EDUCBA-巴塞尔协议笔记-全-

EDUCBA 巴塞尔协议笔记（全）

001：巴塞尔协议III对比巴塞尔协议II改革（续）🔍

在本节课中，我们将继续探讨巴塞尔协议III（Basel III）相较于巴塞尔协议II（Basel II）在信用风险计量方法上的具体改革。我们将重点关注内部评级法（IRB）的修订、信用估值调整（CVA）的引入，以及这些变化如何增强银行体系的稳健性。

上一节我们介绍了巴塞尔协议III在资本框架上的宏观改革，本节中我们来看看其在具体风险计量方法上的精细化调整。

内部评级法（IRB）的修订

巴塞尔协议III对内部评级法（IRB）进行了重要修订。IRB法主要分为两种：标准法（Standardized Approach）和内部评级法（IRB Approach）。其中，IRB法又分为初级法（Foundation IRB）和高级法（Advanced IRB）。

最大的改进是取消了在某些资产类别上使用高级IRB法的选项。高级IRB法利用银行自行估计的违约概率（PD）、违约损失率（LGD） 和违约风险暴露（EAD） 等参数来估算预期损失。预期损失的计算公式可以表示为：

预期损失 = PD × LGD × EAD

这个公式用于估算来自负债或资产的预期风险暴露或损失概率，具体取决于观察的角度。巴塞尔协议III取消了在某些资产类别上使用这种自行估计参数的高级法。

以下是不同资产类别在巴塞尔协议II和III下允许使用的方法对比：

大型和中型公司贷款：在巴塞尔协议II下，可以使用标准法、初级IRB法或高级IRB法。在巴塞尔协议III下，对于集团层面收入超过5亿欧元的大型和中型公司，只允许使用标准法或初级IRB法。
银行及其他金融机构风险暴露：在巴塞尔协议III下，不允许使用高级IRB法，只能使用初级IRB法或标准法。
股权风险暴露：在巴塞尔协议II下，标准法、初级IRB法和高级IRB法都允许使用。在巴塞尔协议III下，只允许使用标准法，并为不同资产设定了固定的风险权重乘数。
专业贷款：对于不属于其他类别或高度专业化的贷款，巴塞尔协议III仍允许使用高级IRB法。

模型参数输入下限

第二个重要区别是为银行自行估计的IRB参数设定了最低输入下限值。

例如，对于一笔中型公司的无担保信贷额度，如果使用IRB法（通常是初级法）计算出的风险权重，不能低于使用标准法计算出的风险权重。标准法计算出的风险权重在这里成为了模型参数的“地板价”（Floor）。

这意味着，银行无法通过内部模型将某些资产的风险权重计算得过低，从而确保了资本计量的审慎性和可比性。

参数估计的细化与强化

巴塞尔协议III更加注重参数估计的颗粒度和具体规范。在将违约风险暴露分解为PD、LGD和EAD的过程中，协议对参数的最小可能值提供了更详细的指引。

例如，对于非金融抵押品的风险暴露，协议给出了关于抵押品最低估值、可使用的最大价值比例以及违约损失率（LGD）和违约风险暴露（EAD）最低赋值标准的指引。即使是已设定抵押品的贷款或资产，也需要遵循这些更严格的规定。

引入信用估值调整（CVA）风险资本要求

接下来，我们关注一项关键改革：信用估值调整（CVA）。巴塞尔协议III引入了针对CVA风险的资本要求。

CVA是指因交易对手信用状况恶化，导致银行持有的衍生品面临潜在市值损失而需要计提的资本。这实质上覆盖了交易对手信用利差风险。如果交易对手的信用评级下调，即使其未发生实际违约，银行也可能因衍生品市值下跌而遭受损失，这种损失就是CVA。

在全球金融危机期间，CVA损失是银行的主要损失来源之一，有时甚至超过了交易对手实际违约造成的损失。这导致了流动性紧张，暴露出原有框架的不足。

因此，巴塞尔协议III引入CVA风险资本要求，旨在增强框架的风险敏感性，覆盖更全面的风险暴露成分，并将整体风险分解为多个因子（如PD、LGD、EAD等）进行考量。

为了加强计量的稳健性，巴塞尔委员会发布了《交易账户基本审查》（FRTB）作为巴塞尔III的后续监管规定。FRTB为CVA的计算提供了多种方法：

以下是计算CVA的三种主要方法：

基本法
标准法
内部模型法

此外，协议还强调确保CVA计量在银行内部不同业务领域、不同地区应用时的一致性。CVA计量在理解上很直观，但计算过程较为复杂，这些指引旨在提升其可计算性和可实施性。

引入CVA风险资本要求是巴塞尔协议III一项重大的新焦点。

本节课中我们一起学习了巴塞尔协议III在信用风险计量方面的具体深化改革。我们了解到它收紧了高级内部评级法的适用范围，为模型参数设定了下限以增强审慎性，并引入了关键的信用估值调整（CVA）风险资本要求，以覆盖交易对手信用质量恶化带来的市值风险。这些改革共同致力于使银行资本计量更稳健、更敏感，从而提升整个金融体系的抗风险能力。

002：操作风险资本计算

在本节课中，我们将要学习巴塞尔协议中关于操作风险资本计算的核心方法——业务指标法。我们将重点解析其构成部分与计算逻辑，帮助初学者理解这一标准化、定量化的风险管理工具。

上一节我们介绍了操作风险的重要性，本节中我们来看看如何通过业务指标法来量化操作风险并计算所需资本。

业务指标法的核心公式为：操作风险资本 = BIC × ILM。其中，BIC代表业务指标部分，ILM代表内部损失乘数。这个公式提供了一个计算操作风险资本的高级框架。

理解业务指标

业务指标是计算操作风险资本的基础，它由三个核心财务组成部分加总而成。

以下是构成业务指标的三个具体部分：

利息、租赁与股息部分：这部分收入与银行的传统信贷和投资业务相关。
服务部分：这部分收入主要来源于银行提供的各类服务，例如手续费和佣金收入。
金融部分：这部分与银行的交易活动和金融工具相关。

在将这三个部分加总后，需要乘以一个固定的系数 α。根据巴塞尔协议的规定，α 通常设定为 12%。因此，业务指标部分的计算公式可以表示为：

BIC = (利息、租赁与股息部分 + 服务部分 + 金融部分) × α

内部损失乘数

接下来，我们探讨公式中的另一个关键因子——内部损失乘数。ILM 的作用是将银行自身的内部损失经验纳入资本计算，使资本要求更能反映银行的个体风险状况。

ILM 的计算基于银行的平均历史损失与业务指标之间的关系。其公式为：

ILM = ln( exp(1) - 1 + (平均历史损失 / BIC)^0.8 )

这个公式确保了当银行的历史损失数据增加时，其所需的操作风险资本也会相应增加，从而激励银行加强自身的操作风险管理。

计算流程总结

现在，让我们将整个计算流程串联起来。

以下是使用业务指标法计算操作风险资本的标准步骤：

收集数据：汇总过去三年的利息、服务及金融部分收入。
计算业务指标：将三部分收入相加，并乘以系数 α（12%），得到 BIC。
确定历史损失：计算银行过去十年的平均内部操作风险损失。
计算内部损失乘数：将平均历史损失与 BIC 代入 ILM 公式进行计算。
得出最终资本要求：将 BIC 与 ILM 相乘，即得到银行应持有的操作风险资本。

本节课中我们一起学习了巴塞尔协议中操作风险资本计算的业务指标法。我们理解了其核心公式 操作风险资本 = BIC × ILM，并详细拆解了业务指标的三个组成部分以及内部损失乘数的计算逻辑。这种方法通过结合银行的业务规模和自身损失历史，为确定操作风险资本要求提供了一个标准化且具有风险敏感性的框架。

003：巴塞尔协议III的实施时间线与输出底线 📅

在本节课中，我们将学习巴塞尔协议III（Basel III）的实施时间线，特别是关于“输出底线”的渐进式实施安排。我们将了解为何需要分阶段实施，以及不同资本计算框架的具体生效日期。

概述

巴塞尔协议III对资本结构的要求与巴塞尔协议II有所不同。对于需要满足数十亿美元资本要求的银行而言，在极短时间内完成转变是不可能的。因此，巴塞尔银行监管委员会（BCBS）制定了分阶段实施的“底线”或具体生效日期。这是一个关于风险资本计算方法论如何实施的巨大变革，对银行而言是一项艰巨的任务。

核心框架的实施时间线

巴塞尔委员会为各项改革设定了具体的实施时间表。以下是主要框架的初始实施日期：

信用风险标准法（SA-CR）的修订：实施日期为 2020年1月1日。
内部评级法（IRB）的修订：涉及确定哪些资产类别可使用基础内部评级法（F-IRB）与高级内部评级法（A-IRB），实施日期为 2022年1月1日。
信用估值调整（CVA）风险框架的修订：实施日期为 2022年1月1日。
操作风险新框架：包含内部损失乘数（ILM），其是损失资本的函数，实施日期为 2022年1月1日。

这些时间表最初于2014/2015年设定。尽管后续因各种问题（尤其是新冠疫情及全球封锁）导致实施有所延迟，但根据FRM考纲，这些日期仍被视为基准。部分国家或监管机构考虑到疫情对其银行体系的冲击，已允许个别银行延期执行。

杠杆率与系统重要性银行缓冲

杠杆率的计算及其定义也采用了分阶段实施的方式：

风险暴露定义的变更：初始生效日期为 2018年1月1日。
修订后风险暴露定义的全面实施：对全球系统重要性银行（GSIBs）的生效日期为 2022年1月1日。
GSIB附加缓冲要求：同样要求在 2022年1月1日 前落实。

截至2022年1月1日，所有银行是否都已达到这些要求尚待观察。受疫情影响，并非所有银行都有能力完全达标。

理解“输出底线”

上一节我们介绍了各类风险计量框架的实施时间，本节中我们来看看“输出底线”的具体含义。

“输出底线”指的是针对不同业务单元（如信用风险、交易对手风险、CVA风险、证券化、市场风险等）的最低资本缓冲和资本要求。与计算方法论的修订日期相比，输出底线的实际执行日期更为宽松和渐进。

简单来说，改变操作风险的计算方法需要在2022年1月1日前完成，而“输出底线”则关注实际需要持有的、用于覆盖这些风险的资本缓冲的维持。这是一个更为庞大的任务。

输出底线的渐进实施路径

由于维持新的资本缓冲可能对银行利润产生重大影响（锁定在一级或二级资本中的资金增加了机会成本），监管机构必须权衡银行的盈利能力和金融体系的稳定性。因此，输出底线设定了更长期、更渐进的达标路径：

以下是输出底线的具体实施阶段：

起始点（2022年1月1日）：银行需满足 50% 的输出底线要求。
逐年递增：此后每年要求增加 5%。
中期目标（2027年1月1日）：要求提升至 72.5%。
最终目标：在2027年之后，银行可制定内部计划，逐步达到 100% 的完全合规。

这种为期五年的线性增长安排，是考虑到金融体系的庞大规模。即使对于大型银行，5%的资本要求增长也可能意味着数十亿美元的资金。对于小型银行，增加资本可能严重影响其盈利能力。因此，给予银行时间以适应这些新的最低资本要求是必要的。

总结

本节课中，我们一起学习了巴塞尔协议III复杂的分阶段实施计划。我们明确了核心风险计量框架（如信用风险、操作风险新标准）的生效日期，并重点理解了“输出底线”的概念——即实际资本缓冲的最低要求。输出底线采用了从2022年至2027年的渐进式达标路径，初始要求为50%，最终目标是在2027年1月1日达到72.5%，之后逐步实现100%完全合规。这一安排旨在确保银行体系稳健性的同时，兼顾银行的运营可行性与盈利能力。

