Yhdistä Australian pakollinen rahoitusasetus ISO 27001 -standardiin
CPS 234 on Australian Prudential Regulation Authorityn (APRA) antama tietoturvamääräys. vakuutus- ja rahoitusorganisaatioille suojaamaan kyberhyökkäyksiä vastaan.
- Australian Prudential Regulation Authority (APRA) Australian hallitus perusti sen vuonna 1998.
APRA valvoo yksityisiä sairausvakuutusyhtiöitä, yleis- ja henkivakuutusyhtiöitä, vanhuuseläkerahastoja, ystävyysseuroja, jälleenvakuutusyhtiöitä ja rahoituslaitoksia, jotka ovat valtuutettuja ottamaan vastaan talletuksia, kuten rakennusyhtiöitä, pankkeja ja luottoyhtiöitä.
CPS 234 on tietoturva-asetus, jonka APRA julkaisi ensimmäisen kerran 1. Säännös on suunniteltu auttamaan organisaatioita suojaamaan itseään ja asiakkaitaan kyberhyökkäyksiltä vahvistamalla tietoturvakehystään.
CPS 234 määrittää vaatimukset tietoresurssien tunnistamisesta ja luokittelusta, tietoturvarooleista ja -vastuista, tietoturvaohjauksen toteuttamisesta ja testauksesta, tapausten hallinnasta, sisäisestä tarkastuksesta ja tietoturvaloukkauksista ilmoittamisesta.
CPS 234 edellyttää, että säänneltyjen yksiköiden on ylläpidettävä tietoturvajärjestelmiä ja -käytäntöjä, jotka ovat riittäviä niiden kohtaamia uhkia varten.
Rahoituslaitokset ovat suosittuja kyberhyökkäyksiä, koska ne pitävät sisällään henkilökohtaisesti tunnistettavat tiedot (PII) ja suojattu terveystieto (PHI) Australian asukkaista.
APRA:n säänneltyjen yksiköiden on noudatettava CPS 234:ää. Standardi kuuluu seuraavien lakien piiriin:
CPS 234 kattaa kaikki APRA:n säännellyt yhteisöt, kuten:
Yllä mainituilla yksiköillä on tärkeitä henkilökohtaisia tunnistetietoja ja suojattuja terveystietoja, joihin kyberhyökkäykset kohdistuvat hyökkäyksen aikana.
CPS 234:ssä sinulla on tietoturvaominaisuuksia koskevia vaatimuksia, jotka sinun on täytettävä.
Tämä edellyttää:
Täyttääkseen nämä vaatimukset säännellyt yhteisöt tarkastelevat yleensä resurssien riittävyyttä, mukaan lukien rahoitus- ja henkilöstöresurssit sekä tarvittavien taitojen oikea-aikainen saatavuus.
APRA:n sääntelemien tahojen on ylläpidettävä tietoturvapolitiikkaa, joka kuvastaa niiden altistumista haavoittuvuuksille ja uhille. Kaikkien tieto- ja tietoturvan ylläpitovelvollisten osapuolten vastuut tulee ohjata organisaatiosi politiikassa.
Viitekehys on tyypillisesti rakennettu hierarkiaksi, jossa on korkeamman tason politiikkaa, jota tukevat ohjeet ja menettelyt.
Politiikkakehyksessä käsitellään monia yhteisiä alueita, kuten:
Tämä viitekehys olisi tyypillisesti yhdenmukainen muiden kokonaisuuskehysten, kuten riskienhallinnan ja palveluntarjoajien hallinnan, kanssa.
Ota selvää, kuinka helppoa sinun on hallita
APRA-standardien noudattaminen ISMS.onlinessa
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
APRA:n säännellyillä yhteisöillä on velvollisuus luokitella tietovarat, mukaan lukien lähipiirin ja kolmansien osapuolten hallinnoimat tietovarat.
Tämä sisältää infrastruktuurin ja oheisjärjestelmät, kuten ympäristönvalvontajärjestelmät ja fyysiset kulunvalvontajärjestelmät. Se kattaa myös kolmansien osapuolten tai lähipiiriin kuuluvien osapuolten hallinnoimat tietovarat.
Arkaluonteisten tai kriittisten tietoresurssien ja muiden resurssien väliset suhteet, joilla voi olla vähemmän merkitystä, mutta joita voidaan käyttää näiden resurssien turvallisuuden loukkaamiseen.
Lisäksi tämän tulee kuvastaa sitä, missä määrin tietoturvaloukkaukset voivat vaikuttaa – taloudellisesti tai muuten – yhteisöön tai sen asiakkaisiin.
Yrityksillä on oltava luokittelumenetelmät sen merkitsemiseksi, mikä on tietovaraa, jotta sidosryhmät ovat perillä ja tietoisia. Tämä menetelmä tarjoaa myös kontekstin tarkkuutta koskeviin näkökohtiin ja siihen, miten resurssit luokitellaan niiden kriittisyyden tai herkkyyden mukaan. Huomaa, että omaisuudelle voidaan antaa eri luokituksia kriittisyyden ja herkkyyden suhteen.
On tavallista, että yhteisöt käyttävät olemassa olevia liiketoiminnan jatkuvuuden vaikutusanalyysejaan – jotka tyypillisesti arvioivat kriittisyyttä ja muita herkkiä prosesseja – herkkyysanalyysin tekemiseen.
CPS 234:n noudattamiseksi APRA:n säänneltyjen yksiköiden on otettava käyttöön tietoturvavalvontatoimenpiteitä suojatakseen tietoomaisuutensa nopeasti ja oikeasuhteisesti niiden kohtaamaan uhkaan, mikä vastaa:
CPS 234:n mukaan kaikilla APRA:n säännellyillä yksiköillä on oltava vankat mekanismit tietoturvaloukkausten havaitsemiseksi ja niihin reagoimiseksi mahdollisimman pian.
Tietoturvaan on olemassa monia tunnistusmekanismeja, mukaan lukien skannaus-, tunnistus-, valvonta- ja lokiratkaisut. Nämä turvatarkastukset ovat vankempia ja monipuolisempia mahdollisen tietoturvavälikohtauksen vaikutuksista riippuen, ja ne kattavat tyypillisesti seuraavat laajat luokat:
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
CPS 234 edellyttää säänneltyjen yksiköiden suorittavan järjestelmällistä testausta tietoturvaohjauksille, joiden luonne ja tiheys vastaavat:
Turvavalvontatoimenpiteet on testattava vähintään kerran vuodessa tai aina, kun tietovaroissa tai liiketoimintaympäristössä tapahtuu olennainen muutos, jotta voit tietää, ovatko ne edelleen tehokkaita ja voimassa. Testien onnistumisen varmistamiseksi on tärkeää määritellä selkeästi onnistumisen kriteerit ja milloin uusintatestaus on tarpeen.
Testauksen tulee tehdä asianmukaisesti koulutettujen, riippumattomien asiantuntijoiden toimesta, joilla ei ole eturistiriitoja ja jotka voivat antaa oikeudenmukaisen arvion.
Luotettava tietoturvan valvonta on varmistettava ammattitaitoisen henkilöstön toimesta. Lisäksi sisäisen tarkastuksen on arvioitava lähipiirin tai kolmansien osapuolien antamaa tietoturvallisuuden valvontatakuuta tapauksissa, joissa:
Jos arvioinnissa ilmenee puutteita tai jos vaatimusten täyttämisestä ei ole varmuutta, asia viedään yleisesti hallituksen käsiteltäväksi.
APRA:lle on ilmoitettava mahdollisimman pian ja viimeistään 72 tunnin kuluessa siitä, kun yhteisö on saanut tietoonsa turvallisuushäiriöstä.
Nämä ovat tapahtumia, jotka:
Ilmoittaessaan APRA:lle he odottavat, että toimitetaan tietoja, kuten:
APRA:lle tulee ilmoittaa mahdollisimman pian ja viimeistään kymmenen arkipäivän kuluttua tietoturvan hallinnan puutteesta, jota yritys ei pysty korjaamaan ajoissa.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Yksi keskeinen ero näiden kahden standardin välillä on se, miten ne pannaan täytäntöön. ISO 27001 -sertifikaatin saaneiden organisaatioiden on uusittava sertifiointinsa kolmen vuoden välein ja säännöllisiä valvontaauditointeja tänä aikana. CPS 234:llä ei ole sertifikaattia; Sen sijaan APRAlla on monia virallisia ja epävirallisia täytäntöönpanovälineitä.
Epävirallisiin lähestymistapoihin kuuluu työskentely yritysten kanssa ongelmien tunnistamiseksi ja ratkaisemiseksi ennen kuin ne uhkaavat niiden kykyä lunastaa lupauksensa.
Siitä huolimatta APRA on valmis ryhtymään täytäntöönpanotoimiin, kun se on tarkoituksenmukaista – tämä voi sisältää oikeudenkäynnin tai yritysten ohjeistamisen ryhtymään tai lopettamaan tiettyjä toimia.
Vaikka ISO 27001 on maailmanlaajuisesti tunnustettu, APRA loi CPS 234 -standardin vastatakseen kasvavaan kyberturvallisuuden tarpeeseen rahoituspalvelualan toimijoiden keskuudessa. ISO 27001 on paljon kattavampi tietoturvastandardi, ja se koskee eri alojen yrityksiä niiden koosta, tyypistä tai sijainnista riippumatta.
CPS 234 luotiin toimimaan sopusoinnussa ISO/IEC 27001 -standardin kanssa, ja vaatimukset on kohdistettu ISO 27001 -standardin lausekkeisiin ja turvatoimiin. Molemmat standardit on suunniteltu parantamaan organisaation tietoturvaa. Jokaisen yrityksen tai organisaation, jolla on ISO 27001 -akkreditointi, pitäisi olla helpompi täyttää CPS 234 -vaatimukset.
Kuten näet, on paljon tehtävää noudattamisen varmistamiseksi. Hallittavin vaatimus täytettävänä on varmistaa, että kaikilla kyberturvallisuushenkilöstöllä on selkeästi määritellyt, jäsennellyt ja kommunikoidut vastuut koko organisaatiossa.
Yksi CPS 234 -yhteensopivuuden suurimmista haasteista voi mahdollisesti olla ohjeiden ja käytännön soveltamisen puute kolmansien osapuolten osalta.
Alustamme sisältää erilaisia valmiita puitteita, joita voit ottaa käyttöön, mukauttaa tai lisätä organisaatiosi ainutlaatuisten tarpeiden mukaan. Tai voit helposti rakentaa oman räätälöityjä vaatimustenmukaisuusprojekteja varten.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi