一、研究背景与目标
随着金融科技的迅猛发展和数字化转型的深入推进,信息科技风险已成为全球金融机构面临的
核心风险之一。金融机构作为经济运行的关键节点,其信息科技系统的安全性、稳定性和可靠
性直接关系到金融体系的整体安全与稳定。2025 年,全球金融监管机构持续加强对信息科技
风险的监管力度,不断更新监管要求以应对日益复杂的科技风险挑战(9)。
新加坡作为亚洲重要的国际金融中心,其金融管理局 (MAS) 长期以来在信息科技风险监管方
面保持领先地位,不断完善监管框架以适应金融科技的发展。同时,中国作为全球第二大经济
体,其金融科技发展迅速,金融监管机构也在积极构建适应中国国情的信息科技风险监管体
系。
本研究报告聚焦于新加坡与中国金融机构信息科技风险监管要求的对比分析,旨在为银行机构
提供全面且有针对性的参考依据,助力其在信息科技风险评估和战略规划中制定合理策略,有
效应对信息科技风险挑战。具体研究目标包括:
- 全面梳理新加坡金融管理局 (MAS) 针对银行机构的最新信息科技风险监管要求
- 系统整理中国金融监管机构 (央行、国家金融监管总局) 的信息科技风险监管框架
- 对比分析新加坡与中国在信息科技风险监管重点、具体措施等方面的异同
- 为银行机构提供信息科技风险评估与战略规划的参考建议
二、新加坡金融机构信息科技风险监管框架
与要求
2.1****新加坡金融监管体系概述
新加坡金融管理局 (MAS) 作为新加坡的中央银行和金融监管机构,负责制定金融政策、发行
货币、管理官方外汇储备,并对金融机构实施全面监管,以维护金融体系的稳定。MAS 采用
"智慧监管"(Smart Regulation) 理念,在保持严格监管标准的同时,鼓励金融创新,为金融科
技发展创造有利环境(31)。
MAS 对金融机构的监管遵循 "风险为本" 的原则,根据金融机构的规模、业务复杂性和风险状
况实施差异化监管(12)。在信息科技风险监管方面,MAS 建立了多层次、全方位的监管框
架,涵盖技术风险管理、网络安全、数据保护、外包风险管理等多个领域(12)。
2.2****新加坡信息科技风险监管核心框架新加坡金融机构信息科技风险监管的核心框架是 MAS 发布的《技术风险管理 (TRM) 指
南》。该指南于 2021 年 1 月全面修订发布,为金融机构提供了一个全面的技术风险和网络安
全管理框架(13)。
TRM 指南的核心要求包括: - 技术风险管理治理:要求金融机构建立健全的技术风险治理架构,明确董事会、高级管理
层和相关部门在技术风险管理中的职责,确保技术风险管理与业务战略的一致性(14)。 - 防御深度策略:强调采用多层次的安全控制措施,从网络边界防御、系统安全配置到数据
保护和监控,形成完整的防御体系(14)。 - 风险识别与评估:要求金融机构定期进行技术风险评估,识别潜在风险并评估其影响和发
生概率,为风险处置提供依据(9)。 - 安全控制实施:包括网络安全、应用安全、数据安全、物理安全等方面的具体控制措施,
确保关键信息资产得到有效保护(24)。 - 业务连续性管理:要求金融机构制定全面的业务连续性计划,确保在信息科技系统中断时
能够快速恢复关键业务功能(13)。 - 监控与应急响应:建立持续的监控机制和有效的应急响应流程,及时发现并处置安全事件
(24)。
此外,MAS 还发布了《网络安全通告》,规定了金融机构必须实施的基本网络安全措施,包
括网络边界防御、恶意软件防护、多因素认证、及时补丁更新等(12)。
2.3新加坡最新信息科技风险监管动态(2024-2025)
2024-2025 年期间,MAS 持续更新和强化信息科技风险监管要求,主要体现在以下几个方
面: - 网络安全与技术韧性专家组**(CTREX)**的成立:2024 年 8 月,MAS 成立网络安全与技术韧
性专家组 (CTREX),以应对新兴网络与技术风险。该小组于 2025 年 4 月举行首次会议,
围绕技术韧性、第三方风险、量子安全及数字金融诈骗等关键议题展开深度研讨(18)。 - 技术韧性要求的提升:2025 年 4 月,CTREX 专家组提出了四大核心建议,包括以服务韧
性重构运营安全逻辑、构建 IT 供应链风险防控矩阵、启动量子安全过渡计划以及打造智能
反诈生态系统(18)。这些建议反映了 MAS 对技术韧性的最新要求,强调端到端的服务视角
和非预设场景的灾难恢复演练。 - 第三方风险管理的强化:MAS 在 2025 年多次强调金融机构必须确保其第三方供应商落实
严格的网络安全措施,防止供应商成为安全链条中的薄弱环节(34)。MAS 要求金融机构定
期审查供应商的安全管控措施,确保其具备足够的客户信息保护能力(34)。4. 人工智能风险管理指引的制定:MAS 正在制定监管指引,协助金融机构管理 AI 相关风
险,包括模型风险、数据质量和第三方依赖等问题(23)。该指引将涵盖 AI 可解释性与测试
等领域,预计于 2025 年晚些时候发布征询意见稿(23)。 - 数字代币服务提供商**(DTSP)**监管框架:2025 年 5 月 30 日,MAS 发布了针对数字代币服
务提供商的 FSM-N30 技术风险管理通知,要求其确保关键 IT 系统的高可靠性、可用性和
可恢复性,并实施 IT 控制措施保护客户信息免受未经授权的访问或披露(17)。该通知将于
2025 年 6 月 30 日生效(17)。 - 探索者计划**(Pathfinder programme)**:2025 年 7 月 15 日,MAS 推出探索者计划,旨在
为处于人工智能应用早期阶段的金融机构提供支持,引导金融业负责任且广泛采用人工智
能(23)。 - 量子安全过渡计划:MAS 正在推动金融机构实施量子安全过渡计划,应对量子计算带来的
日益严重的安全威胁,敦促金融机构即刻开展全系统密码学解决方案清点,优先替换易受
量子攻击的加密解决方案(18)。
这些最新动态表明,MAS 的信息科技风险监管正朝着更加全面、深入和前瞻性的方向发展,
不断适应新兴技术带来的风险挑战。
2.4****新加坡金融机构信息科技风险监管特点
新加坡金融机构信息科技风险监管体系具有以下几个显著特点: - 风险为本的监管理念:MAS 采用风险为本的监管理念,根据金融机构的规模、业务复杂性
和风险状况实施差异化监管,确保监管资源的有效配置(12)。 - 强调端到端的风险管理:MAS 的监管要求不仅关注技术层面的风险控制,还强调从业务视
角出发,评估系统中断对客户服务的影响,构建端到端的风险管理体系(18)。 - 重视第三方风险管理:MAS 认识到第三方服务提供商是金融机构信息科技风险的重要来
源,因此对第三方风险管理提出了严格要求,包括供应商的安全评估、合同条款的明确规
定以及持续的监控和评估(34)。 - 前瞻性的风险识别与应对:MAS 通过成立专门的专家组 (如 CTREX) 和发布前瞻性指引,
