Koppel Australië se verpligte finansiële regulasie met ISO 27001
CPS 234 is 'n inligtingsekuriteitsregulasie wat deur die Australian Prudential Regulation Authority (APRA) uitgereik is. vir versekering en finansiële organisasies om teen kuberaanvalle te beskerm.
Die Australian Prudential Regulation Authority (APRA) is in 1998 deur die Australiese regering gestig.
APRA hou toesig oor private gesondheidsversekeraars, algemene en lewensversekeraars, pensioenfondse, vriendelike verenigings, herversekeringsmaatskappye en finansiële instellings wat gemagtig is om deposito's te neem soos bouverenigings, banke en krediet-unies.
CPS 234 is 'n inligtingsekuriteitsregulasie wat die eerste keer deur APRA op 1 Julie 2019 uitgereik is. Die regulasie is ontwerp om organisasies te help om hulself en hul kliënte teen kuberaanvalle te beskerm deur hul inligtingsekuriteitsraamwerk te versterk.
CPS 234 stel vereistes ten opsigte van inligtingsbate-identifikasie en -klassifikasie, inligtingsekuriteitsrolle en -verantwoordelikhede, implementering en toetsing van inligtingsekuriteitskontroles, voorvalbestuur, interne oudit en skendingkennisgewing vas.
CPS 234 bepaal dat gereguleerde entiteite inligtingsekuriteitstelsels en -praktyke moet handhaaf wat voldoende is vir die bedreigings wat hulle in die gesig staar.
Finansiële instellings is 'n gewilde teiken vir kuberaanvalle omdat hulle hou persoonlik identifiseerbare inligting (PII) en beskermde gesondheidsinligting (PHI) van Australiese inwoners.
APRA-gereguleerde entiteite moet CPS 234 volg. Die standaard val onder die volgende wette:
CPS 234 dek alle APRA-gereguleerde entiteite, soos:
Entiteite wat hierbo genoem word, hou belangrike persoonlik identifiseerbare inligting en beskermde gesondheidsinligting wat kuberaanvalle tydens 'n aanval sal teiken.
Onder CPS 234 het jy inligtingsekuriteitsvermoëvereistes waaraan jy moet voldoen.
Dit vereis:
Om aan hierdie vereistes te voldoen, hersien gereguleerde entiteite tipies die toereikendheid van hulpbronne, insluitend befondsing en personeelhulpbronne en tydige toegang tot die nodige vaardighede.
Entiteite wat deur APRA gereguleer word, moet 'n inligtingsekuriteitbeleidsraamwerk handhaaf wat hul blootstelling aan kwesbaarhede en bedreigings weerspieël. Die verantwoordelikhede van alle partye wat 'n verpligting het om inligting en datasekuriteit te handhaaf, moet rigting gegee word deur jou organisasie se beleid.
Die raamwerk is tipies gestruktureer as 'n hiërargie met hoërvlakbeleide wat deur riglyne en prosedures ondersteun word.
Daar is baie algemene areas wat in die beleidsraamwerk aangespreek word, soos:
Hierdie raamwerk sal tipies ooreenstem met ander entiteitsraamwerke, soos risikobestuur en diensverskafferbestuur.
Vind uit hoe maklik dit is om jou
voldoening aan APRA-standaarde op ISMS.online
Bespreek jou demo
APRA-gereguleerde entiteite is verplig om inligtingsbates te klassifiseer, insluitend dié wat deur verwante partye en derde partye bestuur word.
Dit sluit infrastruktuur en bykomende stelsels in, soos omgewingsbeheerstelsels en fisiese toegangsbeheerstelsels. Dit sluit ook inligtingsbates in wat deur derde partye of verwante partye bestuur word.
Die verhoudings tussen sensitiewe of kritieke inligtingbates en ander bates wat dalk minder betekenis het, maar wat gebruik kan word om die sekuriteit van daardie bates te skend.
Daarbenewens moet dit die mate weerspieël waartoe inligtingsekuriteitsinsidente die potensiaal het om 'n entiteit of sy kliënte finansieel of andersins te beïnvloed.
Maatskappye moet 'n klassifikasiemetodologie hê om te benoem wat 'n inligtingsbate is om te verseker dat belanghebbendes ingelig en bewus is. Hierdie metode verskaf ook konteks oor granulariteitsoorwegings en hoe bates gegradeer word, afhangende van hul kritiekheid of sensitiwiteit. Let daarop dat bates verskillende graderings vir kritiek en sensitiwiteit gegee kan word.
Dit is algemeen dat entiteite hul bestaande besigheidskontinuïteitsimpakontledings – wat tipies kritiek en ander sensitiewe prosesse assesseer – gebruik om die sensitiwiteitsanalise uit te voer.
