Principles for Operational Resilience

オペレーショナル・レジリエンスの原則

Contents

目次

Principles for operational resilience

オペレーショナル・レジリエンスの原則

I. Introduction

I. 序文

II. An evolving operational risk landscape

II. 進化するオペレーショナル・リスクの状況

III. Essential elements of operational resilience

III. オペレーショナル・レジリエンスに不可欠な要素

IV. Definition of operational resilience

IV. オペレーショナル・レジリエンスの定義

V. Operational resilience principles

V. オペレーショナル・レジリエンスの原則

Governance

ガバナンス

Operational risk management

オペレーショナル・リスク管理

Business continuity planning and testing

事業継続計画とテスト

Mapping interconnections and interdependencies

相互接続と相互依存関係のマッピング

Third-party dependency management

サードパーティ依存関係の管理

Incident management

インシデント管理

ICT including cyber security

サイバーセキュリティを含むICT

Principles for operational resilience

オペレーショナル・レジリエンスの原則

I. Introduction

I. 序文

1. In the years that followed the Great Financial Crisis (GFC) of 200709, the Basel Committees reforms of its prudential framework have enhanced the supervision of the global banking system and resulted in a number of structural changes to strengthen banks financial resilience. While significantly higher levels of capital and liquidity have improved banks ability to absorb financial shocks, the Committee believes that further work is necessary to strengthen banks ability to absorb operational riskrelated events, such as pandemics, cyber incidents, technology failures and natural disasters, which could cause significant operational failures or wide-scale disruptions in financial markets. In light of the critical role that banks play in the operation of the global financial infrastructure, increasing their resilience would provide additional safeguards to the financial system.

1. 200709年の大金融危機 (GFC) 後の数年間、バーゼル委員会のプルデンシャル・フレームワーク改革は、世界の銀行システムの監督を強化し、銀行の財務レジリエンスを強化するための多くの構造改革をもたらした。資本と流動性の水準が大幅に高まったことで、銀行の金融ショック吸収能力は向上したが、パンデミック、サイバーインシデント、技術障害、自然災害など、金融市場に重大な業務障害や広範な混乱を引き起こす可能性のあるオペレーショナル・リスク関連事象を吸収する銀行の能力を強化するためには、さらなる取り組みが必要であると委員会は考えている。グローバルな金融インフラの運営において銀行が果たす重要な役割に鑑みれば、銀行のレジリエンスを高めることは、金融システムにさらなるセーフガードを提供することになる。

2. Even prior to the Covid-19 pandemic, the Committee considered that significant operational disruptions would inevitably test improvements to the financial systems resilience made since the GFC. As the Covid-19 pandemic progressed, the Committee observed banks rapidly adapting their operational posture in response to new hazards or changes in existing hazards that occurred in different parts of their organisation. Recognising that a range of potential hazards cannot be prevented, the Committee believes that a pragmatic, flexible approach to operational resilience can enhance the ability of banks to withstand, adapt to and recover from potential hazards and thereby mitigate potentially severe adverse impacts.

2. Covid-19のパンデミック以前から、委員会は、大規模な業務混乱が発生すれば、GFC以降に改善された金融システムのレジリエンスが試されることは避けられないと考えていた。Covid-19の大流行が進むにつれ、委員会は、銀行が、組織のさまざまな部分で発生した新たなハザードや既存のハザードの変化に対応して、業務態勢を急速に適応させていくのを観察した。様々な潜在的なハザードを予防することは不可能であることを低減しつつ、当委員会は、オペレーショナル・レジリエンスに対する実際的で柔軟なアプローチは、銀行が潜在的なハザードに耐え、適応し、そこから回復する能力を強化し、それによって潜在的に深刻な悪影響を緩和することができると考えている。

3. Through the publication of this document, the Committee seeks to promote a principles-based approach to improving operational resilience. The approach builds on updates to the Committees Principles for the Sound Management of Operational Risk (PSMOR) and draws from previously issued principles on corporate governance for banks, as well as outsourcing-, business continuity- and relevant risk management-related guidance.

3. 本書の公表を通じて、当委員会は、オペレーショナル・レジリエンスを改善するための原則に基づくアプローチを促進することを目指す。このアプローチは、委員会の「オペレーショナル・リスクの健全な管理のための原則 (PSMOR) 」の更新を基礎とし、銀行のコーポレート・ガバナンスに関する過去に公表された原則や、アウトソーシング、事業継続、および関連するリスク管理関連のガイダンスを参考にしたものである。

4. Recognising the work undertaken by several jurisdictions and standard-setting bodies (SSBs) to bolster the operational resilience of the financial sector, the Committee aims to strengthen operational resilience by furthering international engagement and seeks to promote greater cross-sectoral collaboration over this body of work.

