支付和市场基础设施委员会 国际证券委员会组织理事会 PFMI的实施监测:金融市场基础设施网络弹性的3级评估 2022年11月 该出版物可在BIS网站(www.bis.org)和IOSCO网站(www.iosco.org)上获得。 ©BankforInternationalSettlementsandInternationalOrganizationofSecuritiesCommissions2022.Allrightsreserved.Briefexcerptsmaybereplicatedortranslatedprovidedthesourceisstated. ISBN978-92-9259-605-7(在线) Contents 缩写5 1.执行摘要7 1.1评估范围7 1.2评估的主要结果8 2.导言11 2.1L3评估的目标11 2.2本次审查的范围11 3.流程和方法12 3.1.Jurisdictional/FMIcoverage13 3.2数据收集和分析13 4.结果分析13 4.1A.一般性议题14 4.1.1采用网络指南和其他相关的网络弹性框架和标准14 4.1.2制定具体的网络响应和恢复计划,以满足2hRTO的要求,以安全及时地恢复关键Operations15 4.1.3Covid-19大流行对网络弹性的影响17 4.2Governance18 4.2.1网络抵御能力目标、治理安排和风险偏好18 4.2.2网络复原框架和战略19 4.2.3向董事会(或同等管理机构)报告19 4.2.4董事会(或同等管理机构)成员的经验和能力20 4.2.5负责网络弹性和CISO报告行20的高级管理人员 4.3测试21 4.3.1网络测试计划21 4.3.2脆弱性评估22 4.3.3基于场景的测试23 4.3.4渗透测试24 4.3.5红队测试25 4.3.6其他测试实践或方法26 4.3.7协调26 4.4学习和发展27 4.4.1回顾弹性姿势27 4.4.2定义攻击面28 4.4.3网络事件的教训28 4.4.4获取新的知识和能力28 4.4.5网络弹性基准测试29 附件A-调查问题30 附件B-IMSG和评估小组成员49 缩写 AT评估小组 BIS国际清算银行 BYOD带上你自己的设备 CCP中央对手方 CIO首席信息官 COBIT信息和相关技术的控制目标 COO首席运营官 CPMI支付和市场基础设施委员会 通用报告格式网络弹性框架 CRO首席风险官 CRS网络弹性战略 CSD中央证券存管机构 CTO首席技术官 FMI金融市场基础设施 IMSG执行情况监测常设小组 IOSCO国际证券委员会组织 ISO国际标准化组织 NIST美国国家标准与技术研究所 PFMI金融市场基础设施原则 PS支付系统 SSS证券结算系统 TR贸易存储库 2hRTO两小时恢复时间目标 1.执行摘要 2012年4月,国际清算银行支付和市场基础设施委员会(CPMI)和国际证券委员会组织(IOSCO)发布了《金融市场基础设施原则》(PFMI)。PFMI对关键金融市场基础设施(FMI)的设计和运营设定了期望,以提高其安全性和效率 ,更广泛地说,限制系统性风险并促进透明度和金融稳定。该原则适用于所有具有系统重要性的支付系统(PS),中央证券存管(CSD),证券结算系统(SSS),中央交易对手(CCP)和交易存管(TR)(统称为FMI)。这些FMI共同清除,结算和记录金融市场中的交易。 在PFMI发布之后,CPMI和IOSCO同意通过一个专门的常设小组,即实施监测常设小组(IMSG),在28个CPMI和IOSCO成员管辖区监测其实施情况。正在三个层面监测执行情况。关于司法管辖区是否已完成通过立法和其他政策以使其能够执行原则和责任的一级自我评估报告。2级评估是对辖区实施措施的内容是否完整并与PFMI一致的程度的同行评审。第3级(L3)同行评审检查FMI实施原则和当局实施责任的结果的一致性。 本报告是对FMI实施PFMI结果一致性的第四次L3评估。1它侧重于网络弹性,由IMSG和来自CPMI和IOSCO 成员司法管辖区的专家团队在2020-22年进行。 虽然第3级评估报告不包括评级,但它们确实包括关键发现。在这方面,IMSG确定了网络响应和恢复计划领域的一个严重问题,以实现两小时恢复时间目标(2hRTO),以及网络弹性计划和测试领域的四个问题。IMSG还注意到了一些观察结果。 1.1评估范围 该评估基于PFMI的原则2、3和17(以及相关的关键考虑因素)。它以《金融市场基础设施网络弹性指南》(“网络指南”)为基础,涵盖了网络弹性框架的三个重要组成部分:(i)治理;(ii)测试;(iii)学习和发展。 这项评估的总体目标是审查网络指南所提供的FMI网络弹性的现状。它旨在了解FMI如何以及在多大程度上使用了网络指南。评估发现,网络指南的采用程度相当高,绝大多数FMI表明他们在设计网络弹性框架时采用或引用了网络指南的部分内容。 来自29个司法管辖区的37个FMI参加了评估,包括具有系统重要性的PSs,CSD/SSS,CCPs和TRs。 1以前的3级报告是:CPMI-IOSCO,PFMI的实施监测:3级评估-关于10个衍生品CCP的财务风险管理和恢复实践的报告,2016年8月 ;CPMI-IOSCO,PFMI的实施监测:CCPs复苏计划的3级后续评估,财务资源覆盖率和流动性压力测试,2018年5月;以及CPMI-IOSCO,PFMI的实施监测:FMI业务连续性计划的3级评估,2021年7月。这些报告可在CPMI和IOSCO网站上查阅。 FMI自愿参加,并回复了一份自我评估问卷,并在2021年2月至4月初收到了回复。这得到了几轮后续问题以及2021年6月28日举行的研讨会的补充,研讨会与FMI讨论了相关问题,并收到了额外的投入。CPMI-IOSCOIMSG及其评估小组(AT)要感谢参与的FMI及其主管和监督员在此次演习中的合作。 