SWIFT客户安全计划.pdf

SWIFT客户安全计划 行动起来 在过去几年里，金融服务的政策制定机构和监管机构意识到，现在面临的 关键日期 挑战在于：金融服务系统面临大型的、毁灭性的颠覆将会何时发生，而非 是否会发生。过去12个月间，发生了多起众所周知的网络攻击。使人们相 • 2017年第一季度末：CSP准则 信这一情形的发生不只是有可能，而是可能性非常之高。因此监管的重点 定稿 逐步转向系统性的网络风险和系统中最薄弱环节，而不仅仅局限于在受监 • 2017年第二季度始：针对16项 管的机构内。同时，新修订或拟定的监管准则的发布也更加密集。 强制控制措施进行首次年度自我 这一转变显著提升了环球银行金融电信协会（SWIFT）对安全的关注程 认证 度。SWIFT首席执行官Gottfried Leibbrandt就孟加拉银行受到攻击一事表 • 2018年：SWIFT开始执行、检查 1 示，“这将成为银行业的分水岭，也将成为孟加拉银行改革的转折点” 。 和披露未能遵守强制性管制措施 加强SWIFT的安全对于全球金融市场至关重要：全球金融市场每年交易量达 的情况；客户可以加强其披露范 61亿笔，其中涉及人工干预的交易不在少数（约五分之一），且客户量超 围以涵盖11项建议的控制措施 过11,000个。 SWIFT最重要的新举措是其客户安全计划（CSP），这一举措在今年生 亟需行动的下一步 效。2017年第二季度起，SWIFT的客户必须证明其遵从该计划的16项强制 控制措施。2018年1月起，SWIFT将会与客户的监管机构及交易对手披露 • 组建跨职能团队监督CSP落实情 客户违规情况的信息。为了保障合规，SWIFT还会通过随机选择客户，被选中 况包括风险、合规、技术、法律 的客户将要求提供内部或外部审计等额外信息。SWIFT的客户可以选择采用 和运营 11项额外的建议（即自愿）控制措施，并通过内部审计或第三方检查将合 • 针对强制控制措施和建议控制措 规水平由“自我认证”提升到“自我检查”。 施进行就绪性评估 客户安全计划（CSP）针对了一系列的问题，当前这些问题在更加严苛和强 • 评估如何将认证要求与现行服务 制性的新要求下日益普遍，尤其在以下方面： 机构控制（SOC）报告要求一致 • 强访问权限、特权、密码和数据库控制以及多重身份验证 • 确定如何将SWIFT CSP与其他更广 泛的支付网络安全计划相一致 • 对数据流与业务流程的关联，以及对外部关键供应商依赖性的详细了解和 管控 • 复核过往设计、风险、IT/信息安 全调查发现/评估，以识别在落实 • 有效、及时和稳健的态势感知；漏洞管理和渗透测试；场景分析；发现和 CSP过程中需要修补的关键差距 异常分析；事件响应 • 评价交易处理过程中需要采取人 • 集成了安全考量的人力资源策略，包括培训和职责分离 工干预的环节，以确定潜在的技 术解决方案 • 完整的记录、监控及审计流程 1 Martin Arnold，“SWIFT如何回击网络盗窃”（