004：危机后改革定案 🏦

在本节课中，我们将聚焦于巴塞尔协议III的危机后改革，特别是操作风险资本的计算方法。我们将学习如何通过业务指标和内部损失乘数来确定银行应持有的操作风险资本。

上一节我们介绍了巴塞尔协议的整体框架，本节中我们来看看危机后改革中关于操作风险资本计算的具体定案。

操作风险资本的计算方法

根据巴塞尔协议III的改革，操作风险资本（ORC）的计算采用标准法，其核心公式如下：

ORC = BIC × ILM

其中：

BIC 代表业务指标部分。
ILM 代表内部损失乘数。

这个公式结合了基于银行收入结构的标准化计算（BIC）和反映银行自身历史损失经验的调整因子（ILM）。

业务指标部分详解

业务指标部分（BIC）的计算，依赖于银行的业务指标（BI）和一个系数乘数（α）。

BIC = BI × α

业务指标（BI）本身是以下三个组成部分在过去三年平均值之和：

BI = (ILDC + SC + FC) 的平均值

以下是这三个组成部分的具体定义：

利息、租赁和股息部分：这部分是以下三项的最小值：
- 净利息收入（利息收入 - 利息支出）的绝对值。
- 利息收入资产的2.25%。
- 股息收入（绝对值）与租赁收入之和。
服务部分：这部分是以下两项的最大值之和：
- 其他营业收入与其他营业支出的最大值。
- 费用收入与费用支出的最大值。
财务部分：这部分是交易账簿净损益与银行账簿净损益的绝对值之和。

系数α的值根据业务指标（BI）的规模区间确定：

当 BI < 10亿欧元 时，α = 12%。
当 10亿欧元 ≤ BI ≤ 300亿欧元 时，α = 15%。
当 BI > 300亿欧元 时，α = 18%。

内部损失乘数详解

内部损失乘数（ILM）将银行自身的损失历史引入资本计算，其公式如下：

ILM = ln( exp(1) - 1 + (LC / BIC) )

其中：

LC 是损失部分，计算公式为：LC = 15 × 过去10年的平均操作风险损失。
BIC 即上文计算出的业务指标部分。

这个乘数的特性是：

当 LC = BIC 时，ILM = 1。此时操作风险资本完全等于BIC。
当 LC > BIC（即历史损失较高）时，ILM > 1，银行需要持有更多资本。
当 LC < BIC（即历史损失较低）时，ILM < 1，资本要求可适当降低。

方法的核心思想

这种ILM方法在操作风险资本计算中建立了一种权衡机制。BIC部分提供了一个基于银行收入结构的、标准化的资本基准。而ILM部分则根据银行自身过去10年的实际损失经验（通过LC体现）对这个基准进行调整。这鼓励银行加强风险管理以降低实际损失，从而可能获得更低的资本要求。

本节课中我们一起学习了巴塞尔协议III危机后改革中关于操作风险资本计算的核心方法。我们掌握了由业务指标部分和内部损失乘数构成的完整公式，理解了如何根据银行的收入结构和自身损失历史来确定所需的资本金，从而增强银行的抗风险能力。

005：操作风险资本计量准则

在本节课程中，我们将学习在使用标准化方法计量操作风险资本时，需要遵循的数据与披露准则。我们将明确哪些损失数据应被纳入计算，哪些应被排除，并了解相关的信息披露要求。

上一节我们介绍了操作风险资本的标准化计量方法，本节中我们来看看在应用此方法时需遵循的具体准则。

内部损失数据的使用准则

使用内部损失数据计量操作风险资本时，需满足以下基本要求。

以下是关于内部损失数据的关键准则列表：

观察期要求：内部生成的损失数据计算应至少基于10年的观察期。当银行从其他方法转向标准化方法时，应至少拥有5年的数据，并在接下来的五年内逐步增加到10年。
业务相关性：内部损失数据必须与银行当前的业务活动、技术水平和风险管理流程明确关联。如果银行的业务性质或经营方式发生变化，这种变化应反映在业务指标三个组成部分的乘数中。

损失数据的界定与处理

在计量损失时，必须区分总损失、净损失和回收。

以下是关于损失计量的具体规则列表：

总损失是指回收前的损失。
净损失是指考虑预期回收影响后的损失。如果已知实际回收值则采用实际值，否则可采用预期值。
回收处理：回收的发生独立于损失事件本身，但与原损失事件相关。对于独立的损失事件，其回收率也应被视为独立。
成本包含：净损失应包含任何直接相关的费用支出，例如减值费用、结算费用、核销成本等。
外部费用：与操作损失直接相关的外部费用，如法律费用、支付给顾问或律师的酬金，也应计入净损失成本。
重置成本：资产重置成本也应计入净损失。
拨备与损益影响：拨备及其对损益表的影响必须包含在内。
连锁损失：由操作损失事件直接引发的后续或连锁效应损失，若能明确关联，也应纳入计算。

因此，在可能的情况下，应尽量将不同的操作风险损失事件分开处理。尽管在实践中，一个操作风险事件可能引发多个连锁事件，难以完全分割。

信息披露要求

巴塞尔协议对操作风险资本计量有明确的信息披露规定，以提升透明度。

以下是主要的信息披露要求列表：

披露触发条件：当银行的业务指标超过10亿美元时，必须进行相关披露。
披露内容：需披露所使用的乘数、内部损失数据情况、操作风险资本的计算过程、采用的系数以及计入的费用等所有细节。
业务指标构成披露：必须披露哪些类型的收入计入了业务指标的三个组成部分（利息、服务与金融），以及费用、损失、利润和收入的构成。
资本要求披露：针对不同类型资产和风险的标准化乘数或资本要求也需要披露。

这些披露信息通常在行业层面进行汇总。从考试角度，我们无需记忆所有细节，但需了解这是巴塞尔协议III在操作风险资本计量方法上的监管期望和规范要求。

本节课中，我们一起学习了使用标准化方法计量操作风险资本的核心准则。我们明确了合格内部损失数据的要求，学会了如何界定和处理总损失与净损失，并了解了为确保透明度而必须遵守的关键信息披露规定。这些准则共同构成了稳健操作风险资本计量的基础。

006：事件响应与管理

在本章节中，我们将探讨操作风险的一个不同方面——网络风险。我们将通过案例研究，分析具备网络韧性的组织特征，并为组织提供应对网络风险的关键要点。

上一节我们介绍了网络风险的基本概念与应对框架，本节中我们来看看如何构建一个具备网络韧性的组织。

网络风险管理框架

美国国家标准与技术研究院提出了一种网络风险管理方法。该框架包含五个核心功能，旨在帮助组织系统性地管理网络风险。

以下是该框架的五个功能：

识别：建立组织对网络风险的理解，以管理涉及系统、人员、资产和数据的风险。
保护：制定并实施适当的安全防护措施。
检测：制定并实施适当的活动，以识别网络风险事件的发生。
响应：对检测到的事件采取行动。
恢复：制定并维护韧性计划，以恢复可能因网络安全事件而受损的能力。

请注意，本章重点在于网络韧性组织。因此，重点不仅在于识别和检测，更在于恢复。该框架的最后一部分至关重要，它关乎组织在遭受网络攻击后如何恢复正常运作。无论我们采取何种保护措施，网络攻击的风险始终存在，这是一个不断演变的现象。网络风险事件发生的概率始终不为零。组织的重点应放在如何恢复到之前的状态，或组织对网络风险事件的韧性有多强。

危机管理与事件响应

重点不仅在于识别、保护和响应，还在于危机管理。

网络安全系统是一个复杂且需要专业技能的过程，它需要人力资源具备特定的操作和技能。人与机器之间需要达到一种关键的平衡，即硬件、软件和人员如何协同工作。尤其是在我们日益迈向互联和数字化的时代，物联网使得生活的方方面面都有联网设备，网络安全变得至关重要，其影响范围将越来越广。

危机管理或事件响应的一种方法是借鉴战斗机飞行员的处理方式。

战斗机飞行员在飞机可能坠毁时，有能力从驾驶舱紧急弹射，并使用降落伞安全着陆，或在紧急条件下以降低的能力着陆。这种方法首先依赖于人与机器界面的良好协调，以及人员为应对预期和意外事件所做的培训和准备。问题可能因各种原因在任何情况下发生。必须理解，无论准备多么充分，总会出现意想不到的情况。因此，组织需要具备广泛备份、灾难恢复计划、快速行动方案的能力，同时也需要具备应对异常和意外情况的方法，以及事件响应的总体思路。

适应快速变化的环境

我们需要牢记的第二点是，这是一个快速发展和变化的世界。互联网和网络安全每天都触及我们生活的不同方面。程序在演变，网络安全在演变，恶意行为者也在演变。这是一个快速发展的领域。

因此，作为一个组织，我们必须快速适应不断变化的环境。在智能手机出现之前的时代，互联网仅触及我们生活的少数方面。如今，甚至我们的手表、心脏起搏器、数字助听设备都通过物联网连接到互联网。因此，如果网络安全遭到破坏，后果可能非常致命。例如，如果您的助听器或起搏器被外部代理入侵或覆盖，可能会危及生命。

所以，必须快速适应以应对不断变化的环境。

本节课中，我们一起学习了构建网络韧性组织的关键框架与方法。我们了解了NIST提出的识别、保护、检测、响应、恢复五步风险管理框架，并认识到恢复与韧性建设的重要性。我们还探讨了借鉴战斗机飞行员理念的危机管理方法，以及组织必须快速适应日新月异的网络威胁环境。核心在于，组织不仅需要预防和检测风险，更需要建立强大的响应与恢复能力，以在不可避免的攻击后迅速恢复正常运营。

007：事件响应与管理（续）

在本节课中，我们将继续探讨事件响应与管理，重点学习业务连续性计划、通过游戏化与演练提升员工参与度，以及数据安全管理。这些方法共同构成了应对网络事件的多维度策略。

上一节我们介绍了事件响应的基本框架，本节中我们来看看如何通过制定周密的计划与日常演练来增强组织的韧性。

制定业务连续性计划

业务连续性计划旨在预见各类可能发生的事件，并制定广泛的应对策略，包括如何建立备份机制。

该计划可遵循特定的国际标准指南，例如 ISO 27001 和 ISO 22301。这些标准为组织将网络安全事件纳入业务连续性计划提供了稳健的指南。

ISO 27001：该国际标准描述了信息安全管理体系的最佳实践。
ISO 22301：该国际标准专门针对业务连续性计划。

通过结合这两套标准，我们可以将网络安全事件有效地整合到业务连续性计划中。该计划可包含以下基本方面：

数据与系统备份：例如，如果员工需要居家办公，可以将所有数据存储在云端，通过安全网络访问，确保业务持续运行。
服务器备份：对服务器进行备份。
软件备份：对关键软件进行备份，甚至建立“备份的备份”。
地理分布：将这些备份地理分布在不同位置。这样，即使某个地点的站点或服务器发生问题，也可以通过切换到不同地点（甚至不同国家）的服务器来执行连续性计划。

如果员工无法在短时间内返回办公室，必须居家或从世界任何地方工作，那么通过受控软件、受保护线路和安全线路，从服务器和云端软件访问数据与软件的能力，对于维持业务连续性就至关重要。这一点在新冠疫情期间的封锁中得到了非常密切的验证。

游戏化与演练

接下来是采用游戏与演练的方法。这种方法在某种程度上是模拟网络安全事件，并通过游戏化方式来处理。

这主要有两种形式：

第一种是设计游戏形式的练习，要求员工以特定方式工作，从而增强和巩固他们应对网络风险的理解。例如，与其枯燥地讲授如何识别钓鱼邮件，不如通过互动程序、互动学习环节或游戏事件来应对网络安全风险或钓鱼邮件。这被称为游戏化。目前已有许多培训项目和人才实验室奖项专注于开发游戏化应用。这些应用可以是基于网页或桌面的，旨在将网络安全与网络韧性行为融入员工的日常行为中。

第二种是进行特定的演练。就像进行消防演习一样，也可以进行网络安全演习。有一点必须注意，所有这些都依赖于员工的参与。我们必须将这些网络安全事件或安全行为融入员工的日常行动、关注点和活动中。这种参与必须发生在从高层到底层的每个层级。这些网络安全风险事件应该是高度可见的，并成为日常例行工作的一部分。例如，可以在食堂或洗手间等日常必经之处进行提示。还可以进行测试、突击检查，或运行内部程序来模拟钓鱼邮件，以检查有多少员工能够识别。

例如，可以测试有多少员工会落入钓鱼邮件的陷阱并实际采取行动，如点击特定链接、安装程序或下载附件。与其等待外部攻击者发送钓鱼邮件并惊讶于有多少人中招，网络安全团队可以内部发送此类欺诈性邮件，观察普遍的反应模式。如果太多人中招，可以针对这部分员工进行再培训或采取不同的培训方法。如果员工表现出安全的网络行为，则应予以鼓励。这些响应措施不应被孤立看待，而应作为协调一致的联动事件。

数据安全管理

这是一种多管齐下、多维度的处理网络事件和网络危机管理的方法，适用于不同情境。它们不能孤立运作，而必须协同工作，共同应对各种情况。

安全管理是其中的重点，包括对数据的妥善保管，特别是个人可识别信息数据。从网络风险和网络安全的角度，数据可以根据敏感性被分类为：公开数据、受保护数据、个人数据、私有数据、个人身份数据等。基于不同的分类，可以采取不同的措施来保护数据。任何私有数据的处理方式都可能与公开数据不同；涉及客户身份的数据，如客户的金融交易详情、安全信息详情、国民保险详情等，则需要区别对待，并可能为其设置额外的保护层。

不同类型的数据将有不同的安全措施。这不仅适用于软件和数据，也适用于硬件及外围系统。我们可以参考一个案例：在2014年至2017年间，美国前总统唐纳德·特朗普旗下的特朗普酒店发生数据泄露。此次泄露最终暴露了7万张信用卡号码以及所有曾与特朗普酒店关联的客户记录。这一事件仅在银行开始发现数百起欺诈交易后才被曝光。银行追踪了这些卡片的金融交易，发现它们最后一次合法交易均发生在特朗普酒店。数据被泄露，信用卡信息被盗并被大规模滥用，出现了大量欺诈性收费和安全身份盗用，这充分暴露了特朗普酒店在网络安全管理上的缺失和松懈。调查发现，黑客侵入了特朗普酒店的中央预订系统。这个预订系统显然用于处理酒店的在线预订，该专用定制程序被软件提供商Sabre Networks的一个数据漏洞所攻破。恶意攻击者利用软件提供商的这个漏洞，进入了特朗普酒店的预订系统，并从中窃取了大量金融信息用于欺诈交易。由此可见，在整个网络安全链的某一环节出现一个小漏洞，就可能影响多个方面，并对客户数据的不同维度产生连锁反应。

本节课中，我们一起学习了构建业务韧性的三个关键方面：制定遵循国际标准的业务连续性计划、通过游戏化和演练提升全员网络安全意识与参与度，以及实施基于数据分类的精细化安全管理。这些策略需要协同实施，共同构建一个多层次、主动式的网络事件防御与响应体系。

008：网络韧性目标 🎯

在本节课中，我们将学习如何区分具备良好网络韧性的组织与表现不佳的组织，并深入探讨构成网络韧性的四个核心属性。我们还将通过一个真实案例，分析失败与成功的具体表现，最终明确网络韧性的核心目标。

网络韧性组织的四大属性

通过对比分析，我们可以识别出网络韧性强的组织普遍具备的四个关键属性。这些属性构成了一个完整的防御与恢复循环。

以下是网络韧性组织的四大核心属性：

预见
组织需要从网络安全角度，全面识别自身面临的各种网络风险和威胁。这些风险可能与其他组织相同，也可能存在独特的部分。
抵御
组织需要部署防火墙、安全检查、网络保护程序等措施，以抵御网络攻击。例如，防范网络钓鱼邮件的策略、垃圾邮件防护政策和反病毒程序等。
恢复
无论系统多么坚固，攻击总会发生。因此，必须制定从攻击中恢复的计划。例如，如果一个数据中心遭遇数据泄露，应有独立的、未联网的备份数据。这样，当一组服务器数据损坏时，可以隔离该部分数据，切换到来自另一台服务器的最近备份源，并恢复业务运营。

演进
一旦识别出一次安全漏洞或网络威胁，组织需要改进系统以克服它，避免再次成为受害者。这种演进必须是频繁、规律且主动的过程，而不仅仅是事后反应。组织应能够在外界威胁真正构成威胁之前就识别它们。

负面属性案例分析：Equifax数据泄露事件

上一节我们介绍了网络韧性的理想属性，本节我们通过一个反面案例来看看缺乏这些属性的后果。2017年Equifax的数据泄露事件是一个经典案例。

以下是该事件中暴露的负面属性：

未能预见与抵御：攻击发生后至少六周内未被发现，表明其监测和抵御机制存在严重缺陷。
未能恢复：事件被识别后，长达八个月未通知受影响的客户，缺乏有效的恢复和沟通计划。公司CEO将原因归咎于飓风导致数据中心瘫痪，无法确定受影响的客户范围，这恰恰说明了恢复计划的缺失。
沟通不透明：未能及时、公开地与利益相关者沟通，是网络韧性失败组织的一个重大负面标志。

正面属性与网络韧性目标

了解了负面案例，我们再来看看构成网络韧性的正面属性有哪些。这些属性不仅适用于网络风险，也适用于整体的运营风险。

以下是网络韧性组织的关键正面属性：

高层承诺与全员参与：高层领导的支持以及各级员工在识别和重视人力与机器绩效方面的参与。
支持问题报告的文化：鼓励报告安全问题的组织文化。
持续学习与演进：由于攻击者每天都在进化，防御方也必须以同等甚至更快的速度学习和适应。
了解自身强弱项：清楚认识组织的优势与弱点，并有计划地识别和克服弱点。
灵活适应性：最大化在不损失功能的情况下解决问题的能力。例如，数据中心故障可切换至备用中心，硬件故障可转向云端软件，物理系统无法访问时有数字化备份等。这要求员工交叉培训，确保一个团队或地点失效时，其职能有后备支持。

这些属性共同服务于网络韧性的核心目标：在遭受网络威胁时，能够恢复并将业务中断降至最低。这不仅要求能够抵御攻击，还必须具备恢复机制。

为实现此目标，需要采取以下关键行动：

适应性响应与灵活性：执行和监控行动计划，采取最佳行动改变受攻击面并维持关键能力，以恢复功能。
分析性监控：持续收集和分析数据，并在不同部门、业务线和防御模式之间进行协调沟通。
欺骗战术：在网络战中，可以采用欺骗手段误导攻击者，例如诱导其攻击冗余区域。
系统冗余：建立备份的备份。例如，拥有执行相同任务但位于不同地点的第二个数据中心，并进行每日隔离备份，确保一个中心受攻击时另一个不受影响。但需在冗余成本与遭受攻击的潜在损失之间取得平衡。
业务分割：将不同业务线彼此隔离，以便一部分失效时，其他受保护的部分能继续运行。
事件响应计划：制定类似消防队的应急预案。虽然每次网络攻击都独一无二，但可以制定通用的行动指南，明确需要采取和预防的行动、如何审计追踪和处理数字证据、如何查找漏洞、以及事件发生后团队内的责任分配和取证调查流程。这些预案需要反复测试演练，确保实际攻击发生时组织能有效响应。

总结

本节课中，我们一起学习了网络韧性组织的四大核心属性：预见、抵御、恢复、演进。通过Equifax的案例，我们分析了缺乏这些属性导致的严重后果，如未能及时发现攻击、缺乏恢复计划和沟通不透明。同时，我们也探讨了构建网络韧性的正面属性，如高层承诺、学习文化和灵活适应性。最终，我们明确了网络韧性的目标是最小化业务中断并快速恢复，并围绕该目标介绍了包括冗余设计、事件响应计划在内的关键实施策略。

009：财务韧性

在本节课中，我们将通过一个真实的案例，探讨网络安全事件如何影响企业的财务韧性。我们将学习如何通过早期检测、快速响应和持续改进来构建组织的网络弹性，并理解这与金融风险管理的核心原则是相通的。

案例研究：蒂森克虏伯的网络攻击

上一节我们讨论了网络攻击的普遍性，本节中我们来看看一个成功抵御攻击的案例。

2016年，东南亚的黑客对德国钢铁巨头蒂森克虏伯集团发动了攻击。这些黑客窃取了该集团的技术知识产权数据。值得注意的是，蒂森克虏伯的安全系统很早就检测到了这次入侵。

该集团的网络安全系统和应对措施得到了迅速且有效的实施，因此这次攻击造成的损失非常有限。该组织展现了高度的韧性。它首先能够早期检测并从攻击中恢复，其次能够迅速恢复正常业务运营。这显示了其网络安全目标具有很高的韧性水平。

需要指出的是，这次攻击被认为具有国家背景，是一次完全专业的间谍攻击。对于一家钢铁制造商而言，遭遇如此复杂和意外的网络攻击是不同寻常的。

无处不在的网络威胁与系统性风险

如果我们考虑到互联网的规模以及我们系统中自动化的程度，就会发现没有哪个行业是绝对安全的。

我们的大部分电力生产是自动化的。如果恶意行为者，例如国家支持的特工或流氓国家，攻击一个国家的能源生产系统，或者控制特定水坝闸门运行的系统，他们可能覆盖这些系统，直接关闭发电或打开水坝闸门。其影响可能是灾难性的。这里甚至不需要发射导弹，攻击本身可能不会造成人员伤亡，但对被攻击国而言可能是巨大的损失。

因此，没有任何行业、没有任何业务领域可以免受网络攻击，尤其是来自专业和国家支持的行为者的针对性攻击。在这样的背景下，不存在绝对安全的领域。

构建网络韧性的核心策略：检测、遏制与控制

重要的是要制定检测、遏制和控制的计划。这一点可以从多个角度来理解。

早期检测与遏制：部署防火墙并制定控制计划，能够阻止并遏制攻击，就像应对物理火灾一样。早期的船舶在船体底部设有隔舱，这样如果一个隔舱受损进水，水不会蔓延到整艘船。受损的隔舱被限制在该区域内，不影响船舶的整体完整性。这就是遏制。

同样的方法可以以不同形式应用于网络韧性。视觉控制的目标是在最短时间内控制住攻击。

以下是实现检测与控制的关键方法：

异常检测算法：通常认为，任何网络攻击都会留下痕迹。某些程序的行为中可能存在异常，这些异常在用户界面表面可能不明显，但可能发生在程序深处。可以运行算法来持续扫描程序内部的这些异常。在个人电脑中，我们称之为杀毒程序。它们首先搜索常见的异常，也搜索以前无法检测的未知异常。对于常见或已知的异常（即已知病毒），可以消除它们。对于不常见或未知的病毒攻击，这些算法可以被编程或训练，以遏制这些异常并将其与其他系统隔离，防止它们传播到系统的其他部分。
内部测试与道德黑客：也可以从内部系统进行测试。我们可以建立道德黑客系统。像苹果、亚马逊、微软这样的大型软件提供商，它们设有漏洞赏金计划或雇佣道德黑客。它们邀请道德黑客来寻找程序中的漏洞、故障、异常和后门，这些可能将它们的程序和系统暴露给黑客或恶意行为者。这种渗透测试可以由道德黑客、内部程序员和内部测试人员定期进行。这样我们就能领先一步，在外部恶意行为者发现之前，了解自身的漏洞和缺点，从而及早修补这些漏洞。

风险与回报的权衡：安全成本考量

当然，在100%受保护和0%暴露之间存在权衡。安全是有成本的。因此，必须在风险与回报之间进行权衡。

我们可以为数据设置10个不同的备份服务器，但这显然会让我们付出10倍的成本。因此，我们必须权衡网络攻击的可能成本与抵御该网络攻击的可能成本。必须进行风险权衡。

网络韧性对财务韧性的影响

网络韧性显然也触及财务韧性。网络攻击会带来财务方面的影响。

直接的影响是，例如，如果网络攻击影响到你的个人财务数据，那么就会产生直接冲击。间接影响则包括声誉损失、相关的法律成本等。直接成本可能包括雇佣软件程序、部署检测程序以克服这些网络攻击。间接成本可能包括建立备份或韧性计划、满足报告要求等。但总体而言，每次攻击都会影响整体的财务韧性能力，因为会产生财务后果。

深度防御与压力测试

接下来，你需要理解深度防御。就像在金融系统中，雷曼兄弟的倒闭或美国国际集团的失败可能引发系统性影响一样，对某个特定组织的系统性风险暴露也可能在不同组织中产生连锁效应。在网络风险方面也是如此。

因此，我们必须进行压力测试，必须理解关联性并实施深度防御。必须有多层防御。就像古时候堡垒有不同级别的防御，有多重城门和通道来抵御敌人一样，同样的原则也适用于网络安全。