帮助金融机构识别和应对新兴技术风险,如量子计算、人工智能和数字金融诈骗等(18)。 - 强调公私合作与行业协作:MAS 积极推动金融机构与政府部门、科技公司和研究机构的合
作,共同应对信息科技风险挑战。例如,MAS 与万事达卡合作加强金融领域的网络安全,
通过双边共享网络威胁情报提高整个行业的网络安全敏感度。 - 注重能力建设与人才培养:MAS 通过设立网络安全能力基金等方式,鼓励国际金融机构在
新加坡设立网络安全职能部门,提升新加坡的网络安全能力(12)。同时,MAS 还与行业协
会合作,组织网络安全研讨会和演练,提高行业整体的风险意识和应对能力(12)。
三、中国金融机构信息科技风险监管框架与要求3.1中国金融监管体系概述
中国的金融监管体系主要由中国人民银行、国家金融监督管理总局和中国证券监督管理委员会
组成。在信息科技风险监管方面,各监管机构分工协作,共同构建了适应中国国情的信息科技
风险监管体系。
中国人民银行作为中央银行,负责制定和执行货币政策,防范和化解系统性金融风险,维护金
融稳定。在信息科技风险监管方面,中国人民银行主要负责制定金融科技发展规划和相关监管
政策,推动金融科技规范健康发展(37)。
国家金融监督管理总局 (原银保监会) 负责对银行业和保险业实施统一监管,维护银行业和保
险业合法、稳健运行。国家金融监督管理总局在信息科技风险监管方面发布了一系列监管办法
和指引,包括《银行保险机构信息科技外包风险监管办法》、《银行保险机构数据安全管理办
法》等(45)。
中国证券监督管理委员会负责对证券市场、期货市场和基金市场实施监管,推动资本市场健康
发展。在信息科技风险监管方面,证监会也发布了相关的监管要求和指引。
3.2****中国信息科技风险监管核心框架
中国金融机构信息科技风险监管的核心框架主要由以下几部分组成: - 《银行业金融机构信息科技风险管理指引》:该指引由原银监会于 2009 年发布,2016 年
进行了修订,是中国银行业信息科技风险管理的基础性文件。指引明确了信息科技治理、
风险管理、内部控制、应急管理等方面的要求,为银行机构建立信息科技风险管理体系提
供了指导(48)。 - 《银行业金融机构信息系统风险管理指引》:该指引由原银监会于 2006 年发布,2012 年
进行了修订,主要针对银行业金融机构的信息系统风险管理提出要求,包括风险识别、评
估、控制和监控等方面(48)。 - 《商业银行信息科技风险管理指引》:该指引由原银监会于 2009 年发布,是对《银行业
金融机构信息科技风险管理指引》的细化和补充,为商业银行提供了更具体的信息科技风
险管理指导(48)。 - 《银行保险机构信息科技外包风险监管办法》:2021 年 12 月 30 日,原银保监会发布了
《银行保险机构信息科技外包风险监管办法》,对银行保险机构的信息科技外包活动进行
规范,加强信息科技外包风险管控(45)。该办法明确了信息科技外包的定义、基本原则、
治理架构、风险管理要求等,为金融机构的外包风险管理提供了指导。 - 《银行保险机构数据安全管理办法》:2024 年 3 月 18 日,国家金融监督管理总局发布了
《银行保险机构数据安全管理办法》,旨在规范银行业保险业数据处理活动,保障数据安
全、金融安全,促进数据合理开发利用,维护社会公共利益和金融消费者合法权益(50)。
该办法将数据安全风险纳入全面风险管理体系,明确了数据安全风险监测、风险评估、应
急响应及报告、事件处置的组织架构和管理流程(50)。 - 《金融科技发展规划**(2022-2025年)****》**:2022 年 1 月 4 日,中国人民银行发布了《金融
科技发展规划 (2022-2025 年)》,提出了 "十四五" 时期金融科技发展的指导思想、基本原
则、发展目标、重点任务和保障措施(39)。该规划强调加快监管科技的全方位应用,强化
数字化监管能力建设,对金融科技创新实施穿透式监管,筑牢金融与科技的风险防火墙
(39)。 - 《中国人民银行业务领域数据安全管理办法》和《中国人民银行业务领域网络安全事件报
告管理办法》:2025 年 5 月,中国人民银行相继出台了这两项办法,构建起覆盖数据全生
命周期和网络安全事件应急处理的全方位监管框架(38)。《数据安全管理办法》构建了覆
盖数据采集、存储、传输、共享到销毁的全生命周期管理体系,要求金融机构从单点防护
转向系统治理(38)。《网络安全事件报告管理办法》则对网络安全事件的分级标准、报告
流程和法律责任等作出了详细规定(38)。
3.3中国最新信息科技风险监管动态(2024-2025)
2024-2025 年期间,中国金融监管机构持续加强对信息科技风险的监管力度,主要体现在以
下几个方面: - 《银行保险机构信息科技外包风险监管办法》的实施:2025 年 8 月 28 日,国家金融监督
管理总局发布了《银行保险机构信息科技外包风险监管办法》,进一步加强银行保险机构
信息科技外包风险监管,促进银行保险机构提升信息科技外包风险管控能力,推动银行保
险机构稳健开展数字化转型工作(44)。该办法已于发布之日起实施(44)。 - 《金融科技发展规划**(2025-2027年)****》的制定**:2025 年,中国人民银行正在制定《金融科
技发展规划 (2025-2027 年)》,强调 "科技 + 监管" 双轮驱动,要求金融机构运用大数据、
人工智能等技术提升风险识别、预警和处置能力,推动监管科技 (RegTech) 与合规科技
(ComTech) 深度融合(37)。 - 《影子银行风险专项整治方案》的发布:2025 年,中国人民银行发布了《影子银行风险专
项整治方案》,要求 "对交叉性金融业务实行穿透式登记",加强对影子银行风险的监管
(37)。 - 《监管科技规范指引》的出台:2025 年,中国人民银行发布了《监管科技规范指引》,要
求 "金融机构与监管系统实现数据直连",提升监管的实时性和有效性(37)。 - 人工智能应用监管要求的细化:2024 年 3 月 18 日,国家金融监督管理总局发布的《银行
保险机构数据安全管理办法》中,对人工智能应用提出了具体要求,包括就数据对决策结
果影响进行解释说明和信息披露,实时监测自动化处理与系统运行结果,建立人工智能应
用的风险缓释措施等(46)。 - 数据安全与网络安全监管的强化:2025 年 5 月,中国人民银行发布的《中国人民银行业务
领域数据安全管理办法》和《中国人民银行业务领域网络安全事件报告管理办法》,标志
着中国在数据安全和网络安全监管方面的进一步强化(38)。7. 监管数据报送效率的提升:2025 年一季度,六大国有银行全部实现监管数据 "T+1" 报送,
差错率从 0.5% 降至 0.1%,大幅提升监管合规效率(37)。
这些最新动态表明,中国的信息科技风险监管正在向更加全面、深入和科技驱动的方向发展,
不断适应金融科技发展带来的新挑战。
3.4****中国金融机构信息科技风险监管特点