4. 金融セクターのオペレーショナル・レジリエンスを強化するために、いくつかの国・地域や標準設定団体 (SSBs) が取り組んでいることを認識しつつ、当委員会は、国際的な関与を進めることでオペレーショナル・レジリエンスを強化することを目的とし、この一連の作業について、セクターを超えたより大きな協力を促進することを目指す。

II. An evolving operational risk landscape

II. 進化するオペレーショナル・リスクの状況

5. Banks and their customers have benefited from the application of technology to financial services, although the increased use of technology presents new risks. Until recently, some of the most predominant operational risks that banks faced resulted from vulnerabilities related to the rapid adoption of and increased dependency on technology infrastructure for the provision of financial services and intermediation, as well as the sectors growing reliance on technology-based services provided by third parties. The Covid-19 pandemic has exacerbated these operational risks and increased economic and business uncertainty. Technology and relationships with third parties have at the same time supported the continued delivery of products and services to customers and promoted the ability of banks to continue operations during the pandemic.

5. 銀行とその顧客は、金融サービスへのテクノロジーの応用から恩恵を受けてきたが、テクノロジーの利用拡大には新たなリスクが伴う。最近まで、銀行が直面した最も主要なオペレーショナル・リスクのいくつかは、金融サービスのプロバイダと仲介のためのテクノロジー・インフラの急速な導入と依存の高まり、およびサード・パーティが提供するテクノロジー・ベースのサービスへの銀行の依存の高まりに関連する脆弱性から生じたものであった。Covid-19の大流行は、こうした業務リスクを悪化させ、経済と事業の不確実性を増大させた。テクノロジーとサードパーティとの関係は、同時に、顧客への商品とサービスの継続的な提供を支え、パンデミック中に銀行が業務を継続する能力を促進した。

6. Pandemic-related disruptions have affected information systems, personnel, facilities and relationships with third-party service providers and customers. In addition, cyber threats (ransomware attacks, phishing, etc) have spiked, and the potential for operational risk events caused by people, failed processes and systems has increased as a result of greater reliance on virtual working arrangements. The Committees guidance on operational resilience will continue to be informed by its monitoring of the impact of the Covid-19 pandemic and any lessons learned.

6. パンデミック関連の混乱は、情報システム、人員、施設、サードパーティーのサービス・プロバイダーや顧客との関係に影響を与えた。加えて、サイバー脅威 (ランサムウェア攻撃、フィッシングなど) が急増し、バーチャルな業務体制への依存度が高まった結果、人、プロセス、システムの不具合に起因するオペレーショナル・リスクが発生する可能性が高まった。オペレーショナル・レジリエンスに関する当委員会のガイダンスは、コヴィッド19のパンデミックの影響と、そこから得られた教訓のモニタリングによって、引き続き情報提供される予定である。

III. Essential elements of operational resilience

III. オペレーショナル・レジリエンスに不可欠な要素

7. Operational resilience is an outcome that benefits from the effective management of operational risk. Activities such as risk identification and assessment, risk mitigation (including the implementation of controls) and the monitoring of risks and control effectiveness work together to minimise operational disruptions and their effects. In addition, managements focus on the banks ability to respond to and recover from disruptions, assuming failures will occur, will support operational resilience. An operationally resilient bank is less prone to incur untimely lapses in its operations and losses from disruptions, thus lessening incident impact on critical operations and related services, functions and systems. While it may not be possible to avoid certain operational risks, such as a pandemic, it is possible to improve the resilience of a banks operations to such events.

7. オペレーショナル・レジリエンスは、オペレーショナル・リスクの効果的なマネジメントから得られる成果である。リスクの特定とアセスメント、リスク低減 (コントロールの実施を含む) 、リスクとコントロールの有効性のモニタリングといった活動が一体となって、業務上の混乱とその影響を最小限に抑える。さらに、経営陣が、障害が発生することを前提に、銀行の混乱への対応能力、混乱からの回復能力に重点を置くことは、オペレーショナル・レジリエンスを支えることになる。オペレーショナル・レジリエンスが高い銀行は、ディスラプションによる業務の不測の失敗や損失が発生しにくいため、重要な業務や関連サービス、機能、システムに対するインシデントの影響を軽減することができる。パンデミックのような特定のオペレーショナル・リスクを回避することは不可能かもしれないが、そのような事象に対する銀行のオペレーションのレジリエンスを改善することは可能である。

8. In addition, business continuity, outsourcing of services to third parties and the technology upon which banks rely are important factors for banks to consider when strengthening their operational resilience. Previously issued guidance in these areas, whether issued solely by the Committee or jointly with other SSBs, does not adequately capture all essential elements when considered on a standalone basis, but does advance operational resilience when considered collectively.

