2021年1月18日，新加坡金融管理局（MAS）发布《技术风险管理指南（修订版）》（Technology Risk Management Guidelines ），希望能够跟上新兴技术和网络威胁领域的快速变化。

随着金融机构对云技术、API的应用不断增加、软件开发环境的不断加速，本次修订的《指南》进一步强调了将安全控制纳入金融机构技术开发、产品交付以及新兴技术部署中的重要性。

最近发生在供应链上的一系列网络攻击，通过利用广泛使用的网络管理软件来针对多个IT服务提供商，这清楚地表明了网络威胁环境的恶化。因此，《指南》为金融机构设定了以下风险缓解策略，包括：

• 建立健全流程，以便在金融生态系统内及时分析和共享网络威胁情报；

• 进行网络演习，以使金融机构通过模拟现实世界攻击者使用的攻击策略、技术和程序来压力测试其网络防御能力。

鉴于金融机构对第三方服务提供商的依赖性越来越强，《指南》要求金融机构对与第三方服务提供商开展的合作进行严格监督，确保系统弹性、保持数据机密性和完整性。

此外，《指南》也针对董事会和高级管理层的角色和职责提供了额外的指导意见，包括：

• 董事会和高级管理层应确保任命具有必要经验和专业知识的首席信息官和首席信息安全官，并对管理技术和网络风险负责；

• 董事会应包括具有相关知识的成员，以对技术和网络风险进行有效监督。

MAS首席网络安全官Tan Yeow Seng先生说：

“如今，技术为大多数金融服务提供基础支持。金融机构不仅在采用新技术，而且也越来越依赖第三方服务提供商。通过修订后的《指南》，MAS在金融机构的技术风险治理和安全控制方面提出了更高的期望。”

原作：MAS 译者：高旭 原文来源：MAS

责任编辑：王超