肯亞中央銀行發布網路安全指南

E安全8月25日訊 8月18日，肯亞中央銀行（簡稱CBK）利用《銀行法》第33（4）節賦予的權威發布了識別和緩解網路風險指南（Guidance Note）。這份指南指導《銀行法》（第488章）的授權機構制定並採用一套綜合的計劃要求以緩解網路安全風險。

肯亞IT服務及商業諮詢公司Serianu 發布的一份報告指出，肯亞2016年因網路犯罪損失近1.75億美元（約合人民幣11.7億元），報告稱，公共與私營部門的電子服務是網路風險急劇增加的主要因素。

有專家表示，肯亞經濟與銀行服務自動化之間的互聯性進一步將該國金融行業置於風險之中。肯亞中央銀行也認識到金融機構之間的互聯性，認為有必要採用協同手段和信息共享措施共同維護公眾對金融系統的信任與信心。

指南對金融機構提出了制定有效網路安全政策和程序的基本要求，但同時也承認指南不會取代機構必須遵守的當前法律、法規和指導方針。

指南的監管指導意見

「指南」對以下關鍵方向提出監管指導意見：

指南強調通過自上而下的方法管理風險，並要求組織機構各個層級履行義務：董事會和高級管理層直接負責網路安全風險緩解的戰略事宜，金融機構必須任命一名首席信息安全官，以制定並實施組織機構的網路安全政策與控制。

• 機構董事會應強化機構網路安全政策與程序的重要性，並提高相關意識，在高層中樹立正確方向。此外，還應根據機構的結構合理分配網路安全預算，確保網路安全政策適用於機構的所有經營實體，包括子公司、合資企業和辦事處。

• 高級管理層應負責實施機構的網路安全風險識別與緩解策略，並制定網路安全事件響應計劃及遏制策略。

• 機構應將首席信息安全官歸為高級管理層，負責機構網路安全策略的制定與實施，例如確保信息系統滿足機構、信息與通信技術策略（ICT）需求，並測試機構的災難恢復能力以實施業務連續性計劃。

指南規定，首席信息安全官每個季度至少應向首席執行官彙報一次信息系統機密性、完整性和可用性相關情況（經批准的網路安全政策與程序除外）、網路安全計劃的效果評估，以及其間發生的重大網路安全事件。

指南要求機構發揮內部審計、風險管理和外部審計的職能。內部審計必須包括評估機構網路安全框架的設計與有效性，以及威脅和漏洞評估測試，此類評估結果須向董事會報告。外部審計應執行類似評估（每年須將結果報告給董事會和中央銀行）。風險管理必須包含監控當前威脅與新興威脅，並進行適當調整以符合法律法規。

指南特彆強調使用第三方服務的網路安全風險，例如雲端服務，指南建議機構制定針對潛在服務提供商的適當外包協議、盡職調查程序，並監控服務進程。

機構必須為所有人員提供IT安全意識培訓，包括高級管理層和董事會。

此外，機構應制定正規計劃，詳述將提供給機構網路安全專家的技術培訓。

機構還須向第三方利益相關者（包括客戶、供應商、合作夥伴和服務提供商）提供網路安全意識和信息。

機構必須根據指南要求，將網路安全政策提交給中央銀行，且必須在24小時內向中央銀行報告任何可能對業務運作、財產或名譽造成重大負面的影響的網路安全事件，並向中央銀行提交所有網路安全事件與處理情況相關的季度報告。

若未遵守《銀行法》第33節的規定，機構除承擔《銀行法》第49節規定的罰款以外，還須按規定承擔每天的額外罰款以及過失持續期間造成的部分損失。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！