的网络管理软件来针对多个IT服务提供商,这清楚地表明了网络威胁环境的恶化。”
例如,可能会使用IT来提供第三方服务提供商的使用,并且可能涉及服务提供商存储的机密客户数据。这些提供商在安全性方面的任何系统故障都可能对金融机构的客户和运营产生不利影响。
该准则强调了在建立合同协议或合伙关系之前,必须评估和管理公司所面临的技术风险,这些技术风险可能会影响第三方服务提供商的IT系统和数据的机密性和可用性。金融机构还应持续确保第三方在保护数据机密性和完整性以及系统弹性方面采用“高标准的谨慎和尽职调查”。
此外,金融机构必须建立流程,以实现部门内网络威胁情报的“及时分析和共享”,并通过模拟真实的攻击策略和程序进行演练,以压力测试其网络防御。
加强监督应该进一步扩展到包括承包商和服务提供商在内的人类技能,在金融机构中,金融机构应确保所有人员具有执行必要的IT功能和管理技术风险所需的能力。
MAS表示,这应包括任命CIO或CISO,并且金融机构董事会必须由具备必要知识的成员组成,以提供“对技术和网络风险的有效监督”。
MAS首席网络安全官Tan Yeow Seng表示:“技术现在是金融服务大部分方面的基础。金融机构不仅在采用新技术,而且越来越依赖第三方服务提供商。修订后的准则提出了MAS的更高期望金融机构的技术风险治理和安全控制领域。”