中国金融机构信息科技风险监管体系具有以下几个显著特点: - 集中统一的监管架构:中国实行集中统一的金融监管架构,国家金融监督管理总局负责对
银行业和保险业实施统一监管,中国人民银行负责宏观审慎管理和金融市场整体稳定,这
种架构有助于确保监管政策的一致性和协调性(45)。 - 全面覆盖的监管要求:中国的信息科技风险监管要求覆盖了从信息科技治理、风险管理、
内部控制到应急管理的全流程,形成了全面覆盖的监管框架(48)。同时,监管要求也涵盖
了数据安全、网络安全、外包风险等多个方面,确保金融机构的信息科技风险得到全面管
控。 - 强调数据安全与个人信息保护:中国近年来高度重视数据安全和个人信息保护,《银行保
险机构数据安全管理办法》等文件的出台,体现了对数据安全的严格要求(50)。监管要求
金融机构将数据安全风险纳入全面风险管理体系,建立健全数据安全管理机制。 - 外包风险管理的严格规范:中国对金融机构的信息科技外包风险实施严格监管,《银行保
险机构信息科技外包风险监管办法》明确规定了外包活动的治理架构、风险管理要求和监
督管理措施,防止外包风险演变为系统性风险(45)。 - 科技驱动的监管方式:中国正在积极推动监管科技的应用,《金融科技发展规划 (2022-
2025 年)》强调加快监管科技的全方位应用,强化数字化监管能力建设(39)。2025 年制定
的《金融科技发展规划 (2025-2027 年)》进一步强调 "科技 + 监管" 双轮驱动,推动监管科
技与合规科技深度融合(37)。 - 重视金融科技创新与风险防范的平衡:中国的金融监管机构在鼓励金融科技创新的同时,
高度重视风险防范,通过沙盒监管等方式,为金融科技创新提供空间,同时确保风险可
控。 - 信息科技治理的**"三道防线"机制:中国的信息科技风险监管要求明确信息科技管理、信息
科技风险管理和信息科技风险监督的 "三道防线" 职责,以正式制度明确信息科技治理作为
重要组成部分纳入公司治理(47)。
这些特点表明,中国的信息科技风险监管正在不断完善和发展,逐步形成具有中国特色的监管
体系,既注重风险防范,又鼓励创新发展。
**四、新加坡与中国金融机构信息科技风险监管比较分析4.1**监管框架比较**
新加坡和中国的金融机构信息科技风险监管框架既有相似之处,也存在明显差异。
相似点: - 风险为本的监管理念:两国都采用风险为本的监管理念,根据金融机构的规模、业务复杂
性和风险状况实施差异化监管,确保监管资源的有效配置(12)。 - 全面覆盖的监管要求:两国的监管框架都覆盖了信息科技治理、风险管理、内部控制、应
急管理等方面,形成了全面的监管体系(13)。 - 强调技术风险管理的重要性:两国都高度重视信息科技风险对金融稳定的影响,将信息科
技风险管理作为金融机构风险管理的重要组成部分(12)。 - 重视第三方风险管理:两国都认识到第三方服务提供商是金融机构信息科技风险的重要来
源,因此都对第三方风险管理提出了明确要求(34)。
差异点: - 监管机构设置:新加坡实行单一监管机构模式,金融管理局 (MAS) 作为中央银行和金融监
管机构,负责对所有金融机构实施统一监管;而中国实行分业监管模式,国家金融监督管
理总局负责对银行业和保险业实施监管,中国人民银行负责宏观审慎管理和金融市场整体
稳定,这种差异导致两国在监管协调和政策一致性方面存在不同特点(45)。 - 监管框架结构:新加坡的监管框架相对灵活和原则导向,MAS 发布的技术风险管理指南提
供了高层次的原则和最佳实践,金融机构可以根据自身情况制定具体实施措施;而中国的
监管框架则更为具体和规则导向,监管机构发布的指引和办法通常包含详细的操作要求和
合规标准(13)。 - 监管工具和方法:新加坡更多采用 "监管沙盒" 等创新监管工具,为金融科技企业提供试验
空间,同时控制风险;而中国则更注重行政监管和合规检查,强调依法监管和全面覆盖
(31)。 - 国际合作与标准对接:新加坡作为国际金融中心,积极参与国际标准制定,其监管框架与
国际标准高度对接;而中国则更注重立足本国国情,同时逐步与国际标准接轨(12)。
4.2****监管重点比较
新加坡和中国在信息科技风险监管方面的重点既有重合之处,也存在明显差异。
共同重点: - 信息科技治理:两国都强调信息科技治理的重要性,要求金融机构建立健全的信息科技治
理架构,明确董事会、高级管理层和相关部门在信息科技风险管理中的职责(13)。 - 网络安全:两国都将网络安全作为信息科技风险监管的重点,要求金融机构实施网络安全
控制措施,防范网络攻击和数据泄露风险(12)。3. 数据安全与个人信息保护:随着数据在金融业务中的重要性日益提升,两国都加强了对数
据安全和个人信息保护的监管力度,要求金融机构建立健全数据安全管理机制(34)。 - 业务连续性管理:两国都重视业务连续性管理,要求金融机构制定全面的业务连续性计
划,确保在信息科技系统中断时能够快速恢复关键业务功能(13)。 - 外包风险管理:随着金融机构越来越多地依赖第三方服务提供商,两国都加强了对外包风
险的监管,要求金融机构建立健全外包风险管理制度,有效管控外包风险(34)。
差异点: - 技术创新与风险防范的平衡:新加坡更注重在鼓励创新和防范风险之间寻求平衡,通过 "监
管沙盒" 等方式为金融科技创新提供空间;而中国则更强调风险防范,在确保安全的前提下
鼓励创新(31)。 - 人工智能风险管理的侧重点:新加坡正在制定专门的人工智能风险管理指引,关注模型风
险、数据质量和第三方依赖等问题;而中国则在现有监管框架下对人工智能应用提出要
求,强调解释性、透明性和风险缓释措施(23)。 - 量子安全与新兴技术风险:新加坡已启动量子安全过渡计划,应对量子计算带来的安全威
胁,并关注数字金融诈骗等新兴风险;而中国在这方面的监管要求相对较少,主要关注传
统网络安全风险(18)。 - 跨境数据流动管理:新加坡对跨境数据流动采取相对开放的态度,通过加入亚太经合组织
主导的跨境隐私规则体系 (CBPR) 和隐私识别处理体系 (APEC PRP),便利数据的流通;
而中国则对跨境数据流动实施更为严格的管理,要求数据本地化存储和处理,跨境传输需
经过安全评估(50)。 - 监管科技应用的深度和广度:新加坡在监管科技应用方面走在前列,MAS 与金融机构和科
技公司紧密合作,共同开发监管科技解决方案;而中国的监管科技应用尚处于发展阶段,
但发展速度很快,《金融科技发展规划 (2025-2027 年)》提出了明确的发展目标和重点任
务(23)。
4.3****具体监管措施比较
新加坡和中国在信息科技风险监管的具体措施上既有相似之处,也存在明显差异。
相似措施: - 风险评估与管理流程:两国都要求金融机构建立健全信息科技风险评估与管理流程,定期
开展风险评估,制定风险应对策略,并持续监控风险变化(13)。 - 安全控制措施:两国都要求金融机构实施多层次的安全控制措施,包括网络安全、应用安
