新加坡金融科技协会推出了一套“金融科技服务提供商(FSP)合规准备框架”,旨在提升FSP的合规水平,增强FSP与金融机构(FI)之间的外包合作关系。该框架分为三个主要部分:
I. 实体层面控制
- 控制环境:确保FSP的管理指令得到执行,涉及建立工作场所行为标准、候选人入职审查、组织结构定义及责任分配等。
- 风险评估:考虑FSP业务增长、采用新技术、新商业模式的影响,以及公司重组对报告责任和资源的影响。
- 信息与通信:确保与FSP各职能相关的流程有正式的政策文档,建立内部和与FI的沟通渠道,提高员工对信息安全和法规要求的认识。
II. 一般信息技术(IT)控制
- 逻辑安全:限制对IT系统的访问,确保密码策略、请求审批、访问撤销等机制实施到位。
- 物理安全:保护数据中心免受内外部威胁,实施访问控制、审计跟踪、物理访问凭证管理等。
- 变更管理:对软件和系统变更进行受控管理,包括请求、审批、测试、实施和文件记录。
- 突发事件管理:及时响应并解决系统和网络问题,记录事件细节,进行根本原因分析。
- 备份与灾难恢复:定期备份数据,确保业务连续性计划记录、测试和维护。
- 网络与安全管理:实施安全基线、防病毒、补丁管理、文件完整性检查、网络安全控制等。
- 安全事件响应:定义安全事件响应程序,定期测试,确保快速响应。
- 系统漏洞评估:定期进行漏洞评估和渗透测试,及时修复安全漏洞。
III. 附加部分
该框架考虑了FSP规模、运营模式和逐步发展能力,旨在最终符合MAS的技术风险管理(TRM)要求和网络卫生通知。它为FSP提供了一个结构化的自我评估工具,帮助FSP了解其在金融服务行业的合规成熟度,并作为与金融机构合作的基础。通过这一框架,FSP可以提高其合规性,增强金融机构的信任,从而促进可持续的外包关系。
