平台營運者應實施充分的系統及監控措施,涵蓋範疇包括下列各項:
- 管治
平台營運者應設立有效的管治框架,以訂立其運作上的抵禦能力目標,制訂、實施和監察一些安排及措施以持續識別可能對其業務健全、具效率和有效的運作造成影響的干擾事故,並應對和適應干擾事故。其中包括:
- 平台營運者的高級管理層應對訂立運作上的抵禦能力目標,及制訂和執行必要的安排及措施承擔全部責任。
- 指定員工應監察平台營運者業務單位在運作上的持續抵禦能力,以支援高級管理層的監督工作。
- 高級管理層應獲提供充分的資料,讓他們可持續地和及時地評估可能影響平台營運者在運作上的抵禦能力的事宜,並考慮和批准對平台營運者在運作上的抵禦能力方面的工作,進行任何必要的調整。
- 運作風險管理
平台營運者應訂立有效的運作風險管理框架,以評估干擾對運作(包括人員、流程和系統)及合規事宜的潛在影響,及按照其運作上的抵禦能力目標來管理所產生的風險。
平台營運者應制定並維持有效的政策及程序,以確保其所承受的運作風險獲得適當的管理。平台營運者亦應每隔適當時間進行全面的檢討,以確保其因運作干擾而造成損失的風險維持在可接受的及適當的水平。
- 資訊與通訊科技,包括網絡保安
平台營運者應確保其資訊與通訊科技系統具抵禦能力,以便在出現干擾事故時維持健全、具效率和有效的業務運作,並應確保這些系統都是在安全及有充分監控的環境下運作。
為了確保其資訊與通訊科技系統安全運作,平台營運者亦應制訂各項政策和程序,以保護由其所管有的機密數據和資料,並且持續地管理網絡保安風險。
- 依賴第三方的風險管理
平台營運者應識別其為維持其業務健全、具效率和有效的運作而須依賴的主要第三方(包括集團內的實體),評核第三方服務供應商的抵禦能力,以及按照其在運作上的抵禦能力目標,管理依賴第三方所產生的風險。
平台營運者應採取適當步驟去識別、規限及管理依賴第三方的風險 。平台營運者亦應每隔適當時間及每當更換主要服務供應商時進行檢討,以確保平台營運者因依賴第三方而蒙受損失(不論是財務或其他損失)的風險,得以維持在可接受及適當的水平。
- 業務延續計劃及事故管理
平台營運者應設有有效的業務延續計劃,以應對及適應干擾事故並從中恢復過來,以及應至少每年檢討有關計劃,以評估是否有需要因應平台營運者在運作、架構或業務方面的任何重大改變而作出修訂。它們亦應採納有效的事故管理流程,以識別、評估及糾正干擾事故並從中汲取教訓,以及避免干擾事故重現或紓減其嚴重性。
平台營運者應訂立及維持業務延續計劃,而該計劃應:
(a) 應對所識別到的不同干擾情境,並載列啟動有關計劃的相應程序;及
(b) 至少每年及在有需要時進行檢討,並因應平台營運者在運作、架構或業務方面的改變而作出修訂。檢討結果應妥為記錄在案。
平台營運者亦應制訂一套當出現干擾事故時會被啟動的事故管理流程,涵蓋範疇包括以下事項:
(a) 制訂適用的匯報及上報程序;
(b) 釐定應對有關事故的合適行動;
(c) 透過分析有關事故來識別根本原因;
(d) 避免類似事故的出現,及在事故發生時需紓減其嚴重性;及
(e) 實施通訊計劃,藉以向內部和外部持份者匯報事故,包括向監管機構匯報影響其客戶利益及其繼續進行正常業務運作的能力的重大事故。
(主要參考:《虛擬資產交易平台指引》第11.6至11.9、11.11、12.8、12.10、12.15、12.16至12.20段)