新加坡修订了其现行的一套金融机构技术风险管理准则,除其他外,还包括对其与第三方服务提供商的合作关系进行“强有力的监督”,以确保数据的机密性。更新后的名单还包括关于安全控制和压力测试以及任命第三方供应商和高级IT执行官的更新指南。
详见
该行业监管机构强调,金融机构越来越多地利用云技术和api(应用程序编程接口)作为这些组织技术开发和部署生命周期的一部分,需要纳入安全控制和更强有力的风险缓解策略。
“最近针对供应链的网络攻击层出不穷,这些攻击通过利用广泛使用的网络管理软件针对多个IT服务提供商,这是一个明显的问题“网络威胁环境恶化的迹象,”它补充道。
例如,使用第三方服务提供商可能会使用它,并可能涉及服务提供商存储的机密客户数据。这些提供商的任何安全漏洞导致的系统故障都可能对金融机构的客户和运营产生不利影响。
该指南强调,需要评估和管理公司面临的技术风险,这些风险可能会影响IT系统和数据的机密性和可用性第三方服务提供商,在合同协议或合伙关系建立之前。金融机构还应持续确保第三方在保护数据机密性、完整性和系统弹性方面采取“高标准的谨慎和勤勉”。
此外,金融机构必须建立程序,以便能够“及时分析和分享”该部门内的网络威胁情报,并通过模拟现实世界的攻击战术和程序,进行演习,对其网络防御进行压力测试。
更强有力的监督应进一步扩展到人类技能,包括承包商以及服务提供商,金融机构应确保所有人员具备履行必要的信息技术职能和管理技术风险的必要能力。
这应包括任命首席信息官或首席信息官,金融机构董事会必须由具备必要知识的成员组成,以提供“对技术和风险的有效监督”MAS首席网络安全官Tan Yeow Seng说:“技术现在支撑着金融服务的大部分方面。金融机构不仅采用新技术,而且越来越依赖第三方服务提供商。修订后的指导方针对金融机构的技术风险治理和安全控制提出了更高的期望,“pageType”:“article”}>M1点击诺基亚5G独立网络部署
