挪威：金融部门评估计划-技术说明-网络安全风险监督和监督

国际货币基金组织的报告没有。20/262挪威金融部门评估规划2020年8月技术报告—网络安全风险监管和监督本技术说明 关于挪威网络安全风险监督和监督FSAP由国际货币基金组织的一个工作人员团队编写，作为背景与成员国定期磋商的文件。它基于2020 年 7 月 7 日完成时可获得的信息。本报告的副本可从以下网址向公众提供国际货币基金组织(imf)• 出版服务邮政信箱92780• 20090年华盛顿特区。电话:(202)623 - 7430• 传真:(202)623 - 7201电子邮件： publications@imf.org 网站： http://www.imf.org价格:18.00美元/打印副本国际货币基金组织(imf)华盛顿特区。©2020国际货币基金组织(imf) 挪威金融部门评估规划2020年7月24日,技术报告网络安全风险监督和监管本技术说明于2019年10月在全球集约化之前编写的 COVID-19 爆发。它侧重于挪威的中期挑战和政策重点，不包括疫情或相关政策应对，此后，这已成为近期的首要任务。准备的货币和资本市场部门本技术说明由基金组织工作人员在金融部门评估计划的背景在挪威。它包含技术分析和详细支撑该国的结果和信息建议。进一步的信息在该国可以发现在http://www.imf.org/external/np/fsap/fssa.aspx 挪威内容Glossary_____________________________________________________________________________________________ 3行政SUMMARY____________________________________________________________________________ 5引言 8网络安全风险监督 9A. 威胁态势、信息共享和网络 9B.FSA的监督Practice__________________________________________________________________ 13C. 挪威央行的监督做法 16D. 反应和恢复能力 21审查和RECOMMENDATIONS____________________________________________________________23A. 威胁态势、网络和信息共享 23B.FSA的监督Practice__________________________________________________________________ 24C. 挪威央行的监督做法 25D. 反应和恢复能力 27表1. FSAP密钥Recommendations_____________________________________________________________________72. 受监督和Oversight_____________________________________________________17的FMI数据1. 简化挪威监管和威胁情报Landscape_____________10的结构2. 2018 年风险和漏洞Analysis______________________________11中确定的主要威胁3. 挪威Bank_____________________________13制作的金融部门地图草案的结构4. FSA_________________________________________________________________15组织结构图5. 挪威Bank___________________________________________________________组织结构图 202国际货币基金组织(imf) 挪威术语表BCBSBCMBFI巴塞尔银行监管委员会业务连续性管理金融基础设施危机准备委员会中央对手方清算中国共产党CERTCS GRCCOBITCPMICLS计算机紧急反应小组网络安全治理,风险与合规信息和相关技术的控制目标委员会支付和市场基础持续联系结算CSOCEBA网络安全行动中心欧洲银行业管理局经济区欧洲经济区域ENISA分级欧盟欧盟机构网络安全欧洲系统性风险委员会欧盟FI金融机构第一个FMI事件反应和安全队的论坛金融市场基础设施金融服务管理局俄罗斯联邦安全局金融监管当局(Finanstilsynet)金融稳定委员会FS-ISAC伊博语财务信息共享和分析中心银行同业结算功能信息通信技术国际货币基金组织信息和通信技术国际货币基金组织(imf)IOSCOISAEISO国际证券委员会组织国际标准在保证业务国际标准化组织信息技术它谅解备忘录NBONFCERTNISTNorCERTNorSIS销售经理OSSATPFMI雷夫的谅解备忘录挪威银行结算系统北欧金融计算机紧急响应小组国家标准与技术研究院挪威国家计算机应急响应小组和网络中心挪威中心信息安全挪威国家安全机关操作安全态势感知电信CPMI-IOSCO金融市场基础设施原则风险和脆弱性分析银行均实时结算总额国际货币基金组织(imf)3 挪威不仅SLA安全体系结构函数服务水平协议SREPSRM深水救生艇VDIwoc监督检查和评估过程部门反应机构通用的风险评估(=简化SREP)国家数字基础设施预警系统 （VDI）车间操作网络安全4国际货币基金组织(imf) 挪威执行概要挪威金融体系在采用新技术方面有着悠久的历史。挪威是处于数字化的最前沿，在其金融体系中具有紧密的相互依存关系，使其成为特别容易受到不断变化的网络威胁的影响。挪威越来越成为一个无现金社会，与调查和数据收集表明，只有10%的销售点和个人对个人使用现金交易在2019年。1 在挪威进行的大多数付款都是数字支付（例如，475卡交易每年人均)2 新市场进入者增加，提供广泛的服务。