CPS 234 Voldoeningsoplossing

Verpligte inligtingsekuriteitsregulasie

Koppel Australië se verpligte finansiële regulasie met ISO 27001

Bespreek 'n demo

gefokus, groep, divers, werk, kollegas, 'n, vergadering, saam

CPS 234 is 'n inligtingsekuriteitsregulasie wat deur die Australian Prudential Regulation Authority (APRA) uitgereik is. vir versekering en finansiële organisasies om teen kuberaanvalle te beskerm.

Wat is APRA?

Die Australian Prudential Regulation Authority (APRA) is in 1998 deur die Australiese regering gestig.

APRA hou toesig oor private gesondheidsversekeraars, algemene en lewensversekeraars, pensioenfondse, vriendelike verenigings, herversekeringsmaatskappye en finansiële instellings wat gemagtig is om deposito's te neem soos bouverenigings, banke en krediet-unies.

Wat is CPS 234?

CPS 234 is 'n inligtingsekuriteitsregulasie wat die eerste keer deur APRA op 1 Julie 2019 uitgereik is. Die regulasie is ontwerp om organisasies te help om hulself en hul kliënte teen kuberaanvalle te beskerm deur hul inligtingsekuriteitsraamwerk te versterk.

CPS 234 stel vereistes ten opsigte van inligtingsbate-identifikasie en -klassifikasie, inligtingsekuriteitsrolle en -verantwoordelikhede, implementering en toetsing van inligtingsekuriteitskontroles, voorvalbestuur, interne oudit en skendingkennisgewing vas.

Waarom is APRA CPS 234 belangrik vir besighede?

CPS 234 bepaal dat gereguleerde entiteite inligtingsekuriteitstelsels en -praktyke moet handhaaf wat voldoende is vir die bedreigings wat hulle in die gesig staar.

Finansiële instellings is 'n gewilde teiken vir kuberaanvalle omdat hulle hou persoonlik identifiseerbare inligting (PII) en beskermde gesondheidsinligting (PHI) van Australiese inwoners.

APRA-gereguleerde entiteite moet CPS 234 volg. Die standaard val onder die volgende wette:

  • Die Bankwet – 1959
  • Die Versekeringswet – 1973
  • Die Wet op Lewensversekering – 1995
  • Wet op Omsigtigheidstoesig op Privaat Gesondheidsversekering – 2015 (PHIPS)
  • Die Wet op Toesig op die Superannuasiebedryf – 1993 (SIS)
Spring na Onderwerp

Vind uit hoe maklik dit is

Voldoen aan APRA-standaarde deur ISMS.online te gebruik
Bespreek 'n demo

Wie moet aan CPS 234 voldoen?

CPS 234 dek alle APRA-gereguleerde entiteite, soos:

  • Banke, krediet-unies en ander gemagtigde deposito-instellings (ADI's)
  • Lewensversekeringsmaatskappye
  • Superannuasiefondse
  • Algemene versekeraars
  • Vriendelike samelewings
  • Privaat gesondheidsversekeraars
  • Nie-bedryfsbeheermaatskappye

Entiteite wat hierbo genoem word, hou belangrike persoonlik identifiseerbare inligting en beskermde gesondheidsinligting wat kuberaanvalle tydens 'n aanval sal teiken.

CPS 234 se inligtingsekuriteitsvermoëvereistes

Onder CPS 234 het jy inligtingsekuriteitsvermoëvereistes waaraan jy moet voldoen.

Dit vereis:

  • Jou organisasie handhaaf 'n inligtingsekuriteitsvermoë wat ooreenstem met jou inligtingbates se grootte en omvang van bedreigings

  • Evalueer die inligtingsekuriteitsvermoëns van verwante entiteite of derde partye wat inligtingsbates namens die organisasie bestuur

  • Maak seker jou organisasie behou sy inligtingsekuriteitsvermoë en dateer kwesbaarhede en bedreigings op wat voortspruit uit veranderinge aan bates of omgewing

Om aan hierdie vereistes te voldoen, hersien gereguleerde entiteite tipies die toereikendheid van hulpbronne, insluitend befondsing en personeelhulpbronne en tydige toegang tot die nodige vaardighede.

CPS 234 se inligtingsekuriteitsbeleidvereistes

Entiteite wat deur APRA gereguleer word, moet 'n inligtingsekuriteitbeleidsraamwerk handhaaf wat hul blootstelling aan kwesbaarhede en bedreigings weerspieël. Die verantwoordelikhede van alle partye wat 'n verpligting het om inligting en datasekuriteit te handhaaf, moet rigting gegee word deur jou organisasie se beleid.

Die raamwerk is tipies gestruktureer as 'n hiërargie met hoërvlakbeleide wat deur riglyne en prosedures ondersteun word.

Daar is baie algemene areas wat in die beleidsraamwerk aangespreek word, soos:

  • Identifikasie, magtiging en toekenning van toegang tot databates

  • Inligtingsekuriteitsvereistes moet in elke stadium in die lewensiklus van 'n bate in ag geneem word (van verkryging tot ontmanteling en vernietiging)

  • Die bestuur van inligtingsekuriteitstegnologie, insluitend brandmure, teen-wanware sagteware, indringing opsporing, indringing voorkoming sagteware, kriptografiese stelsels en monitering gereedskap

  • 'n Oorkoepelende inligtingsekuriteitargitektuur word ontwerp deur die benadering vir die skep van jou IT-omgewing vanuit 'n sekuriteitsperspektief te identifiseer

  • Monitering en insidentbestuur behels die identifisering, klassifikasie, rapportering en eskalering van insidente. Dit sluit ook die bewaring van bewyse vir ondersoekdoeleindes in

  • Verwagtinge wanneer derde partye en verwante partye gebruik word om inligtingsekuriteit te handhaaf

  • Aanvaarbare gebruik van inligtingsbates wat aan eindgebruikerverantwoordelikhede voldoen, insluitend personeellede, derde partye, geassosieerdes en kliënte

  • Werwing en keuring van personeellede en kontrakteurs

  • Meganismes om nakoming en die deurlopende doeltreffendheid van die inligtingsekuriteitbeleidraamwerk te assesseer en te meet

Hierdie raamwerk sal tipies ooreenstem met ander entiteitsraamwerke, soos risikobestuur en diensverskafferbestuur.

Ontdek hoe ons help

Vind uit hoe maklik dit is om jou
voldoening aan APRA-standaarde op ISMS.online
Bespreek jou demo

Ons is koste-effektief en vinnig

Ontdek hoe dit jou ROI sal verhoog
Kry jou kwotasie

CPS 234 se inligtingsbate-identifikasie en -klassifikasievereistes

APRA-gereguleerde entiteite is verplig om inligtingsbates te klassifiseer, insluitend dié wat deur verwante partye en derde partye bestuur word.

Dit sluit infrastruktuur en bykomende stelsels in, soos omgewingsbeheerstelsels en fisiese toegangsbeheerstelsels. Dit sluit ook inligtingsbates in wat deur derde partye of verwante partye bestuur word.

Die verhoudings tussen sensitiewe of kritieke inligtingbates en ander bates wat dalk minder betekenis het, maar wat gebruik kan word om die sekuriteit van daardie bates te skend.

Daarbenewens moet dit die mate weerspieël waartoe inligtingsekuriteitsinsidente die potensiaal het om 'n entiteit of sy kliënte finansieel of andersins te beïnvloed.

Maatskappye moet 'n klassifikasiemetodologie hê om te benoem wat 'n inligtingsbate is om te verseker dat belanghebbendes ingelig en bewus is. Hierdie metode verskaf ook konteks oor granulariteitsoorwegings en hoe bates gegradeer word, afhangende van hul kritiekheid of sensitiwiteit. Let daarop dat bates verskillende graderings vir kritiek en sensitiwiteit gegee kan word.

Dit is algemeen dat entiteite hul bestaande besigheidskontinuïteitsimpakontledings – wat tipies kritiek en ander sensitiewe prosesse assesseer – gebruik om die sensitiwiteitsanalise uit te voer.

CPS 234 se inligtingsekuriteitsbeheervereistes

Om aan CPS 234 te voldoen, moet APRA-gereguleerde entiteite inligtingsekuriteitskontroles implementeer om hul databates stiptelik te beskerm en in verhouding tot die bedreiging wat hulle in die gesig staar, wat ooreenstem met:

  • Identifiseer bestaande en toenemende kwesbaarhede en bedreigings wat van kritieke belang kan wees vir noodsaaklike databates

  • Die lewensiklusstadium van 'n inligtingsbate

  • Die potensiële gevolge van 'n datasekuriteitsvoorval

Wat is CPS 234 se insidentbestuurvereistes?

Volgens CPS 234 moet alle APRA-gereguleerde entiteite robuuste meganismes hê om inligtingsekuriteitsvoorvalle so gou moontlik op te spoor en daarop te reageer.

Daar is baie opsporingsmeganismes vir inligtingsekuriteit, insluitend oplossings vir skandering, waarneming, monitering en aanteken. Hierdie sekuriteitskontroles sal meer robuust en meer gevarieerd wees, afhangende van die impak van 'n potensiële sekuriteitsvoorval, wat tipies hierdie breë kategorieë dek:

  • Fisiese hardeware
  • Hoërvlakaktiwiteite soos betalings
  • Veranderinge aan gebruikerstoegang

Sien ons platform
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

Wat is CPS 234 se beheertoetsvereistes?

CPS 234 vereis dat gereguleerde entiteite sistematiese toetse op inligtingsekuriteitskontroles uitvoer van 'n aard en frekwensie wat ooreenstem met:

  • Die tempo waarteen nuwe kwesbaarhede en bedreigings ontstaan

  • Die risiko's verbonde aan blootstelling aan omgewings waar die entiteit nie sy inligtingsekuriteitsbeleid kan afdwing nie

  • Die belangrikheid en sensitiwiteit van die inligtingsbate(s)

  • Die gevolge van 'n datasekuriteitsvoorval

  • Die belangrikheid en frekwensie van veranderinge aan inligtingsbates

Sekuriteitskontroles moet ten minste jaarliks ​​getoets word of wanneer daar ook al ’n wesenlike verandering in inligtingsbates of die besigheidsomgewing is sodat jy kan weet of dit steeds doeltreffend en geldig is. Om te verseker dat toetse suksesvol is, is dit noodsaaklik om die kriteria vir sukses duidelik te definieer en wanneer hertoetsing nodig sal wees.

