银行业：银行网络风险压力测试(英译中)

Patrizia BaudinoFSI 简报银行网络安全风险评估测试四月 2026No. 30出版物 16.3 厘米[文档副标题] Fernando Restoy，FSI主席授权。本出版物可在BIS网站（www.bis.org）上找到。如需联系BIS全球媒体与公共关系团队，请发送邮件至media@bis.org。您可以在www.bis.org/emailalerts.htm上注册邮件警报。FSI简报由国际清算银行（BIS）金融稳定研究所（FSI）的员工撰写，有时与其他专家合作。这些是关于当前监管和监督主题的简要报告，具有技术性。本出版物中表达的观点是作者的个人观点，并不一定反映BIS、其成员中央银行或在巴塞尔设立的标准制定机构的观点。此外，本出版物中表达的观点也不代表作者雇主或公司的观点。ank for 国际结算 2026。版权所有。简短摘录可被复制或© 翻译仅供参考，如需转载，请注明出处。ISSN 2708-1117（网络版）ISBN 978-92-9259-937-9（网络版） 1 银行网络压力测试精彩片段1. 引言针对网络事件发生频率、复杂程度和潜在影响的不断上升，2 当局已采取一系列旨在测试公司应对网络风险准备的工具。理想情况下，针对网络风险的全面测试计划应由漏洞评估、基于场景的测试、渗透测试和红队测试组成（参见支付系统与基础设施委员会（CPMI）和国际证券委员会组织（IOSCO），CPMI-IOSCO（2016年））。3 在这些方法中，基于场景的测试和渗透/红队测试为识别弱点提供了一种互补的方法。渗透/红队测试模拟对实时系统进行网络攻击，以识别可利用的漏洞。4 相反，基于场景的压力测试，或更广泛地说，压力测试，假设公司的预防措施已经失败，并关注公司的网络安全事件响应及其恢复，也就是说，他们的运营弹性。监管部门对银行业的网络风险压力测试 1• 在网络安全事件频率和复杂性不断上升，潜在影响日益增大的背景下，一些当局透露，他们正在进行网络压力测试，以增强企业及行业对运营中断（如由网络攻击引起的）的抵御能力。• 这些测试通过识别漏洞、增强应对和恢复机制，以及在某些情况下识别此类中断对金融稳定性的影响，既有利于当局也有利于企业。• 根据最近的演练，出现了两种截然不同的方法，即以企业或系统为焦点的网络安全压力测试。负责的当局选择最适合反映机构设置和压力测试目标的方法非常重要，以确保整个演练的各部分保持一致性。• 持续提升并披露网络压力测试的方法论方面，有助于提高认识并建立最佳实践。1 Patrizia Baudino（patrizia.baudino@bis.org），国际结算银行。作者感谢所选当局官员和欧洲系统性风险委员会秘书处的有益讨论，感谢Rodrigo Coelho、Ting Yang Koh、Jermy Prenio、Caleb Wu和Hao Ying Yang的深刻评论，以及感谢Theodora Mapfumo提供的行政支持。2 例如，参阅Khiaonarong和Shanyuan（2026）关于网络事件崛起的讨论。3 全球标准制定者已经就网络风险概念及其应对方法提供了指导。除了2016年国际清算银行支付和基础设施委员会（CPMI）和国际证券委员会组织（IOSCO）的报告外，还可以参考巴塞尔银行监管委员会（BCBS（2018））、金融稳定委员会（FSB（2023））、国际保险监管协会（IAIS（2023a,b））、国际清算银行支付和基础设施委员会（CPMI（2025））以及CPMI-IOSCO（2022）的报告。FSB（2025a）开发了事件报告，即所谓的“事件报告交换格式”（FIRE），以提高事件报告的质量，包括网络事件报告。4 此类测试的例子，在欧洲联盟中，有基于威胁情报的道德红队测试（TIBER-EU）。该框架提供了全面指导，说明当局、实体、威胁情报提供商和红队测试人员应如何共同合作，通过实施控制性网络攻击来测试和提升实体的网络韧性（参见ECB（2025））。以类似方式，在英国，当局采用了CBEST框架（英格兰银行（2024b））。其他司法管辖区的事例，请参阅Prenio等人（2019）。 2 2. 网络银行压力测试定义网络压力测试网络压力测试的相对新颖性意味着目前进行此类测试的经验相对有限。5 此外，目前披露非常受限，无论是在出版机构的数量上还是在发布的信息范围上。这种谨慎的态度反映了保护演练范围和发现结果的机密性的需要，以避免使参与公司面临恶意攻击。借鉴这些例子，《简报》强调了当设计实施网络压力测试时，当局需要考虑的关键因素。第二章为本论文目的定义了网络压力测试。第三章介绍了当局在执行网络压力测试时可以采用的两种方法，即系统或公司重点关注。第四章至第六章展示了网络压力测试的主要组成部分，并讨论了当局需要就这些问题做出的选择。第七章得出结论。7 仅有少数其他机构发布了关于他们最近网络风险压力测试的一些披露。例如，葡萄牙央行（Banco de Portugal（2024）），以及更广泛的斯洛文尼亚（Poljšak和Bračković（2025））。这两者都基于本文讨论的欧洲央行（ECB）领导的演习，并在国内层面进行系统分析。澳大利亚储备银行（2024）报告称，开展了一次针对国家高价值支付系统的网络攻击演习。有关早期网络压力测试的参考文献，请参阅Crisanto等人（2023）。当局如何管理网络风险，由金融稳定委员会（FSB）在其最近的同行评审（FSB（2025b,c））中讨论，国际货币基金组织（IMF）在其第四条款磋商（IMF（2025b））中讨论，以及上述FSAPs。尽管如此，英格兰银行、丹麦金融监管局（DFSA）和欧洲中央银行（ECB）银行监管最近发布了他们的网络压力测试报告（英格兰银行（2025年）、DFSA（2024年）和ECB（2024年））。6 本FSI简报回顾了这三项主要练习的主要方面，这三项练习是基于它们所代表的相关较广泛的披露和方法的考虑而被选出的。由于它们共同关注银行和银行业，且时间上几乎同步，因此它们也展现出相对较高的可比性。75 国际货币基金组织（IMF）最近发布了一套关于网络风险监管和监督的优良实践指南，该指南借鉴了其金融监管和技术援助工作（Gaidosch等人，2026年）。此外，IMF还支持金融监管机构提升其应对网络风险的准备能力。这项工作是该机构与这些监管机构在金融部门评估项目（FSAPs）框架下合作开展的一部分，其中网络压力测试被纳入分析的关键领域。例如，这种方法已应用于最近的欧元区FSAP（IMF，2025a）。8 随着越来越多的文献涵盖网络压力测试的概念框架。这包括由七国集团（G7，2020年）发布的一份关于网络演习基本要素的报告，