重要的是,由于L3评估是同行基准测试,而不是监督活动,因此评估的重点是整个FMI组的相关原则和关键考虑(KC)实施结果的一致性,而不是每个FMI的具体实施结果。正如PFMI的责任D所述,相关监管机构有责任确保各FMI适用这些原则。此外,本报告中的调查结果仅基于IMSG对37个FMI的审查,不一定代表所有FMI。进一步承认,使用调查也有局限性,FMI可能会以不同的方式解释问题。 1.2评估的主要结果 尽管网络指南得到了相当高的采用,IMSG还是确定了一个严重的关注问题和四个可能需要进一步分析的关注问题。所有FMI(包括不属于样本的部分)及其主管、监管机构和监督者应考虑本报告中确定的任何关注问题是否与之相关。根据各自的监管、监督和监督责任,当局应确保PFMI在各自的管辖范围内得到一致的应用,并由各个FMI执行,正如PFMI的责任D所述。2然而,这项工作的主要发现总结如下。 严重关切问题3 1.少数FMI尚未制定其网络响应和恢复计划,以满足符合原则17KC6的两小时恢复时间目标(2hRTO)。在这一小部分中,有FMI没有计划解决方案,这导致无法实现其恢复时间目标。这一发现使人们对这些FMI的网络弹性和准备水平产生了怀疑,并被标记为一个严重的关注问题,应给予最高优先处理。 关注的问题 1.除了与严重问题相关的少数FMI之外,另一些FMI已经建立了满足2hRTO的网络响应和恢复计划,认识到他们的计划无法满足2hRTO在极端网络攻击情况下。这是与原则17KC6相关的FMI实施成果中的差距或缺陷,应予以解决。 2.AnumberofFMIarenotconductingnetworkresilabilitytestsafterasignificantchangeintheirsystems.Forexample,asignificantmajorityofFMIindicatethattheydonottesttheintegrityofbackupdata,somedonotperform 2由于IMSG只能获得匿名调查结果,因此CPMI和IOSCO无法向特定的相关当局提出本评估中确定的问题。 3如果评估的结果与FMI的《原则》和PFMI的KCS标准之间的差距或缺陷有关,则将其描述为(严重的)关注问题。虽然所有“关切问题”都应得到解决,但“严重关切问题”是已查明的差距或缺点,应以最高优先事项加以解决。这与以前的3级评估中采取的分类和方法以及PFMI第 1.36段和网络指南第1.1.1段的前提一致,后者指出标准包含在原则和KCS中。 发生重大变化后的渗透测试。这是与原则17KC2相关的FMI实施结果中的差距或缺点,应该予以解决。 3.多个FMI可能没有进行全面的基于场景的测试,这让人怀疑这些FMI是否已经充分验证了其在网络中断后恢复和恢复运营的能力。例如,一些FMI表示他们没有在基于场景的测试练习中测试治理安排。相对于原则17KC6,FMI的实施结果存在差距或缺陷,应加以解决。 4.一些FMI不包括FMI参与者,大多数FMI在测试他们对网络事件的响应、恢复和恢复计划和流程时不包括关键服务提供商和相关FMI。这使FMI在识别,监视和管理外部各方的风险方面满足原则17KC7的能力受到质疑。这也可能影响FMI是否能够证明其在网络事件发生后恢复和恢复运营的能力,如原则17KC6所预见的那样。这些都是值得关注的问题。 关于上述(严重)关注的问题,应当指出,AT只能获得匿名调查结果,因此CPMI和IOSCO无法向特定的相关当局提出本次评估中确定的调查结果。但是,考虑到这些(严重的)问题的总体影响,它们似乎共同强调了FMI网络弹性的明显挑战,应该以最高优先级来解决。 还应当指出的是,L3评估是对等基准的工作,而不是监督工作。因此,报告的重点是整个FMI组的相关原则和KC的实施结果的一致性,而不是每个FMI的具体实施结果。 正如PFMI的责任D所指出的那样,确保各个FMI实施这些原则属于相关监管机构的责任范围。此外,本报告中的调查结果是基于IMSG对37个FMI对调查问卷的答复的审查,可能不一定代表所有FMI。 使用调查也有局限性,即FMI可能以不同的方式解释了问题。例如,大量FMI没有识别出他们无法满足 2hRTO的任何极端网络攻击场景,但这可能是因为他们考虑的极端场景不如那些FMI在某些场景中表示他们无法满足 2hRTO的极端场景。 Observations4 1.SomeFMIdidnotclearlydefineacceptablerisklevelsusingquantitativemetrics.Thismaycallintoquestionwhetherspecificand有形metricsarebeingusedbyFMItoclearlyexcellenttheirrisktolerance. 2.ThereareawiderangeofpracticesaroundthepartyorpartiesresponsibleforapprovingtheacceptablelevelofnetworkriskforFMIs.SomeFMIsindicatedthattheirboardwasultimallyaccountable. 3.SomeFMIdidnotprovideadescriptionoftheprocessormetricsthroughtheyassessthelevelofnetworkrisk-relatedskillsoftheirboardmembers.Wheresuchassessmentsareabsence, 4当评估结果与PFMI和/或网络指南中的解释性说明有关时,将其描述为观察结果。PFMI中的解释性说明和相关指南(例如网络指南)并不代表PFMI中规定的额外要求。观察结果与FMI之间的实施结果差异