8. さらに、事業継続、サードパーティへのサービス委託、銀行が依存するテクノロジーは、銀行がオペレーショナル・レジリエンスを強化する際に考慮すべき重要な要素である。これらの分野に関して過去に発行されたガイダンスは、当委員会のみが発行したものであれ、他のSSBsと共同で発行したものであれ、単独で検討した場合には、すべての必須要素を適切に捉えることはできないが、総合的に検討した場合には、オペレーショナル・レジリエンスを前進させるものである。

9. It is essential for banks to ensure that existing risk management frameworks, business continuity plans and third-party dependency management are implemented consistently within the organisation. Banks should consider whether their operational resilience approach is appropriately harmonised with the stated actions, organisational mappings, and definitions of critical functions and critical shared services contained in their recovery and resolution plans as specified in the Financial Stability Boards (FSBs) Recovery and Resolution Planning framework, as appropriate.

9. 銀行にとって、既存のリスク管理の枠組み、事業継続計画、サードパーティ依存管理が組織内で一貫して実施されていることを確認することが不可欠である。銀行は、自らのオペレーショナル・レジリエンス・アプローチが、金融安定理事会 (FSB) の復旧・破綻処理計画フレームワークで規定されている復旧・破綻処理計画に含まれる、明記されたアクション、組織マッピング、重要な機能及び重要な共有サービスの定義と適切に整合しているかどうかを検討すべきである。

10. The principles for operational resilience set forth in this document are largely derived and adapted from existing guidance that has been issued by the Committee or national supervisors over a number of years. The Committee recognises that many banks have well established risk management processes that are appropriate for their individual risk profile, operational structure, corporate governance and culture, and conform to the specific risk management requirements of their jurisdictions. By building upon existing guidance and current practices, the Committee is issuing a principles-based approach to operational resilience that will help to ensure proportional implementation across banks of various size, complexity and geographical location.

10. 本文書で規定されるオペレーショナル・レジリエンスの原則は、主として、当委員会または各国監督当局が数年にわたって発表してきた既存のガイダンスから派生し、適応されたものである。委員会は、多くの銀行が、個々のリスク・プロファイル、業務構造、コーポレート・ガバナンス、文化に適した、また、それぞれの法域の特定のリスク管理要件に適合した、十分に確立されたリスク管理・プロセスを有していることを認識している。委員会は、既存のガイダンスと現在の実務をベースとすることで、様々な規模、複雑さ、地域的な立地の銀行に対して、比例的な実施を確保するのに役立つオペレーショナル・レジリエンスに対する原則ベースのアプローチを発表している。

IV. Definition of operational resilience

IV. オペレーショナル・レジリエンスの定義

11. The Committee defines operational resilience as the ability of a bank to deliver critical operations through disruption. This ability enables a bank to identify and protect itself from threats and potential failures, respond and adapt to, as well as recover and learn from disruptive events in order to minimise their impact on the delivery of critical operations through disruption. In considering its operational resilience, a bank should assume that disruptions will occur, and take into account its overall risk appetite and tolerance for disruption. In the context of operational resilience, the Committee defines tolerance for disruption as the level of disruption from any type of operational risk a bank is willing to accept given a range of severe but plausible scenarios.

11. 当委員会は、オペレーショナル・レジリエンスを、銀行が混乱の中で重要な業務を遂行する能力と定義している。この能力は、銀行が脅威や潜在的な障害から自らを識別し、保護し、破壊的な事象に対応し、適応し、また、破壊的な事象から回復し、学習することにより、混乱を通じて重要な業務の提供への影響を最小化することを可能にする。オペレーショナル・レジリエンスを検討する際、銀行は混乱が起こることを想定し、その全体的なリスク選好度と混乱に対する許容度を考慮に入れるべきである。オペレーショナル・レジリエンスの文脈において、当委員会は、混乱に対する許容度を、厳しいがもっともらしいシナリオの範囲内で、銀行があらゆる種類のオペレーショナル・リスクによる混乱を許容できるレベルと定義している。

12. The term critical operations is based on the Joint Forums 2006 high-level principles for business continuity. It encompasses critical functions as defined by the FSB and is expanded to include activities, processes, services and their relevant supporting assets the disruption of which would be material to the continued operation of the bank or its role in the financial system. Whether a particular operation is critical depends on the nature of the bank and its role in the financial system. Banks tolerance for disruption should be applied at the critical operations level.