Toetsing moet gedoen word deur toepaslik bekwame, onafhanklike spesialiste wat geen botsing van belange het nie en 'n billike evaluering kan gee.

Wat is CPS 234 se interne ouditvereistes?

Betroubare inligtingsekuriteitbeheerversekering moet deur vaardige personeel verskaf word. Daarbenewens moet die interne ouditfunksie die inligtingsekuriteitbeheerversekering wat deur verwante of derde partye verskaf word, evalueer in gevalle waar:

  • 'n Inligtingsekuriteitsvoorval wat 'n entiteit se inligtingsbates raak, kan 'n langtermyn finansiële impak hê en die vermoë om kliënte te benadeel

  • Interne oudits beoog om staat te maak op die inligtingsekuriteitbeheerversekering wat deur die verwante party of derde party verskaf word

As die assessering 'n tekortkoming aan die lig bring of as daar geen versekering is dat aan vereistes voldoen word nie, word die kwessie gewoonlik met die Raad geopper vir oorweging.

Wanneer moet APRA in kennis gestel word onder CPS 234?

APRA moet so gou moontlik ingelig word en nie later nie as 72 uur nadat die entiteit bewus gemaak is van 'n veiligheidsvoorval.

Dit is voorvalle wat:

  1. Kon 'n wesenlike impak gehad het op of kon die belange van deposante, polishouers, begunstigdes en ander kliënte finansieel of nie-finansieel aansienlik beïnvloed het

  2. Het ander reguleerders in Australië of ander jurisdiksies ingelig

Wanneer hulle APRA in kennis stel, verwag hulle dat inligting verskaf sal word, soos:

  • Naam van gereguleerde entiteit

  • Datum en tyd van die voorval

  • Toe die voorval as wesenlik beoordeel is

  • Tipe voorval

  • Beskrywing van die voorval

  • Wat die huidige status is

  • Aksies geneem of beplan

APRA moet so gou moontlik ingelig word en nie later nie as tien werksdae nadat jy bewus geword het van 'n inligtingsekuriteitbeheerswakheid wat die maatskappy nie betyds kan regmaak nie.

Kyk hoe ons jou kan help

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

Watter verskille is daar tussen CPS 234 en ISO 27001?

Een sleutelverskil tussen die twee standaarde is hoe dit toegepas word. Organisasies wat ISO 27001-sertifisering behaal, moet hul sertifisering elke drie jaar hernu, met gereelde toesigoudits gedurende hierdie tydperk. CPS 234 het nie 'n sertifikaat nie; in plaas daarvan het APRA baie formele en informele handhawingsinstrumente.

Nie-formele benaderings sluit in om met maatskappye te werk om probleme te identifiseer en aan te spreek voordat hulle hul vermoë bedreig om hul beloftes na te kom.

Nietemin is APRA bereid om afdwingingsaksies te neem wanneer toepaslik – dit kan hofgebaseerde optrede insluit of die opdrag van maatskappye om spesifieke stappe te neem of te stop.

Terwyl ISO 27001 wêreldwyd erken word, het APRA die CPS 234-standaard geskep om te voldoen aan die groeiende behoefte aan kuberveiligheid onder entiteite wat in die finansiëledienstebedryf voorkom. ISO 27001 is 'n baie meer omvattende inligtingsekuriteitstandaard, en dit is van toepassing op besighede in verskeie sektore, ongeag hul grootte, tipe of ligging.

CPS 234 is geskep om in harmonie met ISO/IEC 27001 te werk, met vereistes wat in lyn is met klousules en sekuriteitskontroles uiteengesit in ISO 27001. Beide standaarde is ontwerp om 'n organisasie se inligtingsekuriteit te bevorder. Enige besigheid of organisasie wat ISO 27001 geakkrediteer is, behoort makliker aan CPS 234 vereistes te voldoen.

Hoe kan maatskappye voorberei word vir oudits van CPS 234?

Soos u kan sien, is daar baie om te doen om nakoming te verseker. Die mees hanteerbare vereiste om na te kom, is om te verseker dat alle kubersekuriteitspersoneel duidelik omskrewe, geartikuleer en verantwoordelikhede regoor die organisasie het.

Een van die grootste uitdagings vir CPS 234-nakoming kan moontlik 'n gebrek aan riglyne en praktiese toepassing wees wanneer dit by derde partye kom.

Hoe ISMS.online Help

Ons platform kom met verskeie voorafgeboude raamwerke wat jy kan aanneem, aanpas of byvoeg, afhangende van jou organisasie se unieke behoeftes. Of jy kan maklik jou eie bou vir pasgemaakte voldoeningsprojekte.

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Bou die besigheidsaak vir 'n ISMS
Kry jou gratis gids

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind