8月18日,肯尼亚中央银行(简称CBK)利用《银行法》第33(4)节赋予的权威发布了识别和缓解网络风险指南(Guidance Note)。这份指南指导《银行法》(第488章)的授权机构制定并采用一套综合的计划要求以缓解网络安全风险。
肯尼亚IT服务及商业咨询公司Serianu 发布的一份报告指出,肯尼亚2016年因网络犯罪损失近1.75亿美元(约合人民币11.7亿元),报告称,公共与私营部门的电子服务是网络风险急剧增加的主要因素。
有专家表示,肯尼亚经济与银行服务自动化之间的互联性进一步将该国金融行业置于风险之中。肯尼亚中央银行也认识到金融机构之间的互联性,认为有必要采用协同手段和信息共享措施共同维护公众对金融系统的信任与信心。
指南对金融机构提出了制定有效网络安全政策和程序的基本要求,但同时也承认指南不会取代机构必须遵守的当前法律、法规和指导方针。
指南的监管指导意见
“指南”对以下关键方向提出监管指导意见:
高级管理层的责任:
指南强调通过自上而下的方法管理风险,并要求组织机构各个层级履行义务:董事会和高级管理层直接负责网络安全风险缓解的战略事宜,金融机构必须任命一名首席信息安全官,以制定并实施组织机构的网络安全政策与控制。
机构董事会应强化机构网络安全政策与程序的重要性,并提高相关意识,在高层中树立正确方向。此外,还应根据机构的结构合理分配网络安全预算,确保网络安全政策适用于机构的所有经营实体,包括子公司、合资企业和办事处。
高级管理层应负责实施机构的网络安全风险识别与缓解策略,并制定网络安全事件响应计划及遏制策略。
机构应将首席信息安全官归为高级管理层,负责机构网络安全策略的制定与实施,例如确保信息系统满足机构、信息与通信技术策略(ICT)需求,并测试机构的灾难恢复能力以实施业务连续性计划。
指南规定,首席信息安全官每个季度至少应向首席执行官汇报一次信息系统机密性、完整性和可用性相关情况(经批准的网络安全政策与程序除外)、网络安全计划的效果评估,以及其间发生的重大网络安全事件。
内外审计:
指南要求机构发挥内部审计、风险管理和外部审计的职能。内部审计必须包括评估机构网络安全框架的设计与有效性,以及威胁和漏洞评估测试,此类评估结果须向董事会报告。外部审计应执行类似评估(每年须将结果报告给董事会和中央银行)。风险管理必须包含监控当前威胁与新兴威胁,并进行适当调整以符合法律法规。
第三方服务安全:
指南特别强调使用第三方服务的网络安全风险,例如云端服务,指南建议机构制定针对潜在服务提供商的适当外包协议、尽职调查程序,并监控服务进程。
安全意识培训:
机构必须为所有人员提供IT安全意识培训,包括高级管理层和董事会。
此外,机构应制定正规计划,详述将提供给机构网络安全专家的技术培训。
机构还须向第三方利益相关者(包括客户、供应商、合作伙伴和服务提供商)提供网络安全意识和信息。
机构必须根据指南要求,将网络安全政策提交给中央银行,且必须在24小时内向中央银行报告任何可能对业务运作、财产或名誉造成重大负面的影响的网络安全事件,并向中央银行提交所有网络安全事件与处理情况相关的季度报告。
若未遵守《银行法》第33节的规定,机构除承担《银行法》第49节规定的罚款以外,还须按规定承担每天的额外罚款以及过失持续期间造成的部分损失。