12. 重要業務という用語は、合同フォーラムが2006年に発表した「事業継続のためのハイレベル原則」に基づいている。この用語は、FSBによって定義された重要な機能を包含しており、銀行の継続的な運営や金融システムにおけるその役割にとってその中断が重大となるような活動、プロセス、サービス、およびそれらに関連する支援資産を含むように拡張されている。特定の業務が「重要」どうかは、銀行の性質と金融システムにおけるその役割による。銀行の混乱に対する許容度は、重要業務レベルで適用されるべきである。

13. The term respective functions used in this document explicitly refers to the appropriate function(s) within the banks three lines of defence, as described in the PSMOR. These consist of (i) business unit management; (ii) an independent operational risk management function; and (iii) independent assurance. Depending on a banks nature, such as its size, complexity and risk profile, how these three lines of defence are implemented may vary.

13. 本文書で使用される各機能という用語は、PSMORに記載されているように、銀行の3つの防衛ラインの中の適切な機能を明示的に指している。これらの機能は、 (i) ビジネスユニット・マネジメント、 (ii) 独立したオペレーショナル・リスク管理機能、 (iii) 独立した保証機能から構成される。銀行の規模、複雑性、リスクプロファイルなど、銀行の性質によって、これら3つの防衛ラインがどのように実施されるかは異なる可能性がある。

V. Operational resilience principles

V. オペレーショナル・レジリエンスの原則

14. This section presents the Committees principles for operational resilience which are organised across the following seven categories: governance; operational risk management; business continuity planning and testing; mapping of interconnections and interdependencies of critical operations; thirdparty dependency management; incident management; and resilient information and communication technology (ICT), including cyber security. The principles are to be applied on a consolidated basis to banks consistent with the scope of the Basel Framework.

14. このセクションは、オペレーショナル・レジリエンスに関する当委員会の原則を示すものであり、ガバナンス、オペレーショナル・リスク管理、事業継続計画とテスト、重要業務の相互接続と相互依存のマッピング、サードパーティ依存マネジメント、インシデント・マネジメント、サイバー・セキュリティを含むレジリエントな情報コミュニケーション技術 (ICT) 7つのカテゴリーに整理されている。原則は、バーゼル・フレームワークの適用範囲に合致する銀行に対して、連結ベースで適用される。

15. These categories are based on the Committees updated PSMOR, and previously issued principlebased guidance on corporate governance, business continuity, outsourcing and other relevant risk management frameworks. The practices described below, some of which reflect previously issued guidance, should not be viewed in isolation, but rather as integral parts of a banks forward-looking operational resilience approach in line with its operational risk appetite and tolerance for disruption.

15. これらのカテゴリーは、委員会が更新したPSMOR、およびコーポレートガバナンス、事業継続、アウトソーシング、その他関連するリスク管理のフレームワークに関する、以前に公表された原則に基づくガイダンスに基づいている。以下に説明するプラクティスは、一部は以前に公表されたガイダンスを反映したものであるが、単独で捉えるべきものではなく、むしろ、銀行のオペレーショナル・リスク選好度と混乱に対する許容度に沿った、銀行の将来を見据えたオペレーショナル・レジリエンス・アプローチの不可欠な部分として捉えるべきである。

Governance

ガバナンス

Principle 1: Banks should utilise their existing governance structure to establish, oversee and implement an effective operational resilience approach that enables them to respond and adapt to, as well as recover and learn from, disruptive events in order to minimise their impact on delivering critical operations through disruption.

原則1:銀行は、既存のガバナンス構造を活用して、混乱による重要業務への影響を最小化するために、混乱的な事象への対応と適応、ならびに混乱的な事象からの回復と学習を可能にする効果的なオペレーショナル・レジリエンス・アプローチを確立し、監督し、実施すべきである。

16. The board of directors should review and approve the banks operational resilience approach considering the banks risk appetite and tolerance for disruption to its critical operations. In formulating the banks tolerance for disruption, the board of directors should consider the banks operational capabilities given a broad range of severe but plausible scenarios that would affect its critical operations. The board of directors should ensure that the banks policies effectively address instances where the banks capabilities are insufficient to meet its stated tolerance for disruption.