全、数据安全等方面的控制措施,确保信息系统的安全性和可靠性(12)。 - 应急响应与业务连续性计划:两国都要求金融机构制定应急响应计划和业务连续性计划,
定期进行演练,确保在信息科技系统中断时能够快速恢复关键业务功能(13)。4. 第三方供应商风险管理:两国都要求金融机构对第三方供应商实施严格的风险管理,包括
供应商尽职调查、合同管理、持续监控和应急计划等(34)。 - 监管报告与信息披露:两国都要求金融机构定期向监管机构报告信息科技风险状况和风险
管理措施的实施情况,并在发生重大安全事件时及时报告(17)。
差异措施: - 监管报告要求:新加坡对金融机构的信息科技风险报告要求相对灵活,强调基于风险的报
告方法;而中国则制定了更为详细和严格的报告要求,包括网络安全事件的分级标准和报
告时限等(17)。 - 合规检查与处罚机制:新加坡的合规检查和处罚机制相对灵活,注重与金融机构的沟通和
合作;而中国则更强调依法监管和严格执法,对违规行为的处罚力度较大(12)。 - 技术标准与认证要求:新加坡鼓励金融机构采用国际标准和最佳实践,并通过认证和奖项
等方式激励金融机构提升信息科技风险管理水平;而中国则更注重制定国家标准和行业标
准,并要求金融机构符合相关标准要求(34)。 - 创新业务监管方式:新加坡通过 "监管沙盒" 等创新监管工具,为金融科技创新提供试验空
间;而中国则主要通过行政许可和业务审批等方式对创新业务进行监管,近年来也开始探
索沙盒监管等创新方式(31)。 - 国际合作与信息共享:新加坡作为国际金融中心,积极参与国际合作和信息共享,与多个
国家和地区的监管机构建立了合作关系;而中国则主要在国内范围内开展监管合作,国际
合作相对有限(12)。
4.4****监管趋势比较
新加坡和中国的信息科技风险监管都呈现出一些共同趋势,同时也存在各自的特点。
共同趋势: - 强化数据安全与个人信息保护:随着数据在金融业务中的重要性日益提升,两国都在加强
对数据安全和个人信息保护的监管力度,不断完善相关法律法规和监管要求(34)。 - 关注人工智能等新兴技术风险:人工智能、大数据、云计算等新兴技术在金融领域的应用
日益广泛,两国都在加强对这些技术带来的风险的监管,制定相应的风险管理指引和要求
(23)。 - 推动监管科技的应用:两国都在积极推动监管科技的应用,利用技术手段提升监管效率和
精准度,实现对金融机构信息科技风险的实时监控和精准监管(23)。 - 加强第三方风险管理:随着金融机构越来越多地依赖第三方服务提供商,两国都在加强对
外包风险和供应链风险的监管,要求金融机构建立健全第三方风险管理机制(34)。5. 提升跨境数据流动管理的精细化水平:随着全球化和数字化的深入发展,跨境数据流动管
理变得越来越复杂,两国都在探索更加精细化的跨境数据流动管理方式,平衡数据安全与
数据利用价值(50)。
差异趋势: - 新加坡监管趋势:
◦ 更加注重技术韧性和业务连续性,强调从服务视角评估系统中断影响(18)
◦ 积极推动量子安全过渡计划,应对量子计算带来的安全威胁(18)
◦ 加强对人工智能应用的风险管理,制定专门的监管指引(23)
◦ 推动金融机构建立智能反诈生态系统,应对数字金融诈骗等新兴风险(18)
◦ 加强与国际标准的对接和国际合作,提升全球金融治理参与度(12) - 中国监管趋势:
◦ 更加注重数据安全和个人信息保护,强化数据全生命周期管理(38)
◦ 推动监管科技与合规科技深度融合,提升监管效率和精准度(37)
◦ 加强对金融科技应用的全面监管,防范金融科技风险向传统金融领域传导(39)
◦ 强化金融机构内部控制和合规管理,防范操作风险和道德风险(45)
◦ 推动金融机构数字化转型与信息科技风险管理的协同发展(44)
五、对银行机构的启示与建议
5.1****风险评估体系构建建议
基于新加坡和中国信息科技风险监管要求的比较分析,为银行机构构建全面有效的信息科技风
险评估体系提供以下建议: - 建立多层次的风险评估框架:
◦ 银行机构应建立覆盖战略层面、战术层面和操作层面的多层次风险评估框架,确保风
险评估的全面性和系统性(9)
◦ 风险评估应涵盖数据安全、网络安全、应用安全、基础设施安全等多个领域,以及规
划、建设、运行、维护等全生命周期(48) - 采用风险为本的评估方法:
◦ 根据业务重要性和风险影响程度,对信息系统和业务功能进行分级分类,实施差异化
的风险评估和控制措施(12)
◦ 定期开展风险评估,及时识别新出现的风险,并调整风险应对策略(48)1. 强化第三方风险评估:
◦ 建立完善的第三方服务提供商风险评估机制,对供应商的技术能力、安全控制、业务
连续性等方面进行全面评估(34)
◦ 定期对第三方服务提供商进行风险评估和审计,确保其持续符合银行机构的安全要求
(45) - 关注新兴技术风险评估:
◦ 针对人工智能、云计算、区块链等新兴技术,建立专门的风险评估框架,识别和评估
技术风险和业务风险(23)
◦ 特别关注人工智能应用中的模型风险、数据质量风险和可解释性风险,建立相应的风
险评估和控制措施(46) - 加强跨境数据流动风险评估:
◦ 建立跨境数据流动风险评估机制,评估数据出境的安全风险,并采取相应的安全控制
措施
◦ 确保跨境数据流动符合相关法律法规和监管要求,必要时进行安全评估和备案(50) - 建立风险预警和响应机制:
◦ 建立信息科技风险预警指标体系,实时监控风险变化情况,及时发出风险预警(38)
◦ 完善信息科技风险应急预案,明确应急响应流程和职责分工,定期进行应急演练(48)
5.2****战略规划制定建议
基于新加坡和中国信息科技风险监管要求的比较分析,为银行机构制定信息科技风险管理战略
规划提供以下建议: - 明确战略定位和目标:
◦ 根据银行机构的业务战略和风险偏好,明确信息科技风险管理的战略定位和目标,确
保与整体战略保持一致(13)
◦ 制定清晰的信息科技风险管理战略规划,包括短期、中期和长期目标,以及实现目标
的具体措施和时间表(48) - 加强信息科技治理:
◦ 完善信息科技治理架构,明确董事会、高级管理层和相关部门在信息科技风险管理中
的职责和权限(13)
◦ 建立信息科技治理的 "三道防线" 机制,确保信息科技管理、风险管理和风险监督的有
效运作(47) - 推动技术创新与风险管理协同发展:◦ 在推动技术创新的同时,同步考虑风险管理要求,确保创新与风险控制的平衡(23)
◦ 积极探索监管科技和合规科技的应用,提升风险管理的效率和精准度(37) - 加强数据治理和安全管理:
◦ 建立完善的数据治理体系,加强数据全生命周期管理,确保数据的安全性、完整性和
可用性(38)
◦ 实施数据分类分级管理,根据数据的重要性和敏感性采取相应的安全控制措施(50) - 提升技术韧性和业务连续性:
◦ 采用以服务韧性为核心的运营安全逻辑,从端到端的服务视角评估系统中断影响(18)
◦ 加强基础设施的冗余设计和弹性架构,提高系统的抗风险能力和恢复能力(13)
◦ 建立业务连续性管理体系,确保关键业务功能在系统中断时能够快速恢复(48) - 加强人才培养和能力建设:
◦ 加强信息科技风险管理人才队伍建设,提高专业技能和综合素质(23)
◦ 建立信息科技风险管理培训体系,提升全体员工的风险意识和安全素养(48)
◦ 关注量子计算等新兴技术发展趋势,提前布局相关人才培养和技术储备(18) - 加强国际合作和经验交流:
◦ 积极参与国际合作和经验交流,学习借鉴国际先进的信息科技风险管理经验和最佳实
践(12)
◦ 关注国际标准和监管要求的发展变化,及时调整自身的风险管理策略和措施
5.3****差异化应对策略建议
基于新加坡和中国信息科技风险监管要求的比较分析,为银行机构在不同监管环境下制定差异
化应对策略提供以下建议: - 在新加坡市场的应对策略:
◦ 深入理解 MAS 的风险为本监管理念,将其融入信息科技风险管理体系建设中(12)
◦ 积极参与 MAS 发起的各项计划和倡议,如探索者计划、CTREX 专家组等,提前了解
监管动向和要求(23)
◦ 关注 MAS 对人工智能、量子计算等新兴技术的监管态度和要求,提前布局相关风险管
理措施(18)
◦ 加强与新加坡本地金融机构和监管机构的交流合作,学习借鉴本地最佳实践
◦ 关注新加坡与其他国家和地区的监管合作和信息共享机制,提前做好跨境业务的合规
准备(12)1. 在中国市场的应对策略:
◦ 深入理解中国监管机构的监管要求和政策导向,确保信息科技风险管理体系符合相关
规定(45)
◦ 加强与中国监管机构的沟通交流,及时了解监管政策的最新变化和要求(38)
◦ 关注中国在数据安全、个人信息保护等方面的法律法规和监管要求,加强相关风险管
理措施(50)
◦ 积极参与中国监管机构发起的各项试点和创新项目,如监管沙盒等,探索创新业务模
式
◦ 关注中国金融科技发展规划和监管科技应用要求,积极推动监管科技和合规科技的应
用(37) - 跨境业务的应对策略:
◦ 建立跨境业务信息科技风险管理框架,明确跨境数据流动、系统互联等方面的风险管
理要求
◦ 了解并遵守不同国家和地区的监管要求,确保跨境业务的合规性(50)
◦ 建立跨境风险协同管理机制,加强总部与海外分支机构之间的协调与合作(12)
◦ 关注国际监管标准和最佳实践的发展变化,提高跨境业务风险管理的一致性和有效性
◦ 建立跨境应急响应机制,确保跨境业务在面临信息科技风险时能够快速响应和处置(48) - 差异化监管环境下的通用策略:
◦ 建立灵活可扩展的信息科技风险管理体系,能够适应不同监管环境的要求(13)
◦ 加强信息科技风险管理的标准化和规范化建设,提高风险管理的一致性和有效性(48)
◦ 建立监管要求跟踪和分析机制,及时识别监管变化和趋势,调整风险管理策略和措施
(12)
◦ 加强信息科技风险管理的文化建设,提高全体员工的风险意识和合规意识(48)
◦ 建立信息科技风险管理的持续改进机制,不断优化风险管理流程和控制措施(13)
六、结论与展望
6.1****研究结论
本研究报告对新加坡和中国金融机构信息科技风险监管要求进行了全面梳理和比较分析,得出
以下主要结论: - 监管框架的异同:新加坡和中国都建立了较为完善的信息科技风险监管框架,但在监管机
构设置、监管框架结构、监管工具和方法等方面存在差异。新加坡实行单一监管机构模式,监管框架相对灵活和原则导向;而中国实行分业监管模式,监管框架更为具体和规则
导向(45)。 - 监管重点的异同:两国在信息科技治理、网络安全、数据安全、业务连续性管理和外包风
险管理等方面有共同的监管重点,但在技术创新与风险防范的平衡、人工智能风险管理的
侧重点、量子安全与新兴技术风险等方面存在差异(13)。 - 监管措施的异同:两国在风险评估与管理流程、安全控制措施、应急响应与业务连续性计
划等方面采取了相似的监管措施,但在监管报告要求、合规检查与处罚机制、技术标准与
认证要求等方面存在差异(17)。 - 监管趋势的异同:两国都在强化数据安全与个人信息保护、关注人工智能等新兴技术风
险、推动监管科技的应用,但在具体发展方向和重点领域上存在差异。新加坡更加注重技
术韧性和业务连续性,积极推动量子安全过渡计划;而中国则更加注重数据安全和个人信
息保护,推动监管科技与合规科技深度融合(18)。 - 对银行机构的启示:基于两国监管要求的比较分析,银行机构应建立多层次的风险评估框
架,采用风险为本的评估方法,加强第三方风险评估和新兴技术风险评估;在战略规划方
面,应明确战略定位和目标,加强信息科技治理,推动技术创新与风险管理协同发展;在
差异化应对策略方面,应根据不同监管环境的特点,制定相应的风险管理策略和措施
(12)。
6.2****未来展望
基于当前的监管发展趋势和金融科技的发展方向,对未来信息科技风险监管和银行机构的风险
管理提出以下展望: - 监管要求的持续升级:随着金融科技的不断发展和应用,信息科技风险将更加复杂和多样
化,监管机构将持续升级监管要求,以应对新的风险挑战。银行机构需要保持敏感性,及
时调整风险管理策略和措施,适应监管要求的变化(18)。 - 人工智能风险管理的深化:人工智能在金融领域的应用将更加广泛和深入,其带来的风险
也将更加复杂和隐蔽。未来,监管机构将加强对人工智能风险管理的监管要求,银行机构
需要建立健全人工智能风险管理体系,有效管控模型风险、数据风险和操作风险(23)。 - 量子计算等新兴技术的挑战:量子计算等新兴技术的发展将对现有加密技术和信息安全带
来重大挑战,监管机构和银行机构需要提前布局,加强相关技术研究和人才培养,做好应
对准备。新加坡已经启动量子安全过渡计划,中国也将逐步关注这一领域(18)。 - 监管科技与合规科技的融合发展:监管科技和合规科技将实现深度融合,通过技术手段提
升监管效率和精准度,降低合规成本。未来,监管机构将更加注重利用技术手段实施监
管,银行机构也将更加注重利用技术手段提升风险管理能力(37)。5. 全球监管协同的加强:随着金融全球化的深入发展,信息科技风险的跨境传导将更加复
杂,全球监管协同将成为必然趋势。未来,各国监管机构将加强合作与协调,建立更加有
效的跨境监管机制,银行机构也需要加强跨境风险管理的协同与整合(12)。 - 数据安全与隐私保护的强化:数据作为核心生产要素,其安全和隐私保护将受到更加严格
的监管。未来,监管机构将进一步强化数据安全和隐私保护要求,银行机构需要建立更加
完善的数据治理体系,加强数据全生命周期管理,确保数据的安全性和合规性(38)。 - 业务连续性与韧性建设的深化:随着金融业务对信息科技的依赖程度不断提高,业务连续
性和韧性建设将成为银行机构风险管理的核心内容。未来,监管机构将更加注重银行机构
的业务连续性和韧性建设,银行机构也需要从服务视角出发,重构运营安全逻辑,提升整
体韧性水平(18)。
总之,信息科技风险监管将持续发展和完善,银行机构需要密切关注监管动态和技术发展趋
