金融稳定研究所 FSI见解 论政策执行编号53 管理云风险-监督金融部门关键云服务提供商的一些注意事项 作者:TingYangKoh和JermyPrenio2023年11月 JEL分类:G20,G28,O38 关键词:云服务提供商,关键CSP FSIIsights由国际清算银行(BIS)金融稳定研究所(FSI)的成员撰写,通常与监管机构和中央银行的工作人员合作。这些文件旨在促进有关金融部门当局面临的一系列当代监管和监督政策问题以及实施挑战的国际讨论。其中表达的观点仅是作者的观点,不一定反映国际清算银行或基于巴塞尔的委员会的观点。 由FSI主席FernandoRestoy授权。 该出版物可在BIS网站(www.bis.org)上找到。要与BIS全球媒体和公共关系团队联系,请发送电子邮件至media@bis.org。您可以在www.bis.org/emailalerts.htm上注册电子邮件警报。 ©BankforInternationalSettlements2023.Allrightsreserved.Briefexcerptsmaybereplicatedortranslatedprovidedthesourceisstated. ISSN2522-249X(在线) ISBN978-92-9259-706-1(在线) Contents 执行摘要1 第1节-介绍3 第2节-云服务及其在金融部门的使用背景4 第3节-现有的普遍方法:对金融部门使用的CSP的间接监督8 第4节-直接适用于CSP的法规/指导/监督/监督做法9 具有跨部门应用10 具体到金融部门11 第5节-加强或引入直接监督框架时的一些考虑因素对金融部门的关键CSP15 第6节-结论19 参考文献21 附件-托管前三个CSP中至少一个区域的司法管辖区列表23 管理云风险-监督金融部门关键云服务提供商的一些注意事项iii 管理云风险-监督金融部门关键云服务提供商的一些注意事项1 执行摘要 多年来,金融公司对云的使用一直在增加,预计将继续这样做。尤其是在过去几年中,随着大流行后公司提出了长期的数字化转型和现代化计划,向云的迁移加速了。就金融公司而言,他们转移到云中的关键工作负载似乎显着增加,尽管这些工作负载仍处于相对较低的水平。 金融公司对云的使用带来了好处和风险。云服务允许更容易地访问基础设施和服务,否则这些基础设施和服务将是昂贵的,或者需要很长时间来构建和维护,从而降低了金融服务的成本。大型云服务提供商(CSP)可以提供与单个金 融公司在其场所创建的IT环境相对可靠的IT环境。然而,云应用引入了新的风险,有可能影响金融公司的业务运营。这些风险包括对数据安全性和隐私、系统可用性、操作连续性、互操作性、可审计性和符合法律要求的威胁。 少数CSP的优势加剧了这些风险。三个参与者主导着全球云市场,也经常被不同司法管辖区的金融公司使用。金融公司也可能使用区域或国内重要的CSP。因此,许多金融公司的业务连续性可能会受到任何这些CSP的网络攻击和中断 的影响。最近的全球CSP中断证明了这一点,近年来一直是一个重大问题。如果金融公司的关键职能位于同一CSP中,则风险更为明显,并且对于监管机构而言令人担忧。 需要采取监管干预措施来应对云采用带来的风险。通常,在CSP和获取其服务的实体之间分配控制责任。使用云的金融公司有责任确保他们在云中为客户提供的服务的可用性、弹性和安全性,而CSP需要采取措施使整体环境具有弹性和 安全性。但是,金融公司可能无法完全了解CSP采用的风险管理和控制措施。此外,虽然金融公司可以采取各种措施来确保其云工作负载的可用性和弹性,例如采用多区域和多云方法,但这些措施可能会导致在不同云环境中设计和运行的成本,复杂性和资源需求增加。因此,仅靠金融公司没有能力完全减轻云采用带来的风险。 在某些司法管辖区,CSP受横向或跨部门法规的约束。这些要求可能包括注册或申请许可证以及满足信息和通信技术(ICT)当局施加的其他要求。