Om aan CPS 234 te voldoen, moet APRA-gereguleerde entiteite inligtingsekuriteitskontroles implementeer om hul databates stiptelik te beskerm en in verhouding tot die bedreiging wat hulle in die gesig staar, wat ooreenstem met:
Volgens CPS 234 moet alle APRA-gereguleerde entiteite robuuste meganismes hê om inligtingsekuriteitsvoorvalle so gou moontlik op te spoor en daarop te reageer.
Daar is baie opsporingsmeganismes vir inligtingsekuriteit, insluitend oplossings vir skandering, waarneming, monitering en aanteken. Hierdie sekuriteitskontroles sal meer robuust en meer gevarieerd wees, afhangende van die impak van 'n potensiële sekuriteitsvoorval, wat tipies hierdie breë kategorieë dek:
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
CPS 234 vereis dat gereguleerde entiteite sistematiese toetse op inligtingsekuriteitskontroles uitvoer van 'n aard en frekwensie wat ooreenstem met:
Sekuriteitskontroles moet ten minste jaarliks getoets word of wanneer daar ook al ’n wesenlike verandering in inligtingsbates of die besigheidsomgewing is sodat jy kan weet of dit steeds doeltreffend en geldig is. Om te verseker dat toetse suksesvol is, is dit noodsaaklik om die kriteria vir sukses duidelik te definieer en wanneer hertoetsing nodig sal wees.
Toetsing moet gedoen word deur toepaslik bekwame, onafhanklike spesialiste wat geen botsing van belange het nie en 'n billike evaluering kan gee.
Betroubare inligtingsekuriteitbeheerversekering moet deur vaardige personeel verskaf word. Daarbenewens moet die interne ouditfunksie die inligtingsekuriteitbeheerversekering wat deur verwante of derde partye verskaf word, evalueer in gevalle waar:
As die assessering 'n tekortkoming aan die lig bring of as daar geen versekering is dat aan vereistes voldoen word nie, word die kwessie gewoonlik met die Raad geopper vir oorweging.
APRA moet so gou moontlik ingelig word en nie later nie as 72 uur nadat die entiteit bewus gemaak is van 'n veiligheidsvoorval.
Dit is voorvalle wat:
Wanneer hulle APRA in kennis stel, verwag hulle dat inligting verskaf sal word, soos:
APRA moet so gou moontlik ingelig word en nie later nie as tien werksdae nadat jy bewus geword het van 'n inligtingsekuriteitbeheerswakheid wat die maatskappy nie betyds kan regmaak nie.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Een sleutelverskil tussen die twee standaarde is hoe dit toegepas word. Organisasies wat ISO 27001-sertifisering behaal, moet hul sertifisering elke drie jaar hernu, met gereelde toesigoudits gedurende hierdie tydperk. CPS 234 het nie 'n sertifikaat nie; in plaas daarvan het APRA baie formele en informele handhawingsinstrumente.
Nie-formele benaderings sluit in om met maatskappye te werk om probleme te identifiseer en aan te spreek voordat hulle hul vermoë bedreig om hul beloftes na te kom.
Nietemin is APRA bereid om afdwingingsaksies te neem wanneer toepaslik – dit kan hofgebaseerde optrede insluit of die opdrag van maatskappye om spesifieke stappe te neem of te stop.
Terwyl ISO 27001 wêreldwyd erken word, het APRA die CPS 234-standaard geskep om te voldoen aan die groeiende behoefte aan kuberveiligheid onder entiteite wat in die finansiëledienstebedryf voorkom. ISO 27001 is 'n baie meer omvattende inligtingsekuriteitstandaard, en dit is van toepassing op besighede in verskeie sektore, ongeag hul grootte, tipe of ligging.
CPS 234 is geskep om in harmonie met ISO/IEC 27001 te werk, met vereistes wat in lyn is met klousules en sekuriteitskontroles uiteengesit in ISO 27001. Beide standaarde is ontwerp om 'n organisasie se inligtingsekuriteit te bevorder. Enige besigheid of organisasie wat ISO 27001 geakkrediteer is, behoort makliker aan CPS 234 vereistes te voldoen.
Soos u kan sien, is daar baie om te doen om nakoming te verseker. Die mees hanteerbare vereiste om na te kom, is om te verseker dat alle kubersekuriteitspersoneel duidelik omskrewe, geartikuleer en verantwoordelikhede regoor die organisasie het.
Een van die grootste uitdagings vir CPS 234-nakoming kan moontlik 'n gebrek aan riglyne en praktiese toepassing wees wanneer dit by derde partye kom.
Ons platform kom met verskeie voorafgeboude raamwerke wat jy kan aanneem, aanpas of byvoeg, afhangende van jou organisasie se unieke behoeftes. Of jy kan maklik jou eie bou vir pasgemaakte voldoeningsprojekte.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo