博客
APRA CPS 234:信息安全审慎标准

APRA CPS 234:信息安全审慎标准

抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

根据 思科2018年亚太安全功能基准研究,有90%的澳大利亚公司报告说他们每天收到多达5,000个网络威胁。

对于网络犯罪分子,澳大利亚的养老基金,银行和保险公司制定了诱人的目标。这些机构必须保护和保护其数据(包括其客户和客户的数据),并在遇到紧急情况时做出快速而有力的响应 网络攻击 发生。

违规的演变

11个国家/地区的受访者
 

澳大利亚的违约成本

违反澳大利亚的代价

 

澳大利亚环境中不同安全供应商的数量

澳大利亚的安全厂商数量

 

网络犯罪是一个全球性的问题,可能会造成毁灭性的财务后果,但是,由于澳大利亚政府的OAIC发起了网络犯罪, 须通知数据泄露计划 在2018年2月,澳大利亚企业将承担更大的风险和违规责任。

为了帮助组织更有效地保护自己, 澳大利亚审慎监管局(APRA) 为以下方面创建了新的审慎标准 信息安全 管理。

最终确定的标准,称为 APRA CPS 234旨在确保受APRA监控的组织对网络攻击更具弹性,并可以在发生安全漏洞时迅速做出响应。

“在APRA监管的实体上发生的重大信息安全漏洞几乎可以肯定是何时而非不是的问题。

通过引入CPS 234,APRA的目标是确保所有受监管实体发展和维护信息安全能力,以反映其所拥有数据的重要性以及所面临威胁的重要性。”

– Geoff Summerhayes(执行董事APRA)

 

Summerhayes继续指出,如果发生最坏的情况并且确实发生了重大漏洞,则可能 "迫使公司倒闭".

由于风险银行,信用合作社,人寿保险公司,建筑协会,健康保险公司,一般保险公司和养老金行业的水平受APRA监管,APRA(目前监督着持有6.5万亿美元资产的机构)正在快速发展。实施其新的审慎标准CPS 234,并希望所有受监管实体都能满足其要求 2019年7月1日。

 

APRA徽标

CPS 234要求受APRA监管的组织:

  • 明确定义与信息安全相关的角色和职责;
  • 保持与其信息资产受到威胁的规模和程度相称的信息安全能力;
  • 实施控制措施以保护信息资产并定期测试和保证控制措施的有效性;和
  • 及时将重大信息安全事件通知APRA。

监视组织的数字资产并保护关键的公司和客户数据是一场似乎永无止境的战斗,但谨慎而积极的公司可以克服。

什么是CPS 234?

CPS 234要求受APRA监管的实体必须采取必要的措施,以保护自己免受网络攻击和与之相关的其他各种信息安全事件的侵害 信息资产和数据的机密性,完整性和可用性 —包括由第三方服务提供商管理的信息,表明监管机构越来越关注 第三方风险.

CPS 234的主要目标是减少发生信息安全事件的可能性。

已经起草了新的CPS 234 APRA标准,以确保整个行业继续发展其信息安全管理系统,从而推动持续的警惕,改进和投资。

随着网络犯罪分子及其程序变得更加先进,澳大利亚的网络安全系统也应如此-CPS 234确保这些企业继续发展和维护其在线防御。

“ APRA将网络风险视为对澳大利亚金融机构的日益严重的审慎威胁"

– Geoff Summerhayes(执行董事APRA)


受APRA监管的机构不仅要遵循新标准,还必须证明其所有服务均符合新的CPS 234标准。

阅读有关如何遵守CPS 234的完整指南。

为什么APRA引入了CPS234,特别关注第三方风险和数据泄露通知?

UpGuard支持APRA的发展方向,世界各地的监管机构也可能会采取类似的立场。我们对我们的结果进行了研究 突破视线 扫描程序,它显示以下发现支持监管机构将重点放在第三方风险和数据泄露上:

ASX200中有24%的公司(总共48家)目前存在公开数据泄露事件 based on a single 向量 (即违规类型)。根据我们的经验,当我们搜索多个向量(多种违规类型)时,我们发现了更多的风险。因此,这应解释为最低风险暴露水平。

这些公开的违规行为大多数是由于 安全性较差的软件开发实践 包括来自第三方开发商的信息。

平均 UpGuard网络安全等级 由APRA监管的ASX200金融服务公司中, 775 (out of a maximum of 950)。这表明这些公司中许多公司的安全卫生状况是平均水平。对于上下文:

  • 800+的评级被认为是相当不错的。
  • 900+的评级被认为是非常好的。

ASX200中有8%的公司受APRA监管,无论是银行,保险还是养老金。

ASX200中11.5%的公司由ASIC许可 出售金融服务。

时间表

新的CPS 234标准将在2019年7月1日之前由所有APRA监管的机构达到。关于过渡期,新标准的那些时间表已适用于第三方管理的信息资产。

受监管实体必须在下一个合同续订日期的较早日期或2020年7月1日之前确保第三方安排符合新要求。

阅读有关如何遵守CPS 234的完整指南.