它们还包括网络安全机构发布的网络安全法规,涵盖广泛的行业。其他司法管辖区也有法律或法规对其关键基础设施提出要求,包括数据存储和处理。 1杰米·普列尼奥(杰米。Preio@bis。org),国际清算银行;以及丁阳科(Koh_Tigyag@mas。政府。sg),新加坡金融管理局。我们感谢BorisPetrAgstiov,ChesterCha,MelGratham,MarsGrimpe,StefaHohl,MattiasLevi,OrladoFerádezRiz,MariaTsai,MichalisTsavdaridis以及“监管关键云服务提供商”专题研讨会的参与者,该研讨会将于2023年8月24AaHezma提供了宝贵的行政支持。 管理云风险-监督金融部门关键云服务提供商的一些注意事项1 在金融部门,流行的方法是对CSP的间接监督,从系统的角度来看,这可能还不够。这种方法主要依靠金融公司来管理因获取第三方服务而产生的风险,并评估此类服务对其自身运营弹性的潜在影响。在评估和解决上述CSP风险时 ,这种方法并不能真正解决金融公司的局限性。此外,虽然这种方法可能潜在地解决单个公司面临的风险,但它可能不足以解决CSP运营中断对金融体系的潜在影响。因此,一些司法管辖区已经或正在计划对CSP采取更直接的监督方法,这些方法被认为对金融系统的运作至关重要。许多司法管辖区也有兴趣探索这种可能性。 本文确定了金融当局在为关键CSP引入直接监督框架时的一些注意事项。首先,金融当局可能希望利用ICT和网络安全当局发布的现有跨部门法规。如果已经制定了国家关键基础设施法规或法律,则金融当局的直接监督干预应与这种方法保持一致。其次,必须与相关非金融当局密切协调,因为他们将相关专业知识带到了表格中。各当局在设计和执行CSP相关要求方面的密切协调可以帮助确保监管要求和期望的一致性,并减少与CSP接触时的低效率。更重要的是,这种密切协调 应导致信息的高效和有效流动以及在关键CSP经历系统性业务中断的情况下的响应和恢复措施。 金融当局的战略可能因其法律授权而异。如果他们有直接监管CSP的法律授权,他们可以考虑在横向法规的基础上引入对关键CSP的额外要求,同时考虑到金融部门特定的问题。这些要求可能包括更高的风险管理或弹性标准,或更频繁 和更密集的弹性测试以及事件响应和恢复练习。为了避免道德风险(即金融公司将其管理第三方风险的责任和问责制转嫁给金融当局),这些直接要求的引入不应消除间接监督方法下金融公司的义务。如果金融当局没有法律授权来监督CSP,并且其管辖范围内没有相关的横向机构,则金融当局需要加强现有的间接监督方法。例如,它们可以加强对使用关键CSP的金融公司的要求,并期望这些要求将反映在公司与CSP的安排中。 有必要为关键CSP的监督作出跨境安排。尤其是CSP在多个司法管辖区中被认为是关键的,并且对CSP使用这些司法管辖区以外的数据中心没有限制的情况。在这种情况下,CSP的运营中断可能会产生跨境影响。进行跨境监督安排还将确保关键的CSP遵守各个司法管辖区一致的法规和标准,并避免不必要的监管工作重复。但第一步是确定在多个司法管辖 区可能至关重要的CSP。在这方面,全球标准制定机构可以发挥作用。 跨境监督安排可以是非正式的,也可以是正式的。非正式安排是分享信息或最佳做法的自愿团体。它们还可以用作进行临时联合复原力测试或演习的平台。正式安排可以采取针对特定CSP的集体跨境监督机构的形式。该机构的组织可能 会受到为具有跨境重要性的设施建立的制度或监督学院的启发。正式安排可以促进与非正式安排相同的活动,但前者将能够采取具有约束力的预防措施和纠正措施。在这两种情况下,就像在国家一级一样,这些安排的目标之一应该是确保在发生涉及CSP或CSP的跨界和系统性事件时,有能力作出有效和有效的反应。 2管理云风险-监督金融部门关键云服务提供商的一些注意事项 第1节-介绍 1.