势,不断提升信息科技风险管理能力,确保业务的安全、稳定和可持续发展。通过借鉴新加坡
和中国的监管经验和最佳实践,银行机构可以构建更加全面、有效的信息科技风险管理体系,
为业务创新和发展提供坚实保障。
深圳东方大唐信息技术有限公司 "陪客户从优秀到卓越"
参考资料
1\] 数字金融的国际实践 http://m.qikan.cqvip.com/Article/ArticleDetail?id=7112657083 \[2\] Supervision policies can shape long-term risk management in general-purpose AI models https://arxiv.org/pdf/2501.06137 \[3\] Effective Mitigations for Systemic Risks from General-Purpose AI https://arxiv.org/pdf/2412.02145 \[4\] Affirmative safety: An approach to risk management for high-risk AI https://arxiv.org/pdf/2406.15371 \[5\] The risks of risk-based AI regulation: taking liability seriously https://arxiv.org/pdf/2311.14684 \[6\] 金融领域监管科技的发展与创新研究 Research on the Development and Innovation of Regtech in Financial Sector https://m.zhangqiaokeyan.com/academic-journal- cn_detail_thesis/02012155919843.html \[7\] Risk Sources and Risk Management Measures in Support of Standards for General- Purpose AI Systems https://arxiv.org/pdf/2410.23472 \[8\] Holistic Safety and Responsibility Evaluations of Advanced AI Models https://arxiv.org/pdf/2404.14068 \[9\] A Frontier AI Risk Management Framework: Bridging the Gap Between Current AI Practices and Established Risk Management https://arxiv.org/pdf/2502.06656 \[10\] MITRE's Response to the NTIA RFI on Artificial Intelligence Accountability https://www.mitre.org/sites/default/files/2023-06/PR-22-01891-21-MITREs-Response-to-the- NTIA-RFI-on-Artificial-Intelligence-Accountability.pdf\[11\] Risk Modeling https://www.semanticscholar.org/paper/Risk-Modeling-Roberts- Tonna/b2bce737fb4c7429cb3f6fc01553896092efa1ff \[12\] Cyber Risk Surveillance: A Case Study of Singapore https://www.mas.gov.sg/- /media/mas/resource/publications/staff_papers/mas-staff-paper-no57feb2020-1.pdf \[13\] MAS Technology Risk Management Guidelines: what you need to know https://rmi.com.sg/2022/03/21/mas-technology-risk-management-guidelines/ \[14\] MAS Technology Risk Management Update https://www.protiviti.com/sg- en/whitepaper/mas-technology-risk-management-update \[15\] MAS TRM Compliance in the Cloud https://cyscale.com/blog/mas-trm-compliance-in- cloud/ \[16\] MAS TRM Guidelines https://right-hand.ai/blog/mas-trm-guidelines/ \[17\] MAS Notice FSM-N30 Technology Risk Management https://www.mas.gov.sg/regulation/notices/fsm-n30-trm \[18\] 新加坡金管局召开专家会议,倡导提升技术复原力应对新兴威胁 \| 未央网 https://www.weiyangx.com/447537.html \[19\] MFSA Issues Two Circulars on ICT Risk https://www.mamotcv.com/insights/mfsa issues-two-circulars-on-ict-risk/ \[20\] Financial Services and Markets Act 2022 https://www.mas.gov.sg/regulation/acts/financial-services-and-markets-act-2022 \[21\] 新加坡金管局最新回应:2025 年 6 月 30 日倒计时,FSMA 监管框架下的 DTSP \| PANews https://www.panewslab.com/fr/articledetails/y3zewe1z.html \[22\] Regulatory and Compliance Outlook 2025: Key Trends in Hong Kong and Singapore https://www.synpulse.com/en/insights/regulatory-and-compliance-outlook-2025-key-trends