就像我们为计算市场风险而估算的市场风险价值（VaR）单一指标一样，也可以有网络风险价值。这是操作风险的一部分，因此我们可以采用操作风险管理方法。

从历史中学习：模拟与持续改进

我们可以进行历史事件模拟。就像在金融模拟中，我们可以重新运行2008年危机的模拟事件，观察利率、通胀和就业等如何变化。在网络韧性攻击方面，我们也可以重新运行过去历史事件的模拟。可以从攻击者角度进行反事实分析，也可以进行事件驱动的变革，即从错误中学习。

从组织实际遭遇过、但未能检测或抵御的攻击中学习，必须持续关注持续改进。2008年奥巴马政府团队的重点是“重建得更好”。这是从2007年金融危机中恢复的哲学。他们曾说，绝不要浪费一场严重的危机。你要做的是将其视为一个机会，去了解你以前不知道的事情并加以改进。《巴塞尔协议III》监管规定作为对全球金融危机的回应，就是“重建得更好”的一个例子。

任何攻击，如果你的组织确实遭受了网络攻击（这是非常可能的，无论你的安全系统多好），当你在恢复时，要记住从这些事件中学习并“重建得更好”，以确保类似事件或相关联的事件不会再次发生。这就是持续改进。

最薄弱的一环：持续教育与技能发展

必须为参与网络安全和IT的员工制定持续的教育和技能发展计划，因为一个组织只与其最弱的个人或最弱的环节一样强大。链条的强度只取决于其最薄弱的一环。因此，组织在IT系统、IT技能、IT知识或网络安全知识方面，只与其最弱的成员一样强大。在网络韧性方面，持续的技能发展和教育变得至关重要。

攻击者每天会发送数百万封网络钓鱼邮件。他们只需要一次机会、一个缺口、一个人点击了钓鱼链接或下载了恶意软件，就能达到目的。这就像防御者每次都必须成功，但攻击者只需要成功一次。就像猎物每次都必须跑赢猎人，但猎人只需要成功一次。网络攻击者只需要成功一次，而组织和安全防御必须每次都成功。这是我们在审视组织IT系统和网络韧性时需要牢记的一点。

总结

本节课中，我们一起学习了网络韧性如何构成企业财务韧性的关键部分。通过蒂森克虏伯的案例，我们看到了早期检测和快速响应的重要性。我们探讨了构建网络韧性的核心策略，包括检测算法、遏制措施和道德黑客测试。同时，我们理解了安全需要成本，必须在风险与回报之间进行权衡。最后，我们强调了深度防御、从历史攻击中学习的压力测试模拟，以及对全体员工进行持续教育的必要性，因为组织防御的强度取决于其最薄弱的环节。记住，防御者必须每次都成功，而攻击者只需成功一次。

010：监管应用 🏛️

在本章中，我们将探讨网络韧性的实际应用层面。这包括私营实体、监管机构和政府所采用的一系列网络韧性技术与实践。

上一节我们讨论了网络韧性的核心框架，本节中我们来看看全球监管机构如何具体应用这些原则。

概述

网络韧性包含四个核心方面：战略、高级管理层职责、意识与文化以及架构与标准。这一框架由G20财长、央行行长及网络安全专家共同制定，并体现在金融部门网络安全基本要素中。支付与市场基础设施委员会（CPMI）和国际证监会组织（IOSCO）也共同推动了相关标准的发展。

与巴塞尔银行监管委员会发布银行监管指南类似，IOSCO等机构也提出了关于网络监管与韧性的建议。这些全球性标准，如 ISO/IEC 27001，以及巴塞尔委员会自身的网络韧性指南，在上述四个核心方面存在共通性。

核心框架详解

以下是网络韧性框架的四个关键组成部分：

战略：所有标准均强调，机构必须制定明确的网络安全战略。这包括确定网络安全工作是自主进行还是外包、预算分配以及监控机制。
高级管理层职责：如同管理任何风险目标一样，高级管理层必须密切参与并监督网络风险管理。
意识与文化：网络安全意识必须融入组织文化。需要持续对员工进行教育，使其了解如何防范网络威胁。
架构与标准：必须采用全球认可的标准和架构，例如 ISO/IEC 27000 系列标准。这还应与业务连续性计划（BCP）相结合，并得到相关标准（如 ISO 22301）的支持，从而在不同组织和政府间实现标准化与统一性。

接下来，我们看看不同监管机构如何具体实施这些原则。

全球监管实践

以下是部分国家和地区监管机构在网络韧性方面的具体措施：

澳大利亚审慎监管局（APRA）：发布了审慎标准 CPG 234（信息安全），要求受APRA监管的实体建立与其信息资产面临的威胁相匹配的安全能力，明确董事会、高级管理层和员工的责任，并实施相应的控制措施。
德国联邦金融监管局（BaFin）：发布了针对金融机构的ICT（信息与通信技术）监管要求，其重点在于让机构做好应对网络安全威胁的准备并提高意识。这些要求基于欧洲银行管理局（EBA）的指南进行了本地化调整。
美国监管机构：包括货币监理署（OCC）、联邦存款保险公司（FDIC）和纽约州金融服务部（NYDFS）在内的多个机构都发布了各自的网络安全指南与通知。例如，NYDFS的法规要求纽约州的受监管机构必须制定网络安全计划，设立首席信息安全官（CISO），并由董事会批准书面政策。
英国审慎监管局（PRA）/英格兰银行：实施了CBEST框架，该框架提供基于威胁情报的渗透测试，以评估金融机构的韧性。此外，还推广了如CREST认证威胁情报经理等专业认证计划。
日本金融信息系统中心（FISC）：建议金融机构设立首席信息安全官（CISO），专门负责监督和审查网络安全事件，并对组织的网络安全最终负责。
新加坡金融管理局（MAS）：要求金融机构为董事会、高级管理层及全体员工制定全面的科技风险与网络安全培训计划，并包含定期的复习与再培训。
香港金融管理局（HKMA）：推出了“专业发展计划（PDP）”作为其“金融科技2025”策略的一部分，旨在通过香港银行学会、香港应用科技研究院等机构，加强高级管理层和董事会对网络韧性计划的认知与参与，构建了“政、产、学” 三方合作模式。

总结

本节课中，我们一起学习了网络韧性在监管层面的实际应用。我们了解到，尽管全球各地的监管机构（如APRA、BaFin、美国各机构、PRA、MAS、HKMA等）可能发布不同的具体指南或标准，但它们都普遍围绕战略、高级管理层职责、意识文化以及架构标准这四个核心方面来构建要求。这些监管实践的核心目标，是推动金融机构建立统一、有效的网络风险防御和恢复能力，以保障整个金融体系的稳定与安全。

011：网络风险管理方法 🛡️

在本节课中，我们将学习网络风险管理的多种通用方法。我们将看到，这些实践可以被系统地划分为四个主要部分，每个部分都从不同角度构建组织的网络防御与恢复能力。

概述

网络风险管理存在多种方法和共性实践。通过观察，我们可以将网络风险管理的实践范围划分为四个子部分。

网络风险管理的四个子部分

以下是网络风险管理的四个核心组成部分。

监管层面的网络韧性：这涉及监管机构如何发展和完善其审查视角，以评估受其监管的组织。我们已经看到不同监管机构发布的指导方针，并且在下一节中还将了解到，监管人员需要接受培训，以理解网络安全对其监管对象的影响。
控制测试与保证：顾名思义，这部分涉及对控制措施的测试和回溯测试，包括压力测试、记录响应、记录失误和未遂事件，以及内部测试的影响和结果。其核心是预防攻击，例如部署防火墙和检测系统。
响应与恢复测试：上一节我们介绍了侧重于预防的控制测试，本节中我们来看看响应与恢复。这部分假设网络攻击已经发生，关注组织如何恢复，例如备份机制及其测试方法。它不仅包括针对此类事件的响应和压力测试，还包括事件记录，以及从过往攻击的漏洞中学习，以增强系统的恢复能力和韧性。
韧性指标：为了在不同组织、不同部门、不同时间点之间进行校准，需要创建一套指标体系，将定性数据转化为可量化、可分解、可比较的定量数据。这就是韧性指标。

韧性指标详解

以下是韧性指标的具体构成要素。

事件影响次数：记录安全事件发生的频率。
检测时间：衡量组织从攻击发生到识别出漏洞所需的时间。
识别速度：评估漏洞被识别的快慢程度。
影响评估：区分财务影响与非财务影响。
责任归属：明确事件的责任方。
恢复计划：评估恢复计划的有效性。

所有这些要素都可以转换为一个评分体系，纳入韧性指标矩阵中。该矩阵不仅可以包含真实攻击事件的影响，也可以包含测试攻击的结果，从而融合模拟信息与实际信息。这种矩阵可以作为向董事会、乃至组织外部的监管机构报告的一种现象和工具。

总结

本节课中，我们一起学习了构建组织整体风险抵御或运动抵御能力的通用方法。这涵盖了监管网络韧性、控制测试与保证、响应与恢复测试以及韧性指标四个层面。这套方法得到了不同国家、不同监管机构的关注，并体现在其具体的指导方针和实践中。

012：信息共享

在本节课中，我们将要学习金融行业提升网络韧性的一个核心环节：信息共享。我们将探讨信息共享的多种途径、其重要性以及一个具体的国际实践案例。

概述

信息共享是整个金融行业构建网络韧性的最重要方面之一。通过共享威胁情报、最佳实践和漏洞信息，金融机构、监管机构和安全机构能够更有效地协同防御，提升整个金融生态系统的安全性。

信息共享的三种途径

信息共享主要发生在三个主体之间，并且它们之间存在交互与重叠。

以下是信息共享的三种主要途径：

银行之间：同一司法管辖区的银行，例如欧盟、日本、巴西或中东地区的所有银行，无论是公有还是私有，都被鼓励在彼此之间共享信息。这种共享不包括审查机密或私人信息，但有助于其他机构从一家银行的经验或教训中学习。
监管机构之间：这包括一国境内的不同监管部门之间的共享，例如银行业监管机构与证券市场或资本市场监管机构之间的共享。同时也包括跨国境的国际信息共享。
安全机构之间：安全机构之间共享数据非常普遍。这并非新事物，例如信用评级机构之间就在某种程度上共享信用数据。安全机构共享数据，很多时候其范围是国际性的。

信息共享的重要性

上一节我们介绍了信息共享的途径，本节中我们来看看为什么这种共享至关重要。

信息共享能避免“重复造轮子”，使整个系统更强大。如果一个组织发现了一个程序补丁或漏洞，并与其他安全提供商共享，那么整个系统的防御能力就会得到加强。

反之，缺乏共享则会带来风险。例如：

一家银行可能拥有完善的安全系统，但如果其第三方雇员或合同工在不安全的网络上工作，银行系统同样面临风险。
如果各安全系统之间不共享信息，那么每个机构都必须独立地发现漏洞、设计解决方案，这对于整个行业的整体进步而言是非常繁琐且有害的。

国际信息共享实践：FS-ISAC

在了解了共享的重要性后，我们来看一个具体的国际信息共享组织实例。

在某些司法管辖区，已经签署了谅解备忘录或协议，以促进跨国境的监管机构和信息机构之间的信息共享。一个典型的例子是金融服务信息共享与分析中心。

FS-ISAC 是一个成立于1999年的非营利实体，旨在收集并向金融服务业成员组织提供信息、潜在漏洞以及针对国家金融和服务基础设施的网络威胁与攻击预警信号。

其成员包括：

银行
信用合作社
结算与清算机构、存管机构
清算运营机构
保险公司
投资公司
金融部门监管机构
执法机构

FS-ISAC 通过举办会议、研讨会和规划演习，将来自不同组织的网络安全专家聚集在同一平台，以交流思想并学习跨组织的经验教训。它是一个跨境实体，邀请国际组织分享观点并促进机构间的交流。

FS-ISAC 的核心要素

以下是 FS-ISAC 运作的一些核心要素：

快速响应：首先，在其成员之间实时或尽可能接近实时地分析和传播有关威胁、情报系统和恢复系统的信息。
关键基础设施通知系统：FS-ISAC 开发了自有的一套通知系统。
信息共享与分析：收集来自外部来源的信息并进行传播。它拥有从外部来源收集信息的方法，并在验证后（显然是在其成员内部）传播这些信息。
数据匿名化：在共享与威胁和恢复计划相关的信息时，会对数据进行匿名化处理，以确保不共享私人信息或敏感信息。
成员驱动与非营利性：该组织由成员驱动，是非营利性的，专门服务于金融业的需求，并得到了美国及欧盟金融服务业监管机构的认可。

