這是《准則》接近20年來第一次大修訂。修訂後的《准則》將在明年6月6日生效,本地金融機構有12個月時間將這些措施落實到位。金融機構還應進行定期審計,第一次業務持續性管理審計應會在《准則》發布後的24個月內,即2024年6月6日前進行。
新措施規定,包括銀行、保險公司、證券行和付款服務商等,應爲所提供的每個關鍵業務服務確立恢複服務時間的目標。
去年11月,星展銀行的數碼銀行服務,包括即時支付選項PayNow,發生長達兩天普遍無法使用的事故。同樣,去年7月,大華銀行的客戶面對約兩個小時無法使用互聯網和移動銀行服務。
金管局自2019年開始共進行了兩輪公開征詢意見,在考慮到收到的意見回饋後,最終發布修訂後的《准則》。
關鍵服務包括提款、轉賬、信用卡或電子錢包付款、保單更新和股票交易等。
金管局助理局長(科技)黎日臣在文告中說:“在一個日益動蕩和複雜的環境下,新准則將有助金融機構在面臨威脅和中斷風險時,可以采取靈活和全面的方法來維持關鍵業務服務。”
吸取應對冠病疫情和金融業快速數碼化的經驗與教訓,新加坡金融管理局昨日發布修訂後的《金融機構業務持續性管理准則》加強措施,確保因爲資訊科技中斷、網絡攻擊、大流行病暴發、恐怖主義等造成金融服務中斷後,金融機構能夠快速恢複關鍵服務。
而且,由于金融業日益相互連接並依賴共同資訊科技系統和第三方,金融機構應該確認和列出涉及提供關鍵服務的所有供應商、科技和人員,以便堵住可能妨礙服務快速恢複的漏洞。例如,如果使用第三方服務供應商,金融機構須知道第三方的系統最後是在何時檢查是否有安全漏洞或被入侵,以及第三方的緊急聯絡號碼等詳情。
外國網襲事件,例如網絡管理公司太陽風(SolarWinds)和軟件公司Kaseya遭遇的網襲,也凸顯供應鏈被入侵和勒索軟件攻擊可能造成的幹擾。
汲取冠病疫情的經驗與教訓,《准則》認爲金融機構應該把關鍵業務服務的主要和第二基地分開,分區部署關鍵人員,並且啓動跨境支援作爲中斷期間的緊急措施之一。第三方供應商也必須遵循類似要求,銀行也應多元化供應商以減少風險。