16. 取締役会は、銀行のリスク選好度と重要業務の中断に対する許容度を考慮して、銀行のオペレーショナル・レジリエンス・アプローチをレビューし、承認すべきである。障害に対する銀行の許容範囲を策定する際、取締役会は、銀行の重要な業務に影響を及ぼすような、深刻ではあるが、もっともらしいシナリオを幅広く想定し、銀行の業務能力を検討すべきである。取締役会は、銀行の能力が、規定された障害許容度を満たすには不十分である場合に、銀行の方針が効果的に対処するようにすべきである。

17. Under the oversight of the board of directors, senior management should implement the banks operational resilience approach and ensure that financial, technical and other resources are appropriately allocated in order to support the banks overall operational resilience approach.

17. 取締役会の監督の下、シニア・マネジメントは、銀行のオペレーショナル・レジリエンス・アプローチを実施し、銀行のオペレーショナル・レジリエンス・アプローチ全体を支援するために、財務的、技術的、その他のリソースが適切に配分されるようにすべきである。

18. Senior management should provide timely reports on the ongoing operational resilience of the banks business units in support of the boards oversight, particularly when significant deficiencies could affect the delivery of the banks critical operations.

18. シニア・マネジメントは、取締役会の監督を支援するため、特に重大な欠陥が銀行の重要な業務の遂行に影響を及ぼす可能性がある場合には、銀行の事業部門の継続的なオペレーショナル・レジリエンスに関する報告を適時に行うべきである。

19. The board of directors should take an active role in establishing a broad understanding of the banks operational resilience approach, through clear communication of its objectives to all relevant parties, including bank personnel, third parties and intragroup entities.

19. 取締役会は、当行のオペレーショナル・レジリエンス・アプローチの目的を、行員、サードパーティ、グループ内事業体を含むすべての関係者に明確にコミュニケーションすることにより、当行のオペレーショナル・レジリエンス・アプローチに対する幅広い理解を確立する上で、積極的な役割を果たすべきである。

Operational risk management

オペレーショナル・リスク管理

Principle 2: Banks should leverage their respective functions for the management of operational risk to identify external and internal threats and potential failures in people, processes and systems on an ongoing basis, promptly assess the vulnerabilities of critical operations and manage the resulting risks in accordance with their operational resilience approach.

原則2:銀行は、オペレーショナル・リスク管理のためのそれぞれの機能を活用し、外部および内部の脅威や、人、プロセス、システムにおける潜在的な不具合を継続的に特定し、重要な業務の脆弱性を迅速に評価し、その結果生じるリスクをオペレーショナル・レジリエンス・アプローチに従って管理すべきである。

20. The banks operational risk management function should work alongside other relevant functions to manage and address any risks that threaten the delivery of critical operations. Banks should coordinate their business continuity planning, third-party dependency management, recovery and resolution planning and other relevant risk management frameworks to strengthen operational resilience across the bank.

20. 銀行のオペレーショナル・リスク管理機能は、他の関連機能と連携して、重要な業務の遂行を脅かすあらゆるリスクを管理し、対処すべきである。銀行は、銀行全体のオペレーショナル・レジリエンスを強化するために、事業継続計画、サードパーティ依存管理、復旧・破綻処理計画、その他関連するリスク管理の枠組みを調整すべきである。

21. Banks should have sufficient controls and procedures to identify and assess threats and vulnerabilities, and more generally their operational risk, in a timely manner and, to the extent possible, prevent them from affecting critical operations delivery. The respective functions should regularly assess the effectiveness of the implemented controls and procedures. These assessments should also be conducted in the event of changes to any underlying components of the critical operations, as well as after incidents in order to take into account lessons learned and new threats and vulnerabilities that caused the incident.

21. 銀行は、脅威や脆弱性、より全般的にはオペレーショナル・リスクを適時に特定・評価し、可能な限り、それらが重要な業務の遂行に影響を及ぼすことを防止するために、十分なコントロールと手続を有すべきである。各機能は、導入されたコントロールおよび手続の有効性を定期的に評価すべきである。また、これらの評価は、重要業務の根本的な構成要素に変更があった場合にも、インシデントの発生後にも、インシデントの原因となった教訓や新たな脅威・脆弱性を考慮するために実施されるべきである。

22. Banks should leverage change management capabilities in accordance with the change management processes under the overall management of operational risk as a way to assess potential effects on the delivery of critical operations and on their interconnections and interdependencies.

22. 銀行は、オペレーショナル・リスク管理全般のもとでの変更管理プロセスに従って、重要業務の提供や相互接続・相互依存関係への潜在的な影響を評価する方法として、変更管理能力を活用すべきである。

Business continuity planning and testing

事業継続計画とテスト

Principle 3: Banks should have business continuity plans in place and conduct business continuity exercises under a range of severe but plausible scenarios in order to test their ability to deliver critical operations through disruption.

原則3:銀行は事業継続計画を策定すべきであり、業務が中断しても重要な業務を遂行できる能力をテストするために、様々な厳しいがもっともらしいシナリオの下で事業継続演習を実施すべきである。

23. An effective business continuity plan should be forward-looking when assessing the impact of potential disruptions. Business continuity exercises should be conducted and validated for a range of severe but plausible scenarios that incorporate disruptive events and incidents.

23. 効果的な事業継続計画は、潜在的な混乱の影響を評価する際、将来を見据えたものであるべきである。事業継続演習は、破壊的なイベントやインシデントを組み込んだ、厳しいがもっともらしいシナリオの範囲で実施され、検証されるべきである。

24. An effective business continuity plan should identify critical operations, and key internal and external dependencies to assess the risks and potential impact of various disruption scenarios on critical operations. These plans should incorporate business impact analyses and recovery strategies as well as testing programmes, training and awareness programmes, and communication and crisis management programmes.

24. 効果的な事業継続計画は、様々な混乱シナリオが重要な業務に及ぼすリスクと潜在的な影響を評価するために、重要な業務、主要な内部および外部依存関係を特定すべきである。これらの計画には、事業影響分析および復旧戦略のほか、テストプログラム、意識向上およびトレーニングプログラム、コミュニケーションおよび危機管理プログラムを組み込むべきである。

25. Business continuity plans should develop, implement and maintain a regular business continuity exercise encompassing critical operations and their interconnections and interdependencies, including those through relationships with, but not limited to, third parties and intragroup entities. Among other business continuity goals, business continuity exercises should support staffs operational resilience awareness including training of staff, so that they can effectively adapt and respond to incidents.

25. 事業継続計画は、重要な業務と、サードパーティやグループ内事業体との関係 (ただし、これらに限定されない) を通じたものを含む、それらの相互関連性や相互依存性を包含する、定期的な事業継続演習を策定、実施、維持すべきである。他の事業継続目標の中でも、事業継続演習は、インシデントに効果的に適応し対応できるよう、スタッフのトレーニングを含め、スタッフのオペレーショナル・レジリエンス意識をサポートすべきである。

26. Business continuity plans should provide detailed guidance for implementing the banks disaster recovery framework. These plans should establish the roles and responsibilities for managing operational disruptions and provide clear guidance regarding the succession of authority in the event of a disruption that impacts key personnel. Additionally, these plans should clearly set out the internal decision-making process and define the triggers for invoking the banks business continuity plan.

26. 事業継続計画は、銀行の災害復旧枠組みを実施するための詳細な指針を提供すべきである。これらの計画は、業務の中断を管理するための役割と責任を定め、主要な人員に影響を与える中断が発生した場合の権限の継承に関する明確なガイダンスを提供すべきである。さらに、これらの計画は、内部の意思決定プロセスを明確に定め、銀行の事業継続計画を発動するトリガーを定義すべきである。

27. Banks business continuity plans for the delivery of critical operations and critical third-party services contained in their recovery and resolution plans should be consistent with their operational resilience approaches.

27. 銀行の復旧・破綻処理計画に含まれる、重要な業務や重要なサードパーティ・サービスの提供に関する銀行の事業継続計画は、そのオペレーショナル・レジリエンス・アプローチと整合的であるべきである。

Mapping interconnections and interdependencies

相互接続と相互依存のマッピング

Principle 4: Once a bank has identified its critical operations, the bank should map the internal and external interconnections and interdependencies that are necessary for the delivery of critical operations consistent with its approach to operational resilience.

原則4:銀行が重要業務を特定した後は、銀行は、オペレーショナル・レジリエンスへのアプローチと整合するよう、重要業務の遂行に必要な内部および外部の相互接続と相互依存関係をマッピングすべきである。

28. The respective functions should map (ie identify and document) the people, technology, processes, information, facilities, and the interconnections and interdependencies among them as needed to deliver the banks critical operations, including those dependent upon, but not limited to, third parties or intragroup arrangements.

28. 各機能は、銀行の重要な業務を遂行するために必要な人、技術、プロセス、情報、設備、及び、サードパーティやグループ内の取り決めに依存するものを含むが、これらに限定されない、それらの相互連携と相互依存関係をマッピング (すなわち、識別し、文書化) すべきである。

29. Banks may leverage their recovery and resolution plans, as appropriate, for definitions of critical operations and should consider whether their operational resilience approaches are appropriately harmonised with the organisational mappings of critical operations and critical third-party services contained in their recovery and resolution plans.

