平台营运者应实施充分的系统及监控措施,涵盖范畴包括下列各项:
- 管治
平台营运者应設立有效的管治框架,以訂立其运作上的抵御能力目標,制訂、實施和監察一些安排及措施以持續識別可能對其業務健全、具效率和有效的運作造成影響的干擾事故,並应對和適应干擾事故。其中包括:
- 平台营运者的高級管理層应對訂立运作上的抵御能力目標,及制訂和執行必要的安排及措施承擔全部責任。
- 指定員工应監察平台营运者业务单位在运作上的持续抵御能力,以支援高级管理层的监督工作。
- 高級管理層应獲提供充分的資料,讓他們可持續地和及時地評估可能影響平台营运者在运作上的抵御能力的事宜,並考慮和批准對平台营运者在运作上的抵御能力方面的工作,進行任何必要的調整。
- 运作风险管理
平台营运者应訂立有效的运作风险管理框架,以評估干擾對運作(包括人員、流程和系統)及合規事宜的潛在影響,及按照其运作上的抵御能力目標來管理所產生的風險。
平台营运者应制定並維持有效的政策及程序,以確保其所承受的運作風險獲得適當的管理。平台营运者亦应每隔適當時間進行全面的檢討,以確保其因運作干擾而造成損失的風險維持在可接受的及適當的水平。
- 資訊與通讯科技,包括網絡保安
平台营运者应確保其資訊與通讯科技系統具抵禦能力,以便在出現干擾事故時維持健全、具效率和有效的業務運作,並应確保這些系統都是在安全及有充分監控的環境下運作。
為了確保其資訊與通讯科技系統安全運作,平台营运者亦应制訂各項政策和程序,以保護由其所管有的機密數據和資料,並且持續地管理網絡保安風險。
- 依赖第叁方的风险管理
平台营运者应識別其為維持其業務健全、具效率和有效的運作而須依賴的主要第三方(包括集團內的實體),評核第三方服務供应商的抵禦能力,以及按照其在运作上的抵御能力目標,管理依賴第三方所產生的風險。
平台营运者应採取適當步驟去識別、規限及管理依賴第三方的風險 。平台营运者亦应每隔適當時間及每當更換主要服務供应商時進行檢討,以確保平台营运者因依賴第三方而蒙受損失(不論是財務或其他損失)的風險,得以維持在可接受及適當的水平。
- 业务延续计划及事故管理
平台营运者应設有有效的業務延續計劃,以应對及適应干擾事故並從中恢復過來,以及应至少每年檢討有關計劃,以評估是否有需要因应平台营运者在運作、架構或業務方面的任何重大改變而作出修訂。它們亦应採納有效的事故管理流程,以識別、評估及糾正干擾事故並從中汲取教訓,以及避免干擾事故重現或紓減其嚴重性。
平台营运者应訂立及維持業務延續計劃,而該計劃应:
(a) 应對所識別到的不同干擾情境,並載列啟動有關計劃的相应程序;及
(b) 至少每年及在有需要時進行檢討,並因应平台营运者在運作、架構或業務方面的改變而作出修訂。檢討結果应妥為記錄在案。
平台营运者亦应制訂一套當出現干擾事故時會被啟動的事故管理流程,涵盖范畴包括以下事项:
(a) 制訂適用的匯報及上報程序;
(b) 釐定应對有關事故的合適行動;
(c) 透過分析有關事故來識別根本原因;
(d) 避免類似事故的出現,及在事故發生時需紓減其嚴重性;及
(e) 實施通讯計劃,藉以向內部和外部持份者匯報事故,包括向監管機構匯報影響其客戶利益及其繼續進行正常業務運作的能力的重大事故。
(主要參考:《虚拟资产交易平台指引》第11.6至11.9、11.11、12.8、12.10、12.15、12.16至12.20段)