平台营运者应实施充分的系统及监控措施,涵盖范畴包括下列各项:
- 管治
平台营运者应设立有效的管治框架,以订立其运作上的抵御能力目标,制订、实施和监察一些安排及措施以持续识别可能对其业务健全、具效率和有效的运作造成影响的干扰事故,并应对和适应干扰事故。其中包括:
- 平台营运者的高级管理层应对订立运作上的抵御能力目标,及制订和执行必要的安排及措施承担全部责任。
- 指定员工应监察平台营运者业务单位在运作上的持续抵御能力,以支援高级管理层的监督工作。
- 高级管理层应获提供充分的资料,让他们可持续地和及时地评估可能影响平台营运者在运作上的抵御能力的事宜,并考虑和批准对平台营运者在运作上的抵御能力方面的工作,进行任何必要的调整。
- 运作风险管理
平台营运者应订立有效的运作风险管理框架,以评估干扰对运作(包括人员、流程和系统)及合规事宜的潜在影响,及按照其运作上的抵御能力目标来管理所产生的风险。
平台营运者应制定并维持有效的政策及程序,以确保其所承受的运作风险获得适当的管理。平台营运者亦应每隔适当时间进行全面的检讨,以确保其因运作干扰而造成损失的风险维持在可接受的及适当的水平。
- 资讯与通讯科技,包括网络保安
平台营运者应确保其资讯与通讯科技系统具抵御能力,以便在出现干扰事故时维持健全、具效率和有效的业务运作,并应确保这些系统都是在安全及有充分监控的环境下运作。
为了确保其资讯与通讯科技系统安全运作,平台营运者亦应制订各项政策和程序,以保护由其所管有的机密数据和资料,并且持续地管理网络保安风险。
- 依赖第三方的风险管理
平台营运者应识别其为维持其业务健全、具效率和有效的运作而须依赖的主要第三方(包括集团内的实体),评核第三方服务供应商的抵御能力,以及按照其在运作上的抵御能力目标,管理依赖第三方所产生的风险。
平台营运者应采取适当步骤去识别、规限及管理依赖第三方的风险 。平台营运者亦应每隔适当时间及每当更换主要服务供应商时进行检讨,以确保平台营运者因依赖第三方而蒙受损失(不论是财务或其他损失)的风险,得以维持在可接受及适当的水平。
- 业务延续计划及事故管理
平台营运者应设有有效的业务延续计划,以应对及适应干扰事故并从中恢复过来,以及应至少每年检讨有关计划,以评估是否有需要因应平台营运者在运作、架构或业务方面的任何重大改变而作出修订。它们亦应采纳有效的事故管理流程,以识别、评估及纠正干扰事故并从中汲取教训,以及避免干扰事故重现或纾减其严重性。
平台营运者应订立及维持业务延续计划,而该计划应:
(a) 应对所识别到的不同干扰情境,并载列启动有关计划的相应程序;及
(b) 至少每年及在有需要时进行检讨,并因应平台营运者在运作、架构或业务方面的改变而作出修订。检讨结果应妥为记录在案。
平台营运者亦应制订一套当出现干扰事故时会被启动的事故管理流程,涵盖范畴包括以下事项:
(a) 制订适用的汇报及上报程序;
(b) 厘定应对有关事故的合适行动;
(c) 透过分析有关事故来识别根本原因;
(d) 避免类似事故的出现,及在事故发生时需纾减其严重性;及
(e) 实施通讯计划,藉以向内部和外部持份者汇报事故,包括向监管机构汇报影响其客户利益及其继续进行正常业务运作的能力的重大事故。
(主要参考:《虚拟资产交易平台指引》第11.6至11.9、11.11、12.8、12.10、12.15、12.16至12.20段)