in-hong-kong-and-singapore \[23\] 2025 年 7 月 15 日,新加坡金融管理局(MAS)推出探索者计划(Pathfind_财富号_东方财富 网 https://caifuhao.eastmoney.com/news/20250722140613161019930 \[24\] Regulatory Frameworks for Core Banking Systems in Southeast Asia https://victorleungtw.com/2025/05/09/regulation/ \[25\] Online Banking Security https://blog.maxthon.com/2025/05/19/online-banking-security/ \[26\] MAS publishes consultation paper on prudential treatment of cryptoasset exposures and requirements for Additional Tier 1 and Tier 2 capital instruments for banks https://www.rahmatlim.com/publication/articles/30487/mas-publishes-consultation-paper-on- prudential-treatment-of-cryptoasset-exposures-and-requirements-for-additional-tier-1-and tier-2-capital-instruments-for-banks \[27\] 15 Cybersecurity Regulations for Financial Services in 2025 https://www.strongdm.com/blog/cybersecurity-regulations-financial-industry\[28\] Emerging Risks and Opportunities of Generative AI for Banks(pdf) https://www.mas.gov.sg/-/media/mas-media-library/schemes-and-initiatives/ftig/project- mindforge/emerging-risks-and-opportunities-of-generative-ai-for-banks.pdf \[29\] Secure Singapore Banking: HP Security solutions for TRM guidelines https://www.techrepublic.com/resource-library/whitepapers/secure-singapore-banking-hp- security-solutions-for-trm-guidelines/ \[30\] 新加坡金管局成立网络和技术弹性专家小组 CTREX,为新兴技术带来的金融风险提供建 议-移动支付网 https://m.mpaypass.com.cn/news/202410/08095227.html \[31\] Cybersecurity key to the future of Singapore's financial services https://govinsider.asia/intl-en/article/cybersecurity-key-to-the-future-of-singapores-financial- services \[32\] Monetary Authority of Singapore https://www.mas.gov.sg/ \[33\] Financial Services and Markets (Digital Token Service Providers) Regulations 2025 https://sso.agc.gov.sg/SL/FSMA2022-S342-2025 \[34\] 新加坡考虑为金融机构供应商提供网络安全认证-移动支付网 https://m.mpaypass.com.cn/news/202504/24110409.html \[35\] 新加坡批准数字银行拍照 新加坡批准数字银行拍照-抖音 https://www.iesdouyin.com/share/video/7549385267925241103/?did=MS4wLjABAAAANwkJ uWIRFOzg5uCpDRpMj4OX-QryoDgn- yYlXQnRwQQ\&from_aid=1128\&from_ssr=1\&iid=MS4wLjABAAAANwkJuWIRFOzg5uCpDR pMj4OX-QryoDgn- yYlXQnRwQQ\&mid=7549385316210051866®ion=\&scene_from=dy_open_search_video \&share_sign=JBg8JAc_6NsNHmV7GUza6vmUjbcZGLqvJ2WD4ORRdnU- \&share_track_info=%7B%22link_description_type%22%3A%22%22%7D\&share_version=28 0700\&titleType=title\&ts=1758963720\&u_code=0\&video_share_track_ver=\&with_sec_did=1 \[36\] 新加坡 DTSP 法案今日生效,未获许可平台将退出市场-抖音 https://www.iesdouyin.com/share/video/7521692785533439272/?did=MS4wLjABAAAANwkJ uWIRFOzg5uCpDRpMj4OX-QryoDgn- yYlXQnRwQQ\&from_aid=1128\&from_ssr=1\&iid=MS4wLjABAAAANwkJuWIRFOzg5uCpDR pMj4OX-QryoDgn- yYlXQnRwQQ\&mid=7521692795295419187®ion=\&scene_from=dy_open_search_video \&share_sign=R6wmTwkzjA6B1vz1RM28eAf1eBaRycgzpjY5wFSSGnQ- \&share_track_info=%7B%22link_description_type%22%3A%22%22%7D\&share_version=28 