因此，良好的网络安全是挪威金融稳定的先决条件。挪威已经成熟和先进的威胁情报公共和私人平台，信息共享和响应和恢复。(FIs)的金融机构和金融市场基础设施 （FMI） 使用现有的威胁情报和危机管理平台来测试和提高他们的网络弹性。Finanstilsynet（FSA）和挪威央行从威胁中受益用于识别和响应网络安全威胁模式变化的情报金融业。网络安全事件报告是FSA和挪威央行的附加工具了解金融部门的网络弹性水平，并在及时的和协调的方式。进一步改进网络安全信息的收集、共享和处理事件的建议.明确的定性和/或定量阈值，以及更清晰的阈值网络安全事件报告的流程和格式可以确保FSA（在其作为监督者的角色）和挪威央行（作为监督者的角色，负责金融稳定和高效的支付系统）得到及时和充分的通知，允许有效的必要时采取纠正措施。挪威央行也将受益于信息共享与FSA就网络安全事件报告达成协议，并明确危机管理关于在发生系统性网络安全事件时如何维持金融稳定的框架。完成正在进行的努力，以确定金融部门的关键节点，作为根据金融部门地图，新的挪威安全法的实施将支持金融稳定性考虑，以及基于风险的监督和监督。网络安全风险监管和监管实践总体上是健全的。FSA足够的专业知识和监管工具，以履行其作为网络安全风险监督者的职责。但是，鼓励当局向受监督者发布额外的可执行指南。关于信息通信技术/网络安全风险的机构。现有准则未涵盖的关键主题是独立首席信息安全官或同等职位的指定;信息技术/网络安全意识;身份和访问权限管理;安全事件记录和监控;恶意软件预防;和安全审查。欧洲银行管理局的计划实施（欧巴）“信通技术和安全风险管理准则”将解决这一问题。FSA也应该针对常规固有网络安全风险实施更加结构化、基于风险的方法，以及1挪威金融体系：概述报告，2019年，挪威央行。2挪威金融体系：概述报告，2019年，挪威央行。国际货币基金组织(imf)5 挪威控制受监督机构的成熟度评估，并辅以适当的工具。这可以提供帮助避免随着时间的推移评估中的盲点，并结合侵入式现场的使用检查技术，提高对网络弹性的保证水平金融业。可以进一步澄清信通技术/网络安全风险评估的作用在对机构的总体监督评估中以及对决策的影响监管措施。应加强网络安全风险监管，更加重视关键的服务提供商。挪威央行的监督团队已经意识到其重要性和网络安全风险对银行间支付系统的严重性。然而，密集的网络安全培训监督员，结合结构化、全面的网络安全监督方法以及适当的工具，将提高监督职能的能力和效力。鉴于少数服务提供商对银行间支付系统的重要性，监督职能应利用其现有的法律权力（编入许可条款）寻求更大的关键服务提供商的保证和透明度，例如通过执行或强制定期进行网络安全审计。此外，挪威央行明确传达期望市场补充CPMI-IOSCO指南，将提高网络弹性银行支付系统。应给予监督职能足够的独立性和资源来执行对挪威RTGS系统（NBO）的全面监督。目前的监督功能观察挪威央行的三道防线（即运营、风险管理和内部审计）与NBO有关。但它无权进行自己的独立和对NBO的深入监督，包括设定明确的监督期望和进行独立评估。此外，监督职能与NBO的运营商，这可能会引发利益冲突问题。应赋予监督职能足够的独立性和支持性，以履行其对所有银行间支付的监督任务系统，包括NBO，从而降低法律和运营风险并确保公平竞争字段之间的所有银行同业支付系统。挪威央行NBO的运营得益于强大的网络安全和运营单位，并得到风险管理和内部审计的大力支持。控制非常发达,任务团队支持内部计划，以达到预期的更高网络成熟度水平全国广播公司。但是，为避免利益冲突并符合国际最佳做法，部分网络安全风险管理功能可以整合到挪威央行全行的风险中未来的管理职能，而不是在一线网络安全内运作功能。挪威央行的风险管理和内部审计职能应加强其活动的外部服务提供者。考虑外部服务提供商的重要性对于NBO的运营，挪威央行内部的风险管理和内部审计职能应加强与同行在风险管理和内部方面的直接合作外部服务提供商的审计。此外，挪威央行的内部审计可以获得通过行使其权利，加强对外部服务提供商的网络弹性的保证审计。6国际货币基金组织(imf) 挪威表1挪威:该国主要建议建议和负责执行的机构参考时机1网络安全风险监督(Finanstilsynet)建立明确的定性和/或定量阈值，以及更清晰的阈值关于网络安全事件报告的流程和格式。49, 5054我补充2003年关于使用信息和通信的条例由FSA颁布的具有更详细指南的技术，提供详细信息关于实施原则并提出最低要求。圣遵循更结构化的网络安全风险监管方法。这应该包括对网络安全的异地监督应该如何的明确描述进行，以及评估如何影响一般主管机构。5355圣太加大现场网络安全风险检查的侵入性。网络安全风险监督(挪威银行)补充CPMI-IOSCO指南，更详细的预期挪威央行关于FMI的网络安全风险监督。5758我我遵循更结构化和更全面的网络安全风险流程监督。这包括利用一系列工具和技术来评估网络安全风险与设定的预期，得出明确的结论和确定具体的补救措施或专题调查结果，为未来提供信息行动。建立、实施和执行事件报告和危机维持金融稳定的管理框架，以应对潜在的系统性网络安全事件。66圣对挪威央行的网络安全监督员进行培训，以加强监督职能部门进行有效网络安全风险监督的能力。61595160圣圣圣圣监督职能应具有足够的独立性，以便开展工作彻底监督挪威RTGS系统（NBO）。与FSA和财政部合作，最终确定金融部门风险地图融资。利用监督职能的现有法律权力寻求更大的保证以及银行间支付系统关键服务提供商的透明度。加强挪威央行风险管理互动的侵入性以及与NBO外部服务提供商的内部审计职能，以寻求更大的保证和透明度。62太1 I 立即（1 年内）;ST 短期（1-2年内）;MT中期（3 以内−5年)国际货币基金组织(imf)7 挪威介绍31.本报告回顾了挪威金融业的网络安全风险4 监督监督。这包括Finanstilsynet（挪威金融监管局，FSA）的角色和挪威央行在网络威胁情报收集、金融部门和网络领域映射、网络