由于发生重大违规的高风险以及由于不作为和自满而可能导致的严重后果,APRA正在快速跟踪实施此新标准。

CPS 234的新要求是什么?

如前所述,受APRA监管的机构必须遵守CPS 234要求并证明其符合要求。

APRA监管的机构包括:

  • 银行业务
  • 信用社
  • 建筑社团
  • 保险和再保险公司
  • 私人健康保险公司
  • 人寿保险
  • 养老金行业的成员

通常,新的APRA CPS 234要求与以前发布的要求类似 CPG 234。 CPG 234是澳大利亚金融服务中大多数人都会熟悉的东西。它为APRA认为某些领域的最佳实践提供了指南。

但是,CPS 234清楚地显示了APRA思维的发展,在几个方面有所不同,新的要求是:

1.董事会的责任

APRA明确指出,董事会在管理信息安全风险时需要彻底了解其职责,

“受APRA监管的实体的董事会最终负责确保该实体以与对这些资产的威胁的大小和程度相称的方式,维护其信息资产的信息安全,并确保该资产的持续合理运作。实体”。

–澳大利亚审慎监管局

 

该文件还指出,该实体还必须明确定义董事会的信息安全角色和职责,对于

 

“负责决策,批准,监督,运营和其他信息安全职能的高级管理层,理事机构和个人。

受APRA监管的实体 信息安全政策 框架必须为有义务维护信息安全的所有各方的责任提供指导。”

–澳大利亚审慎监管局

2.信息安全能力

还特别注意可能使用第三方来管理信息资产的企业。根据CPS 234更新,将要求APRA监管的实体评估第三方的安全能力。

 

“在信息资产由关联方或第三方管理的情况下,受APRA监管的实体必须评估该方的信息安全能力,并与影响这些资产的信息安全事件的潜在后果相称。”

–澳大利亚审慎监管局

 

最终文件进一步指出,实体必须

“针对漏洞和威胁的变化,包括因信息资产或其业务环境变更而导致的漏洞和威胁的变化,积极维护其信息安全能力。”

–澳大利亚审慎监管局

 

第四党绿色
第三方供应商的第四方风险成倍增加。

APRA还收到了受监管实体的有关 来自第四方的风险 -即第三方的分包商。他们的回答是,第四方和第五方监控仍然是受监管实体的责任。

3.信息资产的识别与分类

“受APRA监管的实体必须根据重要性和敏感性对包括信息资产在内的信息资产进行分类,包括由关联方和第三方管理的信息资产。

这种分类必须反映影响信息资产的信息安全事件在多大程度上可能会在财务上或非财务上影响实体或储户,保单持有人,受益人或其他客户的利益。”

–澳大利亚审慎监管局
 

4.实施控制

第三方再次成为这一要求的焦点。最终文件指出,受APRA监管的实体必须具有 “信息安全控制措施,以保护其信息资产,包括由关联方和第三方管理的信息资产,这些措施应及时实施并与以下方面相称:

  • 信息资产的脆弱性和威胁;
  • 信息资产的重要性和敏感性;
  • 信息资产处于其生命周期内的阶段;和
  • 信息安全事件的潜在后果。” 

如果受APRA监管的实体的信息资产由第三方或关联方管理,则CPS 234声明该实体, “必须评估该方的信息安全控制措施的设计,以保护APRA监管实体的信息资产。”

5.事件管理

在最终的CPS 234文档中,对信息安全风险的快速响应起着另一个重要作用。向重点监管机构告知APRA其受监管实体之一可能遇到的任何潜在风险。

“受APRA监管的实体必须具有健全的机制,以及时检测和响应信息安全事件。实体必须维护计划以应对实体认为可能发生的信息安全事件。”

–澳大利亚审慎监管局

这些 “计划” are known as “信息安全响应计划” 并且必须包括 “为以下目的而采取的机制:

  1. 管理事件的所有相关阶段,从发现到事件后审查;
  2. 并酌情向董事会,其他理事机构和负责信息安全事件管理和监督的个人上报和报告信息安全事件。”

沟通和响应能力是这里的关键。除此之外,与APRA相关的实体必须每年审查和测试其信息安全响应计划,以确保其有效。

6.测试控制有效性

网络犯罪及其使用的方法的不断发展,意味着组织无法自满。可能已经工作了这么长时间的东西,明天可能不会工作。

为确保与APRA相关的业务保持警惕,CPS 234要求实体通过以下方式定期测试其信息安全控制的有效性: “系统测试程序”。

这种系统测试的频率和性质必须 “与…相称:

