从新财政年度开始,受澳大利亚审慎监管局(APRA)监管的金融机构将在其下面点火,以更加认真地对待网络安全。
新指令是通过APRA的CPS-234信息安全标准[PDF],并要求APRA监管实体的董事会最终负责确保该实体维护其信息安全。
“该审慎标准旨在确保APRA监管的实体采取措施,通过维护与信息安全漏洞和威胁相称的信息安全能力来抵御信息安全事件(包括网络攻击),”标准解释说。
根据新指令,APRA监管的实体必须明确界定董事会,高级管理层,理事机构和个人的信息安全相关角色和职责。
他们还必须保存和维护一份日志,详细说明其信息资产受到威胁的大小和程度,并实施控制措施以保护其信息资产日志,并对“这些控制措施的有效性进行系统测试和保证”。
此外,该实体必须通知APRA“重大”信息安全事件。
APRA监管的实体必须尽快通知APRA,并且在任何情况下,在发现信息安全事件后不迟于72小时通知APRA。
构成事件的原因是,如果它对实体或存款人,保单持有人,受益人或其他客户的利益产生重大影响,或有可能在财务上或非财务上产生重大影响; 或已通知澳大利亚或其他司法管辖区的其他监管机构。
此外,受APRA监管的实体必须尽快通知APRA,并且在任何情况下,在其发现实体预期无法在其中修复的重大信息安全控制弱点后的10个工作日内通知APRA。及时。
“APRA监管实体的董事会最终负责实体的信息安全。董事会必须确保该实体以与其信息资产受到威胁的规模和程度相称的方式维护信息安全,并使该实体继续稳健运营,“APRA说。
根据新标准,APRA监管的实体必须按照关键性和敏感性对其信息资产进行分类,包括由关联方和第三方管理的信息资产。
“如果信息资产由关联方或第三方管理,APRA监管的实体必须评估该方的信息安全能力,与影响这些资产的信息安全事件的潜在后果相称,”监管机构补充说。
该标准是根据1959年 “ 银行法”第11AF 节,1973年 “ 保险法”第32 节,“1995年人寿保险法”第230A 条,“2015年私人医疗保险(审慎监督)法”第92条和退休金第34C条制定的。1993年工业(监督)法案(SIS)。
因此,它适用于所有APRA监管的实体,定义的授权存款机构(ADI),包括外国ADI,以及根据“银行法”授权的非经营控股公司; 一般保险公司,根据“保险法”授权的非经营性控股公司,以及二级保险集团的母公司; 寿险公司,包括友好协会,符合条件的外国人寿保险公司,以及根据“人寿保险法”注册的非经营性控股公司; 根据PHIPS法案注册的私营医疗保险公司; 根据SIS法案和RSE许可证持有人的业务运营。
另见: 建立和推进领导职业生涯的提示(免费PDF) (TechRepublic)
Tenable ANZ国家经理Bede Hackney在接受ZDNet采访时表示,新标准是一种适当的机制,可以让澳大利亚的金融机构了解他们所面临的威胁。
“对银行业网络安全的关注和关注当然受到欢迎,”他说。“银行已成为寻求将其努力货币化的不良行为者的一个有吸引力的目标。而且越来越多的物联网设备,公共云服务和短暂应用正在迅速扩大攻击面。
“重要的是,各地的监管机构,董事会,高管和组织继续优先考虑现在和未来的网络安全。”
新的授权巩固了网络安全是董事会层面问题的想法,但这也意味着董事会需要围绕一个新的技术领域。
“在网络事件发生后,董事会将承担责任,因此,了解组织的暴露程度以及他们在多大程度上实施有效的补救流程非常重要,”哈克尼继续说道。
“然而,并非所有高管都精通IT安全术语。首席信息安全官及其安全团队必须清楚地传达组织在业务方面的安全态势,为董事会和其他高管提供可行的洞察力,帮助他们最好地降低风险。协作和参与是关键。“