总结

本节课中我们一起学习了金融风险管理中的信息共享环节。我们了解到，信息共享是提升网络韧性的关键，主要发生在银行、监管机构和安全机构三者之间及其交互重叠区域。有效的共享可以避免资源浪费，强化整体防御。最后，我们以 FS-ISAC 为例，介绍了一个成功的国际信息共享实践，其通过快速响应、数据匿名化和成员驱动等核心机制，为全球金融业的安全协作提供了重要平台。

013：信息共享与协同防御 🔗

在本节课中，我们将继续探讨金融领域如何通过信息共享与公私合作来提升网络安全与抗风险能力。我们将重点分析具体的合作协议框架、运作原则以及跨区域协同机制。

上一节我们介绍了信息共享的基本概念，本节中我们来看看具体的实践案例与合作框架。

香港与新加坡的双边协议 🤝

香港金融管理局（HKMA）与新加坡金融管理局（MAS）之间签订了一份双边网络安全信息共享协议。双方通过一个既定框架，同意依据四项指导原则共享信息。

以下是该协议的四项核心指导原则：

自愿原则：信息共享完全基于自愿，并非由监管强制要求。
及时原则：建立及时的信息共享机制。因为一旦某个系统遭受网络攻击，威胁会迅速跨境传播。通常，一次有预谋的网络攻击会在24至48小时内蔓延至全球。
高效原则：在信息共享、框架运行以及两个监管辖区内的组织运行其网络安全平台时，均需保持高效。
保密原则：这是关键所在。金融机构共享信息时，保密性至关重要，必须置于最优先地位。否则，机构间将失去信任。

欧盟的协同防御网络 🛡️

在东南亚区域之外，欧盟也通过《网络与信息安全指令》建立了协同机制。欧盟区域内设有国家级的计算机安全事件响应小组（CSIRT）。

以下是欧盟CSIRT网络的主要职能：

事件监控与应对：它们如同快速反应部队，首先会监控全球网络安全动态，制定应对计划，并指导金融机构如何增强韧性和处理已识别的威胁。
网络化协作：各国的CSIRT团队会接入欧盟范围的网络，与各自的财政部、信息通信技术部以及欧洲网络与信息安全局协同工作。
多层次合作：它们在多个层面与不同机构合作，以更好地应对网络攻击。
信息与服务交换：它们会交换和讨论与事件及关联风险相关的信息（通常基于自愿原则），以提升整个金融行业的水平。
协调与支持：它们可以协调全球跨境、跨监管的响应行动，为成员提供应对支持，帮助成员改进自身的监管响应和网络韧性计划。
能力建设：它们还为所有成员提供通用的准备计划和改进计划，以更好地应对网络事件。

卢森堡的第三方监管模式 🏛️

卢森堡虽是小国，但在金融领域地位重要。该国存在受监管的第三方专业公司，专门为金融网络安全提供特定服务。

具体而言，卢森堡金融业监管委员会不仅监管金融机构本身，也监管那些为金融业提供网络韧性或网络保护计划的服务提供商。

以下是其协同运作模式：

三方协同：这些受监管的私人网络安全服务商与政府机构及非监管的政府机构协同工作。
持续改进：卢森堡政府会持续在这三方实体之间发布指南、通告，并推动数据收集工作的改进。

公私合作的价值 🤝

我们看到了公私合作伙伴关系如何帮助提升整个金融体系和金融行业应对网络威胁的稳健性，并改善组织内部的响应时间和韧性能力。这从核心上强化了金融组织。

恶意攻击者正在独立且不懈地寻找网络系统中的漏洞。由于系统的互联性以及不同银行、金融机构、监管辖区之间信息的快速交换与连接，我们不能将攻击视为孤立事件。例如，法国银行系统若受攻击，将对全球金融系统产生连锁影响。

因此，为了改进金融监管，该领域的所有相关方，无论是金融还是非金融部门，都必须协同协调工作，充分利用公共部门、私营部门和学术部门的能力与优势。

本节课中，我们一起学习了香港与新加坡的双边信息共享框架、欧盟的CSIRT协同网络以及卢森堡的第三方监管模式。这些案例共同揭示了通过跨机构、跨区域的信息共享与公私合作，是构建金融体系整体网络韧性和抗风险能力的关键路径。

014：重要业务服务与影响容限

在本章节中，我们将聚焦于运营韧性及其对业务服务的影响。我们将探讨监管机构如何定义“重要业务服务”，以及金融机构如何为其设定“影响容限”，以确保在严重但可信的干扰场景下，关键服务仍能持续提供。

上一节我们介绍了资本与风险管理的宏观框架，本节中我们来看看运营层面的具体韧性要求。

概述

本章内容基于英国审慎监管局、金融行为监管局以及作为金融市场基础设施监管方的英格兰银行，这三家监管机构联合发布的一份关于运营韧性的讨论文件与咨询结果。其核心目标是建立一个强有力的监管框架，以提升公司和金融市场基础设施公司的运营韧性。

重要业务服务的定义

监管机构要求公司识别其“重要业务服务”。这要求公司评估其提供的金融服务一旦中断，可能产生的、超越其自身商业利益的影响。以下是两家主要监管机构的具体定义侧重点：

审慎监管局的定义：重要业务服务是指由公司或代表公司的其他方提供给另一方的服务，若该服务中断，可能对以下方面构成风险：
1. 英国金融体系的稳定性。
2. 公司自身的安全与稳健性。
3. 公司客户或保单持有人的保护程度。
  公式：重要业务服务(PR) = f(金融体系稳定性, 公司安全稳健性, 客户保护)
金融行为监管局的定义：重要业务服务是指由公司或代表公司的其他方提供给另一方的服务，若该服务中断，可能造成以下后果：
1. 对公司的任一或所有客户造成不可容忍的损害。
2. 对英国金融体系或金融市场的有序运行构成稳健性、稳定性或韧性风险。
  公式：重要业务服务(FCA) = f(客户损害容忍度, 金融体系/市场风险)

关键区别：PRA将金融体系稳定性置于首位，而FCA则将客户损害列为优先考量项。

影响容限的设定

在识别重要业务服务后，公司必须为每项服务设定“影响容限”。这意味着公司需要明确，在发生严重但可信的干扰时，该项服务可以容忍多长时间的中断、多大程度的性能下降或多少数量的客户影响，而不会导致不可接受的后果。

公司必须确保，即使在预设的严重压力场景下，他们也能持续提供重要业务服务，并且将影响控制在其设定的容限范围之内。

关于内部服务的讨论

在咨询过程中，一个关键议题是“内部服务”（如人力资源、薪酬支付）是否应被纳入“重要业务服务”的范畴。许多公司反馈指出，内部服务的中断可能对最终向内部和外部用户交付服务产生重大影响。监管机构注意到了这一观点，并在最终政策考量中包含了对此类服务的评估。

总结

本节课中我们一起学习了运营韧性框架中的两个核心概念：重要业务服务与影响容限。监管机构通过要求金融机构识别关键服务并为其设定可容忍的干扰边界，旨在提升整个金融体系抵御运营冲击的能力。尽管PRA和FCA在定义优先级上略有不同，但其共同目标都是确保金融服务在逆境中的连续性与可靠性。

015：重要活动与影响容忍度续篇 📊

在本节课中，我们将继续深入探讨影响容忍度的概念，并比较不同监管框架下的定义差异。我们将重点关注时间维度在设定容忍度中的关键作用，以及企业应如何根据监管要求制定并实施相应的策略。

上一节我们介绍了重要业务服务，本节中我们来看看与之紧密相关的“影响容忍度”。

影响容忍度的定义与监管差异

影响容忍度是指，对于每种类型的业务中断，其可接受的影响水平需要由公司自行绘制和决定。其核心目标是确保即使在严重的压力情景下，公司仍能保持在其设定的影响容忍度之内。

以下是两个主要监管机构对影响容忍度的定义：

审慎监管局（PR）的定义：影响容忍度是指对单个或一组重要业务服务造成中断的最大可容忍水平，其衡量标准除了其他指标外，主要包含时间长度。
金融行为监管局（FCA）的定义：FCA的定义在PR的基础上更进一步，它额外反映了这样一个临界点，即超过此点的任何进一步中断，都可能对英国金融体系的稳健性、稳定性、韧性或金融市场的有序运作构成风险。

因此，与PR的定义相比，FCA对影响容忍度的界定更为严格和具体。PR的定义本身也与巴塞尔指南存在区别。

双重监管公司的处理原则

对于同时受PR和FCA双重监管的公司，存在一份联合覆盖文件。该文件的要求通常介于PR和FCA的指南之间，且很可能更接近更为审慎和保守的FCA指南。

监管机构的普遍期望是，公司需要理解哪些情景可能导致其超出各自的影响容忍度，并据此采取行动以保持在容忍度之内。可能出现的一种情况是，某个特定情景根据FCA的定义可能被视为“超出影响容忍度”，但根据PR的定义则不然。然而，公司总体上必须考虑什么是对其业务最审慎、最可能产生影响的，并基于此来制定和遵循影响容忍度。

公司可以根据FCA或PR的任一要求来设定其特定业务服务的影响容忍度，但核心理念是两者不应冲突，而应相互补充。

影响容忍度的衡量：时间维度的核心地位

如何衡量影响容忍度？监管机构提出了具体的衡量指标。

以下是影响容忍度的核心衡量指标：

基于时间的指标：在定义重要业务服务的影响容忍度时，监管机构建议公司和金融中介机构至少应明确指定该业务服务中断可被容忍的时间长度。这为影响容忍度增加了一个关键的时间维度，而不仅仅是一次性的损失。

这个定义与新冠疫情（COVID-19）下的实际情况有惊人的相似之处，尽管该定义在疫情爆发前就已提出。疫情封锁最初预计只持续一两周或一个月，但最终在许多地区持续了数月之久。这证明了影响容忍度高度依赖于时间成分，即特定影响能够被容忍多久。

例如，如果薪资处理在当月5日至25日之间中断20天，可能不是大问题。但如果在月度薪资应发放日前后中断两到三天，就可能构成严重问题。因此，时效性在定义影响容忍度时至关重要。

实施与时间线

显然，正如我们在巴塞尔法规中看到的，不可能在极短时间内建立流程来弥补所有缺口，或应对那些可能迅速超出重要业务服务影响容忍度的压力情景，因为这些运营事件通常影响巨大、具有连锁效应，并同时冲击多个业务服务和部门。

因此，监管文件提出了明确的实施时间线。通常，公司会自最终政策发布后有12个月的窗口期来实施相关政策。然而，由于新冠疫情和随之而来的封锁，监管机构提议将时间线延长至政策生效后不超过三年。理想情况仍是12个月，但因疫情可延长至三年。

总结

本节课中我们一起学习了影响容忍度的核心概念。其主要思想是：识别重要业务服务，分析可能单独或成组干扰这些服务的因素，并确定公司能够承受此类影响的程度——即他们能“生存”多久，以及能承受何种强度的压力情景。这就是该研究论文从运营韧性角度所提出的宽泛建议。

016：实现运营韧性 🛡️

在本节课程中，我们将学习如何实际实施运营韧性，特别是如何设定和实现影响容忍度。我们将探讨从业务映射到场景测试，再到从经验中学习并采取行动的完整流程。

实施运营韧性与影响容忍度

上一节我们介绍了运营韧性的概念，本节中我们来看看如何将其付诸实践。在实施运营韧性和影响容忍度时，企业需要关注几个关键方面。

首先，是映射环节。根据咨询文件的要求，企业和金融中介机构需要识别并记录为提供每项重要业务服务所必需的人员、流程、技术、信息系统或任何资源。这是运营韧性的一部分。

以下是映射过程中需要涵盖的要素：

人员：负责关键服务的员工。
流程：执行服务所需的操作步骤。
输入/输出依赖关系：服务所依赖的输入和产生的输出。
关联性：不同服务或资源之间的相互联系。

具体而言，映射应帮助企业实现两个目标：第一，识别在提供服务过程中存在的脆弱性；第二，测试其保持在影响容忍度范围内的能力。

输入严重性与输出严重性

在场景测试中，企业与监管机构之间曾就何为“严重场景”进行过大量讨论。这里需要区分两个核心概念：输入严重性和输出（或结果）严重性。

输入严重性：指外部市场或环境发生剧烈波动。例如，市场大幅上涨或下跌。
输出严重性：指尽管输入可能并不极端，但由于杠杆、系统弱点或其他不可预见的事件，导致最终结果被放大，造成严重损失。