29. 銀行は、重要業務の定義について、適宜、復旧・破綻処理計画を活用することができ、自己のオペレーショナル・レジリエンス・アプローチが、復旧・破綻処理計画に含まれる重要業務及び重要なサードパーティ・サービスの組織的マッピングと適切に調和しているかどうかを検討すべきである。

30. The approach and level of granularity of mapping should be sufficient for banks to identify vulnerabilities and to support testing of their ability to deliver critical operations through disruption, as described in Principle 3, considering the banks risk appetite and tolerance for disruption.

30. マッピングのアプローチと粒度は、銀行のリスク選好度と混乱に対する許容度を考慮した上で、原則3に記載されているように、銀行が脆弱性を特定し、混乱を通じて重要業務を提供する能力のテストを支援するのに十分なものでなければならない。

Third-party dependency management

サードパーティ依存の管理

Principle 5: Banks should manage their dependencies on relationships, including those of, but not limited to, third parties or intragroup entities, for the delivery of critical operations.

原則5:銀行は、重要な業務を提供するための、サードパーティやグループ内事業体を含む (ただしこれらに限定されない) 関係への依存を管理すべきである。

31. Banks should perform a risk assessment and due diligence before entering into arrangements including those of, but not limited to, third parties or intragroup entities, consistent with the banks operational risk management framework, outsourcing/third-party risk management policy and operational resilience approach. Prior to the bank entering into such an arrangement, the bank should verify whether the third party, including, if relevant, the intragroup entity to these arrangements, has at least equivalent level of operational resilience to safeguard the banks critical operations in both normal circumstances and in the event of disruption.

31. 銀行は、サードパーティまたはグループ内事業体を含む (ただしこれらに限定されない) 取引を締結する前に、リスクアセスメントとデューディリジェンスを、銀行のオペレーショナル・リスク管理の枠組み、アウトソーシング/サードパーティリスク管理方針、オペレーショナル・レジリエンスのアプローチと整合的に実施すべきである。銀行がこのような取決めを締結する前に、銀行は、これらの取決めに関連する場合、グループ内事業体を含むサードパーティが、平常時と混乱時の両方において、銀行の重要な業務を保護するために、少なくとも同等レベルのオペレーショナル・レジリエンスを有しているかどうかを検証すべきである。

32. Banks should develop appropriate business continuity and contingency planning procedures and exit strategies to maintain their operational resilience in the event of a failure or disruption at a third party impacting the provision of critical operations. Scenarios under the banks business continuity plans should assess the substitutability of third parties that provide services to the banks critical operations, and other viable alternatives that may facilitate operational resilience in the event of an outage at a third party, such as bringing the service back in-house.

32. 銀行は、重要な業務の提供に影響を与えるサードパーティでの障害や混乱が発生した場合に、業務のレジリエンスを維持するために、適切な事業継続とコンティンジェンシープランニングの手順と出口戦略を策定すべきである。銀行の事業継続計画に基づくシナリオは、銀行の重要な業務にサービスを提供するサードパーティの代替可能性、およびサードパーティで障害が発生した場合に、サービスを社内に戻すなど、業務のレジリエンスを促進するその他の実行可能な代替案を評価すべきである。

Incident management

インシデント管理

Principle 6: Banks should develop and implement response and recovery plans to manage incidents that could disrupt the delivery of critical operations in line with the banks risk appetite and tolerance for disruption. Banks should continuously improve their incident response and recovery plans by incorporating the lessons learned from previous incidents.

原則6:銀行は、重要な業務の提供に支障をきたす可能性のあるインシデントを管理するための対応・復旧計画を、銀行のリスク選好度および支障許容度に沿って策定し、実施すべきである。銀行は、過去のインシデントから学んだ教訓を取り入れることにより、インシデント対応・復旧計画を継続的に改善すべきである。

33. Banks should maintain an inventory of incident response and recovery, internal and third-party resources to support the banks response and recovery capabilities.

