新加坡金融管理局已为当地金融机构发布了一套技术风险管理指南。该文件是一段时间的磋商结果,其中提出的问题,例如“MAS如何定义'关键'系统?”可能是最终文件的催化剂,其中以'如何'的方式阅读指导但没有详细的参数或解释。
该文件提出了常识性建议,称仔细选择员工,供应商和承包商对于最大限度地降低系统故障导致的技术风险至关重要; 或者通过故意的行为或疏忽,人类是重要的威胁来源,这可能会对组织的信息系统造成伤害。
它还指出,如果IT事件导致IT服务交付意外中断,公司应该管理此类事件以避免长时间的中断。
MAS说,为了防止工作人员试图自己修复故障并造成更大的问题。
“在系统停运期间,金融机构应避免对已经由管理层进行排练和批准的预先确定的恢复行动采取即兴和未经检验的恢复措施。”
该准则没有法律约束力,尽管遵守其精神的程度是MAS对公司风险评估的一个考虑因素。
MAS表示,由于技术很重要,董事会和高级管理层应监督技术风险,他们还应参与关键IT决策,并负责有效的内部控制和风险管理实践。
通过不对高级管理人员实施强制性做法,该报告认为,金融董事会很少完全熟悉复杂的信息技术科学,因此别无选择,只能依赖内部专家。