举例来说，一个市场中性多空投资组合的理想状态是，无论市场涨跌（输入严重性），都应能获利。然而，如果该策略因使用高杠杆或存在执行缺陷，可能导致在市场轻微波动时（输入不严重）就产生巨大亏损（输出严重）。因此，测试需要涵盖这两种不同类型的严重性。

场景测试与经验学习

在场景测试方面，企业需要总结已识别的脆弱性及其测试方法。测试方法论应包括两个关键部分：

以下是测试后必须完成的分析步骤：

识别出的教训：从测试中学到了什么。
行动计划：企业正在采取哪些措施来克服在场景分析中发现的差距或脆弱性。

经验学习练习是至关重要的一环，其目的是确定优先事项，并投资于尽可能有效应对和从中断中恢复的能力。换句话说，就是尽可能增强业务场景下的韧性。这是整个场景分析工作的主要组成部分。

监管指南与模板

为了帮助企业完成这一过程，监管机构定义了一些关于何为“严重但可信”场景的指导原则。咨询文件要求确定压力事件时，需满足“严重但可信”这一条件。

监管机构提供了一些示例和模板，用于指导企业识别场景、发现脆弱性并记录从严重场景中吸取的教训。这些模板包含一些引导性问题、最低要求以及识别脆弱性后的利益相关者沟通模式。

需要强调的是，这些指南和模板仅代表最低要求。企业有充分的自由来定义自己的压力场景，并被鼓励超越这些最低标准进行更严格的自我评估。

外包与第三方参与

克服已识别脆弱性的整体实施方案，显然取决于企业自身的选择。其中涉及外包的两个方面：

以下是企业可能考虑的外包选项：

外包分析工作：将整个场景分析测试工作外包给咨询公司，并采纳其观点。
外包业务流程：作为改进和经验学习的一部分，将某些流程外包给第三方服务提供商，以建立备份或增强韧性。

是否在组织内部为特定重要业务流程创建备份，或是引入第三方，这是一个非常具体的问题，取决于组织自身的策略和偏好。如果涉及第三方，则必须通过文件和相互理解，妥善保护信息共享和隐私。

国际协调与监管一致性

本咨询文件还涉及国际协调问题。其重点在于使监管期望和最低要求与巴塞尔银行监管委员会（BCBS）的指导原则保持一致。

监管机构认识到企业和金融中介机构的全球互联性，以及不同监管机构之间协调的重要性。他们正努力与不同监管机构协调各项法规，以确保无论企业在何处运营，都有一套最低标准和监管期望。

从核心上讲，无论公司总部位于何处，都很可能受到全球事件和互联性的高度影响。监管的目标是更具审慎性，并为任何可能发生的运营压力事件做好准备，而不是让企业有机会进行监管套利（即选择对其更便利的法规）。

本节课总结：我们一起学习了实施运营韧性的具体步骤。从识别重要业务服务的依赖关系映射开始，到理解并测试输入与输出严重性场景，再到从测试中吸取教训并制定行动计划。我们还了解了监管机构提供的“严重但可信”场景指南和模板的作用，探讨了利用外包策略的考量，最后认识到国际监管协调对于建立全球统一韧性标准的重要性。整个过程的最终目标是使企业能够有效预防、应对并从业务中断中恢复，从而保持稳健运营。

017：治理与自我评估

在本节课程中，我们将探讨金融机构在治理与自我评估框架下，如何识别关键业务服务、设定影响容忍度并制定应对计划，以提升运营韧性。这一过程是监管机构对金融机构提出的核心要求，旨在增强整个金融体系的稳定性。

概述

治理与自我评估是金融机构构建运营韧性的核心环节。它要求机构主动识别其关键业务，明确业务中断的容忍限度，并制定确保业务持续的计划。这一过程高度定制化，但监管机构提供了原则性指导，以确保全行业达到最低标准。

核心原则与监管期望

上一节我们介绍了运营韧性的基本概念，本节中我们来看看监管机构的具体期望。监管机构（如英国审慎监管局和金融行为监管局）发布指导原则，明确了他们对金融机构运营韧性的期望。

金融机构应为关键业务服务设定影响容忍度。
金融机构应能识别自身的关键业务服务。
该政策的最终目标是提升单个机构乃至整个金融行业应对运营中断的整体韧性。

此政策文件还特别关注了金融系统互联性以及机构所处的动态复杂环境所带来的风险。监管机构认为，有必要建立相称的最低运营韧性标准，以激励金融机构为潜在中断做好准备并进行必要投资。

机构的视角与激励

我们必须理解，这些是非常开放且高度机构特定的领域。关键业务流程、影响容忍度及应对计划都因机构而异。机构本身也希望做好准备，尽量减少业务中断。然而，做好准备意味着需要投入资源，不仅是资金，还包括人力资源。因此，机构需要为应对业务中断而预留部分资源。

那么，机构应保持多强的韧性？其业务中断的容忍度是一个相对偏好，很大程度上取决于机构的风险回报权衡以及管理层认为的适当水平。监管机构试图建立运营监管的最低标准，从而激励机构为中断做好准备并进行必要投资。因为从机构角度看，预留资本和投入资源可能被视为一种浪费，或至少是资金的机会成本——这些资金本可用于业务投资。管理层很可能将其视为额外负担。监管机构的重点在于，引导机构不将其视为负担，而是作为一种有益的激励措施，以维护机构自身及整个金融行业的运营韧性。

适用范围与指导性质

由于业务中断可能影响机构安全提供服务的能力，并因其互联性对整个金融服务产生连锁效应，因此该框架具有广泛适用性。根据机构的规模、业务性质和范围，它适用于所有英国银行、建房互助协会、信贷协会、审慎监管局指定的投资公司、英国偿付能力II制度下的公司、劳合社及其管理代理、保险公司等。

该框架为如何定义业务韧性流程及设定影响容忍度提供了指导。当然，这些更多是指南性质。我们无需深究这些非常详细的指南，因为它们只是指导原则，并非按部就班就能得出最终答案（即预期影响容忍度）的步骤清单。由于受该咨询文件涵盖的业务范围广泛且性质多样，不可能给出识别关键业务流程和影响容忍度的封闭式指导。但可以存在一些识别业务流程、设定影响容忍度以及制定改进财务与运营韧性计划的标准实践或最低要求。

实施框架与核心要素

为了更直观地展示，指导方针围绕两个层面为机构提供框架。首先是战略成果，重点在于更宏观地确定战略成果。

期望的战略成果有三方面：

识别关键业务服务。
设定影响容忍度。
确保制定计划，使业务保持在影响容忍度之内。

如何实现这些成果？首先，需要确定如何判断机构是否处于影响容忍度之内，这涉及到建立衡量指标并将其转化为定性或定量数据。其次，需要进行情景分析和压力测试，以便机构能够制定计划或行动指南，应对压力事件或关键业务服务受影响的情况。这就是治理与自我评估练习的一部分。

以下是支持实现这些战略成果的自我评估工具和步骤，可视为中间环节：

映射交付所需的输入：识别关键输入，包括人员、流程、硬件、软件、资源及其他依赖项，以确定关键资源。
测试保持在影响容忍度内的能力：首先，识别可能中断这些业务流程的事件或情景；然后，评估如果这些情景发生，机构是否能保持在为自己设定的影响容忍度之内。

基于事件评估，银行和保险公司需要制定业务连续性计划。该计划应包括备份系统、各团队成员及员工的责任与职责、备用系统方案以及应急计划。如果涉及外包，也应作为业务连续性计划的一部分。外包或第三方服务提供商的使用，无论是临时性还是作为补充服务，都需要纳入考量。

整合与宏观视角

这整个练习将成为机构操作风险管理指南和操作风险管理模块的一部分，进而构成企业风险管理的一个方面。因此，视角将是顶层的，影响研究将在组织层面而非单个业务单元层面进行。

事实上，监管机构的视角更进一步。他们试图从以下角度评估关键业务服务：如果中断，是否会对金融行业的整体效能和健康造成严重后果。因此，他们不仅关注业务单元或机构本身，更关注英国乃至全球的整体金融行业。这就要求机构必须具备非常广阔和宏观的视野，而非局限于机构或业务单元本身的狭隘视角。这正是约两年前（2018-19年期间）由三大监管机构发布的这份咨询文件的主要目标。

总结

本节课中，我们一起学习了金融机构治理与自我评估的核心框架。我们了解到，机构需要主动识别关键业务、设定合理的影响容忍度，并通过情景分析和业务连续性计划来确保韧性。这一过程虽具挑战性，但监管机构通过设定最低标准和提供原则指导，旨在激励机构投资于韧性建设，最终提升单个机构及整个金融体系的稳定性和抗风险能力。

018：运营韧性原则

在本节课中，我们将学习巴塞尔委员会为提升金融机构运营韧性而提出的核心原则。这些原则旨在帮助银行等机构更好地应对低概率、高影响的破坏性事件，如疫情、网络攻击或自然灾害。

上一节我们探讨了英国监管机构关于运营韧性的指南，本节中我们来看看巴塞尔委员会提出的全球性框架。

背景与定义

巴塞尔委员会在2007-2009年全球金融危机后，推出了巴塞尔协议III等一系列审慎监管改革。这些改革不仅旨在增强金融部门的财务韧性，也着重提升其运营韧性。

委员会认为，尽管全球金融危机后，银行和金融部门在运营风险管理方面已持续改进，但仍需进一步提升，以涵盖诸如新冠疫情、网络事件、技术故障和自然灾害等低概率、高影响的事件。新冠疫情等事件在过去两年中残酷地测试了金融体系的脆弱性，尽管银行整体上比2007-08年时期更具韧性，但某些领域仍暴露出不足。

基于对全球金融危机、新冠疫情以及过去十年改进的观察，巴塞尔委员会提出了运营韧性的七项原则。在介绍原则之前，我们先明确其定义：

巴塞尔委员会将运营韧性定义为：银行在遭遇破坏时持续提供关键运营的能力。

这一定义意味着银行应假定破坏事件必然会发生，并需在整体风险偏好和容忍度的框架内进行规划。它要求银行能够：

识别并保护自身免受威胁和潜在故障的影响。
对破坏性事件做出响应并适应。
从破坏性事件中恢复。
从中学习，以持续减少其对关键服务交付的影响。

这与我们之前学习的英国监管指南中的“影响容忍度”概念在核心思想上高度一致。关于“关键运营”的界定，巴塞尔委员会参考了2006年成立的联合论坛关于业务连续性的高级原则。如今，焦点已从“业务连续性”转向更广泛、更全面的“运营韧性”。银行可根据自身职能自由界定其关键运营，前提是符合相关指导要求。

运营韧性七项原则

以下是巴塞尔委员会提出的七项运营韧性原则。

第一项原则涉及治理结构。银行应利用其现有治理架构来建立、监督和实施有效的运营韧性方法。该方法应使银行能够响应、适应破坏性事件，并从中恢复和学习，从而最大限度地减少破坏对关键运营交付的影响。简而言之，银行应通过情景分析和压力测试来检验其运营韧性，并基于测试结果制定改进计划。

第二项原则关注风险识别与管理。银行应利用其现有的操作风险管理职能，持续、定期地识别内外部威胁事件、潜在故障点以及人员、流程、系统中的薄弱环节。银行应及时评估关键运营的脆弱性，并管理由此产生的风险，以完善其运营韧性方法。其核心目标是，将运营风险控制在银行自身定义的风险容忍度（或英国监管机构所称的“影响容忍度”）之内。

第三项原则强调业务连续性计划。银行应制定业务连续性计划，并定期进行演练，以测试其有效性和时效性。这些演练应针对严重但可信的情景，以检验BCP计划的交付能力以及银行遵守该计划的能力。计划应涵盖常规中断事件，也应包括低概率、高影响的事件。这与我们从网络安全、企业风险等角度对BCP的普遍期望是一致的。

