什么是 MaRisk？

风险管理是减少金融犯罪和完善数据保护的一个重要方面。BaFin 是德国金融业的主要监管机构，专注于风险管理、业务连续性、去风险化外包、与监管机构的合作、数据管理、数据安全和保密。MaRisk（Mindestanforderungen an das Risikomanagement，意为“最低风险管理要求”）是 BaFin 的一项计划，明确了风险管理合规性的最低要求。

MaRisk 以《德国银行法》（Kreditwesengesetz，KWG）第 25a(1) 项为依据，该规定的内容涵盖“特别机构职责；发布命令的权力”。第 25a 项与 2013/36/EU 指令第 88 条相关，阐述了金融服务业各实体应采取的内部治理结构。

MaRisk 是一份规范性文件，它构成了在德国开展金融业务的框架。其目的在于降低德国乃至全世界（德国金融机构的业务活动遍布全球）的金融活动风险。 

MaRisk 的关注点是指导德国金融体系在安全、诚信原则下运作。它是一项行政法规，可作为银行的“监督审查和评估流程 (SREP)”，帮助 巴塞尔协议第三版第二部分范畴内的银行管理风险。

MaRisk 是一个综合框架，涵盖了内部风险管理和外包风险中的金融风险。适用该框架的实体受 BaFin 监管，包括银行、保险公司和证券公司。

MaRisk 提供了一个帮助金融企业降低业务活动风险的综合框架。其范围包括保护企业环境，避免恶意软件、网络钓鱼和非授权访问的侵害。Akamai 安全解决方案提供智能保护和端到端保护，以避免金融数据泄露和意外暴露，尽可能降低与 MaRisk 网络安全控制措施相关的风险。Akamai 的安全平台提供了将 Zero Trust 原则运用到整个衍生供应链的数据保护所需要的动态安全性。Akamai 突破传统端点检测的安防方式，针对数据安全和隐私提供强大的 Zero Trust 解决方案，帮助企业安全团队极大提高安全投资的有效性和投资回报率。 

Akamai 提供：

• 全球安全平台，可将 Zero Trust 安全原则运用到 IT 环境、物联网和 OT 环境，实现全面覆盖
• 对资产、访问权限和网络流的深度监测能力
• 安全策略的精细实施

MaRisk 的初始版本发布于 2005 年 12 月。其产生源于巴塞尔银行监管委员会的《巴塞尔协议第二版》框架。《巴塞尔协议第二版》和现行的《巴塞尔协议第三版》的规定在《德国银行法》（Kreditwesengesetz，KWG）第 25a(1) 项和 MaRisk 中都有所体现。

MaRisk 是 BaFin 的一项计划，意在将早期的风险管理框架整合为一个综合性风险管理框架。此外，BaFin 设计 MaRisk 是为了纳入《巴塞尔协议第二版》和银行法的规定，让这些细分的框架更符合时代需求。

该计划自 2005 年以来经历了几次修订，新增多项要求，最近的三次修订包括：

• 风险数据汇总的技术要求，以及围绕外包风险的更新，提出了新的中央外包管理系统要求。（2017 年 MaRisk 修订版） 
• 调整 MaRisk 的内容，使其与 EBA 指南保持一致，纳入与 ICT 网络安全风险相关的一些规定。（2021 年 MaRisk 修订版）

将 ESG 风险管理要求纳入总体风险管理框架中。将中小银行和金融机构纳入 EBA 指南下的 MaRisk 贷款和信贷监控要求适用范围（2022 年 MaRisk 修订版：MaRisk 当前版和第七版）

供应链攻击和数据风险是 MaRisk 纳入严格的外包风险管理的核心要素。MaRisk（风险管理最低要求）第 9 条关于外包的规定提供了相关指导，帮助金融机构达到《德国银行法》(Kreditwesengesetz) 第 25b 项的外包监管要求。《德国银行法》规定，金融机构在将项目和任务外包时应采取“合理的预防措施”来规避风险。

金融领域的风险处于历史高位。从 英格兰银行的调查可以看出金融界对于风险的担忧，该调查表明网络攻击是英国金融体系最令人担忧的风险（79% 的受访者这样认为）。MaRisk 意图解决这个问题，它提供了一个框架来帮助银行业和相关公司降低业务活动中的风险。

银行与 MaRisk

德国银行近几年经历了严重的数据泄露事件，比如 2022 年 德意志银行网络攻击事件，导致 60 GB 的客户数据被盗。银行和其他金融业实体处于《德国银行法》、BaFin 和 MaRisk 的监管范围内。MaRisk 下的《金融机构 IT 监管要求》文件列明了满足银行 IT 安全要求所需采取的措施。此外，MaRisk 要求德国银行确保数据流的安全，新修订的一个版本中包含增加“家庭交易”安全性的规定，要求采取最低限度的 IT 安全标准来保证数据机密性。Zero Trust 最小权限原则执行所有位置（包括家庭办公室）的访问控制。

银行的云服务供应商

德国银行业云服务提供商的供应链受 MaRisk 监管。云服务提供商必须遵循 IT 监管要求，帮助确保客户（银行或其他金融机构）实施风险控制措施，以符合安全规定。风险评估应证明金融机构已落实信息风险管理、信息安全和应急响应措施，且符合 MaRisk 和 BAIT 相关规定以及 BaFin 其他适用的要求。云和 IT 服务提供商通常会将这些评估列入客户合同中。云服务提供商应尝试将 Zero Trust 方法运用到分布式服务架构中，以建立健全的访问控制机制。

金融机构必须遵守 MaRisk、BAIT 和 BaFin 其他计划提出的一整套综合性风险管理规定——BaFin 将这些规定作为控制和管理金融业风险的框架。

MaRisk 和 BAIT（Bankaufsichtliche Anforderungen an die IT，金融机构 IT 监管要求）是同类规定，BAIT 以 MaRisk 的内容为基础。BAIT 概括了 IT 系统适用的技术资源和机构资源，特别是金融业信息安全和应急计划。2021 年，BAIT 与 MaRisk 版本 6 一起进行了更新。 

BAIT 合规性包括 2020 年生效的 EBA ICT 和安全风险管理指南 (EBA/GL/2019/04)的要求。该部分 EBA 指南意在应对金融机构所面临的网络威胁在数量、复杂性和级别上不断增加的情况。此外，银行业的互联互通也是 EBA 更新指南中的一个考量因素。

BAIT 的更新中包含两个新领域：

• 运营信息安全：信息安全监测和控制的要求
• IT 服务连续性管理：符合 MaRisk 第 7.3 条业务连续性管理的最低要求

MaRisk 第 7.3 条“业务连续性管理”包括网络攻击导致的 IT 系统故障。

BaFin 努力确保 EBA、BAIT 和 MaRisk 的要求相互关联。例如，MaRisk 最新版本的扩展内容涵盖外包指导。因此，ICT 风险管理延伸到金融供应链供应商。

德国 BaFin 发布的一整套权威规定在许多领域都有重叠，其中包括 IT 系统和数据的保护。风险管理是健全的网络安全系统的核心支柱。维持金融系统安全是针对金融基础架构和数据采取风险管理型方法的重点所在。Akamai 的一整套反欺诈、监管测试和安全解决方案提供了满足 MaRisk 规定所需的工具。Akamai 提供一整套备受赞誉的安全解决方案，其中包括：

• 应用程序和 API 保护：防止 DDoS 攻击并保护企业资产。
• Akamai Account Protector：立足于先进的机器学习、行为分析和声誉推断，主动识别并阻止欺诈性人为活动和帐户接管。 
• 访问和授权：Zero Trust 架构帮助简化合规过程。