0700\&titleType=title\&ts=1758963720\&u_code=0\&video_share_track_ver=\&with_sec_did=1 \[37\] 2025 年金融监管政策对金融行业风险管理能力提升的解读及可行性报告.docx - 人人文库 https://m.renrendoc.com/paper/465758680.html \[38\] 2025 年中国金融监管新规分析:政策密集出台推动行业高质量发展 - 报告精读 - 未来智库 https://www.vzkoo.com/read/202508078275a02c7f86d606a5e6721d.html\[39\] 中国人民银行印发《金融科技发展规划(2022-2025 年)》 http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/4438627/index.html?tblci=GiAfVWIOS ROJLhYahcl8LGUZCUQApXjLvYilJY8pEKcTDyDxrkEo7cihg57Z2rtS \[40\] 中国人民银行有关部门负责人就《中国人民银行业务领域数据安全管理办法》答记者问 http://www.pbc.gov.cn/goutongjiaoliu/113456/113469/5706206/index.html \[41\] 金融监管资讯(2025 年 9 月篇) 两分钟,带您快速了解 9 月金融监管新动态-抖音 https://www.iesdouyin.com/share/video/7553940538521668879/?did=MS4wLjABAAAANwkJ uWIRFOzg5uCpDRpMj4OX-QryoDgn- yYlXQnRwQQ\&from_aid=1128\&from_ssr=1\&iid=MS4wLjABAAAANwkJuWIRFOzg5uCpDR pMj4OX-QryoDgn- yYlXQnRwQQ\&mid=7554173852754971402®ion=\&scene_from=dy_open_search_video \&share_sign=gQTJmfBVNs5n0XCKFHminuk1z1yjwMpdVuXA1rsWDxI- \&share_track_info=%7B%22link_description_type%22%3A%22%22%7D\&share_version=28 0700\&titleType=title\&ts=1758963754\&u_code=0\&video_share_track_ver=\&with_sec_did=1 \[42\] #支付宝、微信账户余额面临监管新规-抖音 https://www.iesdouyin.com/share/video/7445249237652147507/?did=MS4wLjABAAAANwkJ uWIRFOzg5uCpDRpMj4OX-QryoDgn- yYlXQnRwQQ\&from_aid=1128\&from_ssr=1\&iid=MS4wLjABAAAANwkJuWIRFOzg5uCpDR pMj4OX-QryoDgn- yYlXQnRwQQ\&mid=7445249330396597029®ion=\&scene_from=dy_open_search_video \&share_sign=.cRnQM0i_xAz5gdoQsxvzH5mpIXkrgAiimxCOK9YATI- \&share_track_info=%7B%22link_description_type%22%3A%22%22%7D\&share_version=28 0700\&titleType=title\&ts=1758963754\&u_code=0\&video_share_track_ver=\&with_sec_did=1 \[43\] 2025 年 5 月 16 日,由科技部、中国人民银行、金融监管总局、证监会等七部门联合印发 的重磅文件------《加快构建科技金融体制 有力支撑高水平科技自立自强的若干政策举措》正 式落地。-抖音 https://www.iesdouyin.com/share/video/7504860218225003776/?did=MS4wLjABAAAANwkJ uWIRFOzg5uCpDRpMj4OX-QryoDgn- yYlXQnRwQQ\&from_aid=1128\&from_ssr=1\&iid=MS4wLjABAAAANwkJuWIRFOzg5uCpDR pMj4OX-QryoDgn- yYlXQnRwQQ\&mid=7504860025089772324®ion=\&scene_from=dy_open_search_video \&share_sign=sa38n4Rwp0vSdF_yDuOzYvOCjWq_j9UVI15wnvvH8LA- \&share_track_info=%7B%22link_description_type%22%3A%22%22%7D\&share_version=28 0700\&titleType=title\&ts=1758963754\&u_code=0\&video_share_track_ver=\&with_sec_did=1 \[44\] 银保监会发文 加强信息科技外包风险监管,明确禁止外包 https://finance.huanqiu.com/article/46X4NUQ8u7f \[45\] 国家金融监督管理总局 https://www.nfra.gov.cn/cn/view/pages/ItemDetail.html?docId=1029035\&itemId=928\&genera ltype=0\[46\] 国家金融监督管理总局 https://www.nfra.gov.cn/cn/view/pages/ItemDetail.html?docId=1192308\&itemId=926\&genera ltype=0 \[47\] 监管要求 https://m.233.com/ccbp/zhishiku/1311/52555.html \[48\] 国家金融监督管理总局 https://www.nfra.gov.cn/cn/view/pages/ItemDetail.html?docId=3127\&itemId=928\&generaltyp e=0 \[49\] 盘点 2024 年银行科技相关的金融监管文件-腾讯新闻 https://news.qq.com/rain/a/20250108A08ALA00 \[50\] 国家金融监督管理总局 https://www.nfra.gov.cn/cn/view/pages/ItemDetail.html?docId=1192305\&itemId=917\&genera ltype=0