金融企业越来越依赖云服务提供商(CSP)等技术和技术提供商,这凸显了金融当局需要在金融系统层面更好地管理运营弹性问题。近年来,金融企业越来越多地使用新技术。其中一些技术是由技术公司作为外包服务提供的。云服务就是一个例子。通常,典型的金融公司使用云可以增强其IT安全性,超出公司本身的能力。然而,鉴于云服务的提供主要集 中在一些全球技术公司,CSP的运营中断对金融生态系统的后果可能相当严重,特别是如果金融公司的关键职能在云中。鉴于少数领先的CSP的广泛业务范围,潜在影响也可能是跨境和跨部门的。因此,金融当局可能会认为有必要评估和管理这些潜在中断对个别金融公司层面以外的运营弹性的可能影响。 2.从系统的角度来看,金融公司使用CSP的普遍监管方法可能还不够。最常见的监管方法侧重于金融公司如何管理自己因获取第三方服务而产生的风险,包括CSP的风险。法规通常要求金融公司评估此类服务对其自身运营弹性的潜在影响。这包括在选择服务提供商时进行尽职调查,以及确保合同协议为金融公司提供检查或审计其服务提供商(有时包括其 重要分包商)的权利。这种方法解决了微观审慎问题,但考虑到上述CSP运营中断的潜在影响,从宏观审慎的角度来看可能还不够。此外,领先的CSP的市场力量提出了一个问题,即金融公司是否具有正确的能力,权力和手段来按照现有法规的设想对风险进行彻底评估。这导致Preio和Restoy(2022)认为,可能有理由将CSP,特别是对金融系统至关重要的CSP置于监督框架之下。 3.金融稳定委员会(FSB)明确承认识别、监控和管理来自第三方依赖关系的潜在系统性风险的重要性。FSB(2023)认识到个别金融公司可能无法充分管理这些系统性风险。它暗示了某些司法管辖区的金融当局拥有或正在获得对关键服务提供商的监管权,但也指出其他司法管辖区的金融当局没有这样做的法律权力。因此,它提出了一些工具来帮助金融当局识别 系统性的第三方依赖关系,并发现和管理潜在的系统性风险。本文以FSB(2023)为基础,通过(i)重点关注关键 CSP和(ii)确定金融机构对此类关键CSP的监督考虑因素。 4.本文探讨了关键CSP的潜在监督框架可能是什么样子,同时考虑到其业务的跨境和跨部门性质。第2节提供了在金融部门使用云服务的背景。第3节概述了现有的普遍监管方法。第4节讨论直接适用于CSP的现有或拟议的法规或监 督做法。第5节探讨了在加强或引入法规或监督实践以更好地管理关键CSP潜在运营中断的深远影响时的考虑因素。第六节结束。 管理云风险-监督金融部门关键云服务提供商的一些注意事项3 第2节-云服务及其在金融部门的使用背景 5.FSB将云计算定义为一项创新,允许使用托管处理器的在线网络来增加计算能力的规模和灵活性。有不同类型的云计算服务模型(基础设施即服务,平台即服务,软件即服务和业务流程即服务),以及不同类型的部署模型(公共云,私有云和混合云)。2值得注意的是,三个CSP——亚马逊网络服务、微软Azure和谷歌云——主导着全球云市 场,占据了近三分之二的市场(图1)。 市场份额CSP图1 资料来源:协同研究小组。 6.CSP通常被组织成区域和可用区。这些旨在提高弹性并减少延迟。3这些离散区域还确定了灾难恢复和数据驻留边界。除了区域和区域外,CSP还具有“存在点”网络,即战略性地位于最终用户附近的通信设备,以便连接到数据中心,以进一步减少延迟并提高应用程序的性能。方框1说明了CSP通常是如何组织的,并定义了不同的组成部分,而附件显示了具 有CSP区域的司法管辖区。值得注意的是,只有36个司法管辖区拥有全球三大CSP的区域,即其数据中心位于这些司法管辖区。这意味着不在名单上的辖区内的客户依赖于位于其管辖范围之外的CSP数据中心。采用多区域战略的客户(有关这方面的更多讨论见下文)也可能依赖于位于国外的数据中心。 2有关这些不同类型的云服务和部署模型的说明,请参阅FSB(2019)。 3弹性