  1. 漏洞和威胁的变化率;
  2. 信息资产的重要性和敏感性;
  3. 信息安全事件的后果;
  4. 与暴露于APRA监管实体无法执行其信息安全策略的环境相关的风险;
  5. 信息资产变更的重要性和频率。

再一次,第三方将受到更严格的审查,

“如果APRA监管实体的信息资产由关联方或第三方管理,并且APRA监管实体依赖于该方的信息安全控制测试,则APRA监管实体必须评估测试的性质和频率这些信息资产的控制措施与(a)至(e)相称”

–澳大利亚审慎监管局

除上述内容外,CPS234的此部分还规定,必须将任何测试结果告知董事会或高级管理层, “确定无法及时纠正的信息安全控制缺陷。”

还要求这些测试应通过以下方式进行: “具有适当技能和职能独立的专家”。 还要求实体每年(至少)或在以下情况下审查测试计划的充分性: “信息资产或商业环境发生了重大变化。”

有关新要求的更多详细信息,请阅读全文 CPS 234 文件。

违反通知

企业应在意识到网络安全事件后72小时内将其通知APRA。如果存在以下威胁,CPS 234要求企业在此时间段内通知APRA:

  1. “对实体或储户,保单持有人,受益人或其他客户的利益有重大影响,或有可能在财务或非财务方面造成重大影响;
  2. 已通知澳大利亚或其他司法管辖区的其他监管机构。”

最初,APRA建议通知时间为24小时。 APRA认为72小时的时间表 '将为受监管实体提供适当的时间以正确评估信息安全事件并确定如何处理该问题' 并与其他监管机构的违规通知制度保持一致。

CPS 234还要求实体在意识到实体期望将无法知道的信息安全控制弱点后的10天内通知APRA。 “及时补救。”

会发生什么?

2019年7月1日 最终的CPS 234法规生效的当天。预计APRA将更新当前的PPG(审慎实践指南) CPG 234信息安全风险管理&信息技术 自2013年5月以来未更新的法律。

 

apra-circles-img

组织应该做什么?

EAPRA监管的实体应开始根据其敏感性和重要性对其信息资产进行分类。此分类过程应考虑到安全漏洞可能对企业,客户,关键利益相关者以及其他可能受到影响的个人或团体的影响。

如前所述,委托第三方管理其信息资产的实体必须尽职调查以确保其安全。

CPS 234的要求很快将成为强制性要求,但是对于许多难以遵守的组织而言,新的审慎标准似乎不堪重负。 UpGuard可以帮助您的APRA监管组织确保其满足新的快速接近的安全标准CPS 234。

阅读有关如何遵守CPS 234的完整指南。

快速摘要:关键要点

CPS 234的关键要求和要点:

  • 董事会的责任- APRA监管实体的董事会最终负责确保该实体维持其信息资产的信息安全。 APRA已认识到其受监管实体的董事会需要加强对以下方面的了解和管理: 网络风险。这将以多种方式发挥作用,包括更改董事会技能评估以及在APRA监管实体中任命新董事的流程。
  • 信息安全能力 如果信息资产由关联方或第三方管理,则受APRA监管的实体必须评估该方的信息安全能力。实体必须积极维护其信息安全能力,并使其系统保持最新状态,以便能够应对新威胁。
  • 信息资产识别和分类 信息资产应根据其重要性和敏感性进行分类。考虑到如果发生违规,业务,客户和其他个人可能受到的影响,应指导分类过程。
  • 实施控制措施 实体必须具有适当的信息安全控制措施来保护信息资产,包括由关联方和第三方管理的信息资产。
  • 事件管理 APRA并没有等待公关噩梦或更糟糕的是,重要客户信息的丢失,而是在暗示金融服务公司由于其审慎的义务需要更加谨慎。实体必须制定适当的信息安全响应计划,才能对安全威胁做出有力的响应。这些计划必须包括用于管理事件的相关阶段以及向董事会,其他理事机构和其他负责信息安全的个人报告和升级信息安全事件的机制。
  • 测试控制有效性 实体必须通过系统的测试程序定期测试其信息安全控制的有效性。这些测试还必须由“具有适当技能和职能的独立专家”进行,并且至少在信息资产或业务环境发生重大变更时每年进行一次。
  • 72小时的通知期 企业应在意识到网络安全事件后72小时内将其通知APRA。实体还必须在意识到重大信息安全控制弱点之后的10天内通知APRA,该实体希望该弱点无法“及时进行补救”。
  • 2019年7月1日- CPS 234将于2019年7月1日生效。
自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状