33. 銀行は、銀行のインシデント対応及び復旧能力を支援するために、インシデント対応及び復旧、内部及びサードパーティ・リソースのインベントリーを維持すべきである。

34. The scope of incident management should capture the life cycle of an incident, typically including, but not limited to:

34. インシデント管理の範囲は、インシデントのライフサイクルを捉えるべきであり、一般的には以下を含むが、これに限定されない:

a) the classification of an incidents severity based on predefined criteria (eg expected time to return to business as usual), enabling proper prioritisation of and assignment of resources to respond to an incident.

a) インシデントに対応するためのリソースの適切な優先順位付けと割り当てを可能にする、事前に定義された基準 (例:通常業務に復帰するまでの予想時間) に基づくインシデントの重大性の分類。

b) The incident response and recovery procedures, including their connection to the banks business continuity, disaster recovery and other associated management plans and procedures.

b) インシデント対応および復旧手順 (銀行の事業継続、災害復旧、その他の関連管理計画および手順との関連を含む)

c) The implementation of communication plans to report incidents to both internal and external stakeholders (eg regulatory authorities), including performance metrics during, and analysis of lessons learned after an incident.

c) インシデント発生時のパフォーマンス指標、およびインシデント発生後に得られた教訓の分析を含む、内部および外部の利害関係者 (規制当局など) にインシデントを報告するためのコミュニケーション計画の実施。

35. Incident response and recovery procedures should be periodically reviewed, tested and updated. Banks should identify and address the root causes of incidents to prevent or minimise serial recurrence.

35. インシデント対応および復旧手順は、定期的に見直し、テストし、更新すべきである。銀行は、インシデントの根本原因を特定し、それに対処して、連続的な再発を防止または最小化すべきである。

36. Lessons learned from previous incidents including incidents experienced by others, should be duly reflected when updating the incident management programme. A banks incident management programme should manage all incidents impacting the bank, including those attributable to dependencies on, but not limited to, third parties and intragroup entities.

36. 他者が経験したインシデントも含め、過去のインシデントから学んだ教訓は、インシデント管理プログラムの更新時に正当に反映されるべきである。銀行のインシデント管理プログラムは、サードパーティやグループ内事業体への依存に起因するものを含め、銀行に影響を与えるすべてのインシデントを管理すべきである。

ICT including cyber security

サイバーセキュリティを含むICT

Principle 7: Banks should ensure resilient ICT including cyber security that is subject to protection, detection, response and recovery programmes that are regularly tested, incorporate appropriate situational awareness and convey relevant timely information for risk management and decision-making processes to fully support and facilitate the delivery of the banks critical operations.

原則7:銀行は、定期的にテストされ、適切な状況認識を組み入れ、リスク管理と意思決定プロセスのために関連するタイムリーな情報を伝達する保護、検知、対応、復旧プログラムの対象となる、サイバーセキュリティを含むレジリエンシーICTを確保し、銀行の重要な業務の遂行を完全にサポートし、促進すべきである。

37. Banks should have a documented ICT policy, including cyber security, which stipulates governance and oversight requirements, risk ownership and accountability, ICT security measures (eg access controls, critical information asset protection, identity management), periodic evaluation and monitoring of cyber security controls, and incident response, as well as business continuity and disaster recovery plans.

37. 銀行は、ガバナンス及び監督要件、リスクの所有権及び説明責任、ICTセキュリティ対策 (アクセス管理、重要情報資産保護、ID管理など) 、サイバーセキュリティ対策の定期的な評価及びモニタリング、インシデント対応、並びに事業継続及び災害復旧計画を規定した、サイバーセキュリティを含む文書化されたICT方針を持つべきである。

38. Banks should identify their critical information assets and the infrastructure upon which they depend. Banks should also prioritise their cyber security efforts based on their ICT risk assessment and on the significance of the critical information assets to the banks critical operations, while observing all pertinent legal and regulatory requirements relating to data protection and confidentiality. Banks should develop plans and implement controls to maintain the integrity of critical information in the event of a cyber event, such as secure storage and offline backup on immutable media of data supporting critical operations. Banks should regularly evaluate the threat profile of their critical information assets, test for vulnerabilities and ensure their resilience to ICT-related risks.

38. 銀行は、重要な情報資産とそれらが依存するインフラを識別すべきである。銀行はまた、ICTリスクアセスメントに基づき、また、データ保護と機密保持に関連するすべての適切な法的・規制的要件を遵守しつつ、銀行の重要な業務における重要な情報資産の重要性に基づいて、サイバーセキュリティの取り組みの優先順位を決定すべきである。銀行は、重要業務をサポートするデータの安全な保管や不変メディアへのオフライン・バックアップなど、サイバー事象が発生した場合に重要情報の完全性を維持するための計画を策定し、管理者を配置すべきである。銀行は、重要情報資産の脅威プロファイルを定期的に評価し、脆弱性をテストし、ICT関連リスクに対するレジリエンスを確保すべきである。