第四项原则是关于沟通与协作。银行应确保在破坏性事件期间及之后，与内部和外部利益相关者（包括客户、员工、供应商和监管机构）进行清晰、及时的沟通。有效的沟通对于协调响应、管理预期和维持信任至关重要。

第五项原则涉及技术韧性。银行应投资于稳健且具有弹性的信息技术系统，包括数据备份、灾难恢复解决方案和网络安全措施。技术基础设施必须能够承受冲击并支持关键运营的持续运行。

第六项原则是第三方风险管理。银行应识别、评估并管理因其依赖第三方供应商（如云服务提供商或外包商）而带来的风险。这包括确保关键第三方本身也具有足够的韧性，并制定备用方案以防第三方服务中断。

第七项原则，即最后一项原则，关乎持续改进。银行应建立一种从破坏性事件中学习和持续改进的文化。这包括在事件发生后进行复盘分析，更新风险识别、业务连续性计划和响应策略，并将经验教训纳入未来的运营和战略规划中。

总结

本节课中，我们一起学习了巴塞尔委员会关于运营韧性的七项核心原则。这些原则为金融机构构建抵御破坏性事件的能力提供了一个全面的框架，涵盖了从治理、风险识别、业务连续性到沟通、技术、第三方管理和持续改进的各个方面。理解并实施这些原则，有助于银行在日益复杂和不确定的环境中保持关键服务的稳定运行。

019：运营韧性核心原则（续）

在本节课中，我们将继续学习巴塞尔委员会关于银行运营韧性的核心原则。我们将重点探讨如何识别内部与外部依赖关系、管理第三方风险、制定事件响应计划以及确保信息通信技术与网络安全。这些原则共同构成了银行抵御运营中断、保障关键业务持续运行的基础框架。

上一节我们介绍了识别关键业务的原则，本节中我们来看看如何为这些业务绘制资源与依赖关系图。

原则四：映射互连性与相互依赖性 🗺️

该原则指出，银行在识别出关键业务后，应绘制支持这些业务所需的资源图。资源包括人员、流程、硬件、软件、系统、技术、信息系统、设施等所有用于最终交付产出的输入项和依赖项。

同时，银行应识别为交付关键业务产出所必需的内外部互连性与相互依赖性。

识别互连性与依赖性的重要性在于，它能帮助银行发现潜在的瓶颈和系统脆弱点，并了解哪些事件会冲击系统的哪些方面。

例如，在新冠疫情封锁的场景下，压力最大的领域是员工长期居家或远程办公的能力。如果银行的系统无法为所有员工提供硬件设备，或没有安全的网络接入方式让员工访问银行网络，那么这将成为最脆弱的环节。

因此，银行或任何金融机构必须具备识别不同领域、不同内外部因素之间，对于重要业务功能的互连性与依赖性的能力。

接下来，我们探讨与第三方依赖相关的原则。

原则五：管理第三方依赖 🤝

银行应能够管理其对第三方服务及相关业务实体的依赖。这些实体包括外包商、第三方服务提供商或关联实体。

银行应能识别并管理其运营中对这些相关方、第三方实体及集团内关联方的依赖。最终目的当然是确保关键业务的平稳交付。

因此，银行在与外部第三方或集团内实体建立合作关系前，应进行风险评估和尽职调查，且该流程需符合银行的运营风险管理框架。尽职调查应成为运营风险框架的一部分。

尽职调查应明确定义对第三方服务或集团内实体的测试内容和期望。风险管理政策、运营风险方面、运营韧性方面，所有这些都应对以下三者进行测试：

A. 银行自身实体。
B. 与之开展业务往来的第三方或外部方。
C. 银行与第三方服务提供商作为一个组合的运营单元或相互依赖的交付系统。

如果第三方服务提供商能够弥补银行在运营韧性方面的不足，那将是最理想的结果，也是对银行业务运营的最佳补充。

了解了外部依赖的管理后，我们转向内部应对机制。

原则六：事件管理 🚨

银行应制定并实施响应与恢复计划，以管理可能中断关键业务交付的事件，这些计划需与银行的风险偏好或我们在前面章节见过的“中断容忍度”（即风险偏好和影响容忍度）保持一致。

银行应持续监控并改进其事件响应时间、响应计划和恢复计划，以纳入从以往事件中吸取的经验教训。这预期会形成一个持续的反馈循环。

这些以往事件可以是实际发生的事件、未遂事件，或是从模拟、情景分析、测试分析中获得的经验。它们都应被同等对待，因为它们都被期望能帮助银行更好地为运营风险事件做好准备。

事件严重程度的分类应基于与结果相关的预定标准。我们见过两种方法：输入严重性分类和输出严重性分类。此处的严重性应基于输出严重性，而非输入严重性。即使输入参数发生微小变化，也可能对银行的产出参数或其交付关键业务服务的能力产生不成比例的影响。

因此，事件严重性应基于其对关键业务服务的影响来判定。它也可以基于预期恢复正常运营的时间来定义。

严重性可以定义为财务影响、恢复正常的时间、组织内或整个金融部门的关联性和多米诺骨牌效应，也可以基于内外部利益相关者（如监管机构、股东、董事会）定义的某些优先级。无论银行采用哪种方式，都应预先定义，并且恢复计划应根据这些事件的严重性来设定。

在建立了事件管理机制后，保障支撑这些机制的技术基础至关重要。

原则七：信息通信技术与网络安全 🛡️

银行应具备韧性的信息通信技术，包括网络安全，并使其接受保护、检测、响应和恢复计划的约束。

这些计划应定期测试，纳入态势分析、情景感知和情景分析，并应及时为风险管理和决策传递相关信息。这将有助于支持在风险容忍度内及时交付的过程，并促进银行的关键业务运营。这不仅有助于交付关键业务，还能让高级管理层对整体的稳健性和运营韧性感到放心。

这些内容应记录在ICT政策中。网络安全的韧性方面也应成为ICT政策的一部分。政策可包括网络与ICT的治理和监督要求、风险所有权、问责制、安全措施、现有控制措施、关键信息保护、数据隐私、资产保护（硬件、软件、实物或数字资产）以及身份管理。

网络安全控制措施应定期测试和监控。正如前面章节所见，网络安全领域在不断演变，因此必须定期测试，并根据世界和该领域的最新发展进行改进。这是一个持续演进的过程。恶意行为者时刻试图侵入银行系统、金融系统和金融中介系统，他们只需成功一次；而防御方（银行、金融中介、机构）则必须在每一次都正确无误地保护自己免受网络攻击。

这可能包括多种计划和备份。例如，我们见过一些保持“冷站点”的计划。这里的术语是“热站点”和“冷站点”服务器。热服务器连接到系统，它们会有备份，但会连接到互联网和网络；而冷站点则通过物理措施进行备份，它们可以被替换，但不会连接到任何网络。这样，即使恶意行为者入侵了网络，冷站点仍能运行。但显然，维护冷站点成本较高且耗时，从冷站点恢复数据以实现业务韧性计划和恢复计划也既费时又昂贵，因此我们现在主要维护热站点。

在维护更多热站点或冷站点及其相关成本之间进行权衡，这同样是一种取舍，但必须有相应的安排。银行是选择一个备份服务器还是十个，取决于其风险偏好和业务实践。但总体思想是，必须有相应的计划和政策，并对其进行修订、测试，并在必要时与内外部利益相关者沟通。关键在于要有计划。计划的强度和严重性是下一个问题，但首要问题是制定这些政策并保持更新，以便在发生任何事件时，公司能够维持运转。

一个重要的现实情况是，员工不断加入，角色在组织内外不断变动。如果应急预案或韧性计划、政策没有明确定义并及时更新，就可能造成危机局面，导致关键的重要知识流失，因为熟悉某个特定领域的专家可能已经离职。通过建立适当的文档记录和政策，可以避免这种情况，这将有助于实现韧性的运营风险管理和韧性的信息通信技术，也包括网络韧性。

总结 📝

本节课中，我们一起学习了巴塞尔委员会定义的运营韧性核心原则的后半部分。我们探讨了如何通过映射互连性与依赖性来识别系统脆弱点，学习了管理第三方依赖的尽职调查与测试要求，明确了基于输出影响制定事件响应与恢复计划的重要性，并深入了解了构建韧性ICT与网络安全框架的关键要素，包括热/冷站点等具体策略。这些原则为全球银行业提供了全面的指导，但具体实施需由各国监管机构根据本地情况进行调整和采纳。掌握这些原则，是理解现代银行如何构建抵御运营冲击能力的基础。

020：暴露驱动因素 🎯

在本节中，我们将探讨金融机构在追求运营韧性时所面临的主要暴露驱动因素。理解这些驱动因素是构建有效风险管理和业务连续性计划的基础。

上一节我们介绍了运营韧性的核心概念，本节中我们来看看具体有哪些因素会挑战组织的韧性。

概述：运营韧性的挑战

运营韧性要求组织在面临不利运营事件时，仍能持续提供业务服务。这并非传统的业务连续性或灾难恢复方法，后者更侧重于物理事件和特定业务单元的孤立测试。运营韧性将组织乃至整个金融行业视为一个整体，应对来自网络安全、技术、第三方、物理设施、运营及人力资源等各方面的中断与攻击。其核心理念是：能够弯曲，但不会断裂。

暴露驱动因素详解

以下是威胁组织运营韧性的六个主要驱动因素。

1. 创新规模与速度 🚀

创新既来自行业内部，也来自外部。金融科技公司的崛起加剧了竞争，推动了创新周期的加速。这带来了双重挑战：

复杂性增加：交付产品和服务所需的流程和基础设施变得更为复杂。
失衡风险：产品上市时间与安全保障之间出现失衡。由于高度互联，服务中断的影响会以前所未有的速度在整个市场蔓延。组织往往没有足够的时间将新服务、新创新纳入其韧性计划。

核心挑战公式：创新速度 > 韧性计划整合速度

2. 数字化进程 💻

物联网等技术正触及客户生活的方方面面，客户期望也随之提高。这推动了自动化水平和新技术的快速采用。传统的手工方法已无法处理海量数据，我们必须依赖系统和计算机。关键在于识别互联数字系统中的最薄弱环节。

核心概念：一个链条的强度取决于其最薄弱的一环。

3. 对遗留基础设施的依赖 🏚️

由于创新步伐极快，基础设施迅速过时并成为遗留系统。组织往往没有机会替换这些旧基础设施，而是在其上不断构建新的硬件或软件。新旧基础设施之间的任何漏洞或差距都会削弱系统，并在组织试图恢复时造成运营韧性问题。此外，随着技术过时，维护和修复它们的能力也变得稀缺。

核心思想：我们不应等待破坏性事件迫使我们升级遗留系统，而应主动采取措施。

4. 供应链延伸 🔗

随着业务的专业化和互联，组织对第三方服务提供商和业务流程外包的依赖日益加深。虽然这带来了效率，但也引入了更多依赖点。供应链中每一个新增的第三方依赖（无论组织内外）都会增加整个风险控制结构中的风险和潜在故障点。

5. 互联性与信息共享 🌐

这一点在不同形式中已有所涵盖。高度的互联性意味着风险与冲击更容易在系统间传导。

6. 恶意行为者的复杂性 🦹

网络攻击者和黑客也在快速创新，不断寻找新的攻击手段来利用系统漏洞。他们中的一些拥有专业的资源和资金，甚至可能得到国家支持。其实践的复杂性和快速创新给组织的网络攻击预防和整体网络韧性带来了更多挑战。

核心不对称性：攻击者只需正确或幸运一次，而防御者（网络安全人员）必须每次都正确无误。因为即使只有一个漏洞被成功利用，也可能对组织的整体网络韧性造成严重破坏。

总结

本节课我们一起学习了影响金融机构运营韧性的六大暴露驱动因素：创新规模与速度、数字化进程、对遗留基础设施的依赖、供应链延伸、互联性与信息共享，以及恶意行为者的复杂性。理解这些驱动因素有助于董事会和高级管理层审视自身，评估组织在多大程度上为应对运营中断做好了准备，从而制定出更全面、更主动的韧性策略，确保组织在逆境中仍能“弯曲而不断裂”。

021：运营韧性方法 🛡️

在本节课程中，我们将学习运营韧性方法，并理解它与传统的业务连续性及灾难恢复方法在根本上的不同。

概述

运营韧性方法与传统方法在核心理念上存在根本差异。传统方法主要关注业务连续性和灾难恢复，而运营韧性方法则是一个更全面、更主动的风险管理框架。接下来，我们将从五个维度详细剖析这两种方法的区别。

五大维度对比分析

上一节我们介绍了两种方法的根本不同，本节中我们来看看它们在五个具体维度上的差异。

以下是运营韧性方法与传统的业务连续性及灾难恢复方法在五个关键维度上的对比：

治理
- 运营韧性方法：明确界定董事会和高级管理层的责任。他们需要深度参与并成为运营韧性建设的一部分，因为这是企业级风险管理的组成部分，而不仅仅是合规要求。它涉及向所有利益相关者提供全面且可执行的报告，以驱动持续改进。这是一个持续的过程，并受到高级管理层的密切监控和参与。
- 传统方法：董事会和高级管理层的角色非常有限。更多是事后响应的“仅供参考”性质，或是一种检查清单式的合规完成工作，即只需对照清单检查公司是否合规。
组织关注点
- 运营韧性方法：关注关键业务流程和为客户提供的重要业务产出。它审视端到端的业务流程，而非孤立的部门。例如，对于“交易结算”这一流程，它会考察组织中所有相关团队的贡献、依赖关系和参与度，从而识别跨部门的临界点和脆弱性。其视野不仅限于组织内部，还关注中断对整个金融行业乃至宏观经济的潜在影响。
- 传统方法：非常具体，通常只针对特定业务部门或技术资产。最多能扩展到公司层面，但仍是孤立的视角。
整合性
- 运营韧性方法：由于关注整体流程和业务产出，它天然地整合了多个业务部门、团队和组织资产。这包括系统、硬件、数据、软件、第三方、设施、流程、人员、知识与技能。它将韧性测试嵌入到业务服务、产品交付和组织资产的前期设计中，是服务与产品开发的内在组成部分。
- 传统方法：更像一个外部附加部分，主要出于合规目的。它不一定融入服务和资产的开发过程，依赖关系也更多集中在业务部门层面或特定技术资产上。
衡量标准
- 运营韧性方法：审视为每个关键服务量身定制的破坏性业务场景。这些场景与业务紧密相关，具有前瞻性，旨在预测未来可能发生的情况。为此设定的容忍度也针对具体场景和业务服务。
- 传统方法：采用“一刀切”的标准。使用标准的破坏性场景（如洪水、地震）来评估所有业务单元，无论其性质是技术部门还是交易结算部门。这导致使用标准的容忍度和场景分析，虽有其价值，但无法呈现业务整体的最佳全貌。
准备状态
- 运营韧性方法：强调危机管理，并建立明确的响应机制（如首要响应、次要响应）。它设有统一的指挥中心来处理各类事件。其规划和能力受到持续监控和测试，而非不频繁的演练。可以将其类比为紧急救援服务，始终保持待命和准备状态。
- 传统方法：主要针对发生频率低但影响大的事件（如自然灾害）。因此能力测试不频繁（通常每年一次），且不同事件可能有不同的响应机制，缺乏对危机管理本身的集中关注。

总结

本节课中，我们一起学习了运营韧性方法与传统业务连续性及灾难恢复方法的区别。关键点在于，运营韧性是一个整合的、以业务流程为中心的、由高层驱动的持续过程，它嵌入组织运营的方方面面，并像紧急服务一样保持持续的准备状态。而传统方法则更偏向于部门化的、合规驱动的、针对特定高影响低频事件的周期性检查。理解这些差异对于构建真正有效的组织韧性至关重要。

022：管理层提问指南 📋

在本节课中，我们将学习高级管理层和董事会如何通过提出关键问题，来评估和提升组织的运营韧性准备水平。我们将围绕运营韧性的五个维度，探讨一系列管理层可以提出的具体问题。

正如前文所述，本章的重点在于高级管理层和董事会可以采取哪些行动，以更好地做好准备，确保组织在运营韧性方面符合要求，并检验其准备程度。

为此，管理层可以向其组织及管理者提出一些问题，以核查组织在运营韧性方面的准备水平。这些问题同样可以围绕运营韧性的五个维度展开，即：治理、组织聚焦、整合、衡量和准备。

治理维度 🏛️

治理维度关注组织的风险偏好、责任划分和监督机制。以下是管理层可以提出的问题：

风险偏好：我们对于韧性风险的风险偏好是什么？
关键指标：我们是否已经确定了帮助我们全面理解该计划的关键风险指标和关键绩效指标？我们基于什么确定了这些指标？
责任划分：在一线防御中，谁对韧性管理负责并承担责任？在二线防御中，谁负责并承担责任？（注：一线防御指业务线或业务部门本身；二线防御指风险管理职能部门。两者需协同工作以提升组织的运营韧性。）

组织聚焦维度 🎯

上一节我们介绍了治理层面的问题，本节中我们来看看组织聚焦维度。该维度关注组织对关键业务服务依赖性的理解。管理层可以检查以下方面：

依赖性理解：组织是否理解关键业务服务对组织资产（如不同团队、技术方面、第三方）的依赖性？它们之间如何关联？
管理方式影响：这些依赖性是否改变了我们管理第三方关系、技术资产和组织方面的方式，以提升运营韧性？
关键资产识别：我们是否能够识别并理解服务交付价值链中最关键的资产？
情景分析对齐：基于我们已运行的情景分析，我们的组织聚焦是否与适应这些情景、并将情景影响控制在容忍度之内保持一致？
关键性衡量与整合：我们如何衡量业务的关键性？我们如何将这种衡量与不同业务部门、业务群体进行整合？

整合维度 🔗

接下来是整合维度，它关注新要求与现有体系的融合。管理层可以提出以下问题：

利用现有职能：我们是在利用现有职能，还是需要专注于完全不同的新事物？
遗留系统利用：我们能否利用遗留系统来提升运营韧性，还是需要引入全新的独特方案？
影响评估：压力事件对客户和金融系统的影响是什么？（这是可以从整合角度检查的方面。）

衡量维度 📊

衡量维度关注如何量化评估韧性的各个方面。以下是相关的问题列表：

关键活动衡量：我们如何衡量最关键的业务活动？
韧性风险衡量：我们衡量韧性风险的指标是什么？
韧性水平监控：我们如何监控韧性水平？
定性定量指标：我们有哪些定性和定量的指标？我们是否为衡量此方面设定了关键风险指标和关键绩效指标？
风险偏好体现：我们如何衡量风险偏好是否体现在影响容忍度中？
情景影响衡量：我们如何衡量情景的影响是否在影响容忍度之内？
超限情景处理：我们如何衡量哪些情景超出了影响容忍度？其影响和可能性如何？我们是否在改进？如何知道我们正在改进并克服这些先前超出容忍度的情况？

准备维度 🛡️

最后，我们来看准备维度，它关注组织应对中断事件的准备措施和测试频率。管理层应询问：

准备措施：组织如何为不同的破坏性事件做准备？准备程度的衡量标准是什么？
测试频率：我们测试应对不同破坏性事件能力的频率如何？
测试场景：我们是反复针对相同场景测试能力，还是根据新发展引入新场景？
持续改进：我们是否在运营韧性方法中，持续改进这些场景和我们的应对方法？

本节课中，我们一起学习了高级管理层和董事会可以从治理、组织聚焦、整合、衡量和准备五个维度，向组织提出一系列具体问题，以系统性地评估和推动组织运营韧性的建设与提升。通过回答这些问题，组织能够更清晰地了解自身的准备状态，并找到需要加强的领域。

023：实施步骤 🛠️

在本节课中，我们将学习如何实施运营韧性提升计划。我们将一个四步走的路线图，帮助组织从传统的业务连续性管理（BCDR）方法，转型为一个具备强大运营韧性的组织。需要明确的是，这是一个持续改进的循环，而非一次性任务。

概述 📋

运营韧性的整体实施可以分解为四个步骤。我们可以将这些步骤作为提升组织运营韧性的路线图。第四步并非终点，正如之前提到的，运营韧性是一个持续改进的计划，不是清单式的检查程序，也不是一劳永逸的练习。它是一个需要定期和持续进行的工作。因此，第四步绝不是最后一步，而是一个持续扩展的计划。

第一步：建立基础 🏗️

在第一步中，我们需要为韧性建设奠定基础。这包括明确责任归属，并为韧性建立一个运营模型。我们通过定义韧性成熟度评估，来建立组织当前能力的基线，即了解组织现在处于什么位置，我们的起点在哪里。

以下是第一步的具体工作内容：

明确责任与建立模型：分配责任，并制定韧性的运营模型。
评估当前成熟度：定义韧性成熟度评估，以确定组织当前能力的基线。
识别关键业务服务：识别我们当前的状态，以及我们最需要关注的重点领域是什么，即哪些是最关键的业务服务。

第二步：向董事会提供可见性 👁️

上一节我们介绍了如何建立基础并识别关键业务服务。本节中，我们来看看如何将计划推进并获得高层支持。第二步的核心是定义目标、建立衡量标准，并向高级管理层汇报，以获得他们对整个运营韧性实施方法的认同和支持。

以下是第二步的具体工作内容：

定义目标：为组织定义目标韧性成熟度或目标韧性时间框架。
设定初始指标：定义初始的指标集，识别关键指标。
确定影响容忍度：明确我们当前的影响容忍度是什么，以及我们将如何衡量。
创建衡量矩阵：创建一个矩阵来衡量我们是否具备运营韧性，以及我们当前的状况。
衡量与报告：首先识别矩阵和测量参数，然后衡量当前的表现，最后将其报告给高级管理层。

第三步：聚焦单一关键服务进行试点 🧪

在明确了整体目标并获得高层支持后，我们需要将计划落地。第三步是选择一个最关键的业务服务，集中精力运行一个试点项目来提升其运营韧性。我们通过这个试点来验证方法，并总结经验。

以下是第三步的具体工作内容：

识别关键依赖：识别该服务在人员、服务、系统、资源等方面的关键依赖项。
评估相关风险：评估与所有输入参数相关的风险。
定义影响容忍度：为该特定流程或关键服务定义影响容忍度。
通过场景评估韧性：首先制定各种场景，然后评估在这些场景下的韧性表现。
定义KRI和KPI：定义我们需要用来衡量绩效的关键风险指标和关键绩效指标。韧性将根据这些KRI和KPI进行测试。

第四步：制定改进路线图并推广 🔄

完成单一服务的试点后，我们进入第四步。这一步的核心是总结经验，制定改进路线图，并将成功的试点模式复制推广到组织的其他关键业务流程中，同时识别并加固那些影响多个业务的共性关键资源。

以下是第四步的具体工作内容：

制定改进路线图：理解那些压力事件或破坏性事件对该特定业务服务的影响结果，并识别我们可以做些什么，或者本可以如何做得更好，以减少该特定破坏性事件的影响。换句话说，就是提升该特定业务活动的运营韧性。
总结经验并完善计划：识别关键经验教训，改进计划文档和程序增强，从而为整个组织创建一个试点方案，以便我们能够在更广泛的层面上推广该计划。
复制推广到多个流程：为一个流程完成后，下一步我们可以扩展该计划，并复制到第二个、第三个关键流程。识别关键依赖，审视当前状态，用破坏性事件测试它们，识别关键经验教训并加以改进。这是一个持续的过程。
识别并加固共性关键资源：在此过程中，我们可能会识别出一些对组织内多个关键业务都至关重要的关键资源（可能是人员、服务或系统）。这些资源可以获得高级管理层的重点关注。我们可以分配资源为这些资源或系统创建备份或冗余，这样，如果该特定关键资源发生故障，可能会对多个业务服务产生连锁反应，但这种影响可以通过提前准备、创建备份和制定计划来避免，即为该特定事件建立韧性。
实施具体应对措施：例如，在数据中心不可用的事件中，我们可以创建热备站点、冷备站点，在不同地理区域建立备份，利用云备份，或将特定活动外包。一旦我们意识到哪些是关键资源，就可以确定需要做什么。这需要我们对不同的关键业务服务反复进行这项练习。
持续演进：这是一个持续的过程。像网络安全、场景分析等方面是不断演进的。因此，即使我们将该计划推广到组织中所有关键业务流程，依赖的系统、服务和资源也可能持续变化。所以这是一个持续改进的循环，不能是一次性完成就束之高阁的计划，必须持续监控和不断改进。