从新财年开始,受澳大利亚审慎监管局(APRA)监管的金融机构将在其下点火,更加认真地对待网络安全。
新指令将采用APRA的CPS-234信息安全标准[PDF],并要求APRA监管实体的董事会最终负责确保该实体维护其信息安全。
“这一审慎标准旨在确保APRA监管的实体采取措施,通过保持与信息安全漏洞和威胁相称的信息安全能力来防御信息安全事件(包括网络攻击),”该标准解释道。
根据新指令,APRA监管的实体必须明确定义董事会、高级管理层、管理机构和个人在信息安全方面的角色和职责。
他们还必须保存和维护一份日志,详细说明其信息资产所受威胁的规模和程度,并实施控制措施来保护其信息资产日志,以及“系统地测试和保证这些控制措施的有效性”。
此外,该实体必须将“重大”信息安全事件通知APRA。
受APRA监管的实体必须尽快通知APRA,并且在任何情况下,在发现信息安全事件后不迟于72小时通知APRA。
事件的原因是,如果对实体或存款人、保单持有人、受益人或其他客户的利益有重大影响,或可能有重大财务或非财务影响;或者通知澳大利亚或其他司法管辖区的其他监管机构。
此外,受APRA监管的实体必须尽快通知APRA,并且在任何情况下,在APRA发现该实体无法修复的重大信息安全控制缺陷后的10个工作日内通知APRA。及时。
“APRA监管实体的董事会最终负责实体的信息安全。董事会必须确保该实体以与其信息资产面临的威胁的规模和程度相称的方式维护信息安全,并使该实体继续稳定运营,”APRA说。
根据新标准,APRA监管的实体必须根据关键程度和敏感性对其信息资产进行分类,包括由关联方和第三方管理的信息资产。
“如果信息资产由关联方或第三方管理,APRA监管的实体必须评估该方的信息安全能力,与影响这些资产的信息安全事件的潜在后果相称,”该监管机构补充说。
本标准根据1959年银行法第11AF节、1973年保险法第32节、1995年人寿保险法第230A条、2015年私人医疗保险(审慎监管)法第92条和养老基金第34C条制定。1993年工业(监督)法。
因此,它适用于所有受APRA监管的实体、规定的授权存款机构(ADI),包括外国ADI,以及根据银行法授权的非运营控股公司;一般保险公司、保险法授权的非经营性控股公司、二级保险集团母公司;人寿保险公司,包括友好协会、符合条件的外国人寿保险公司和根据《人寿保险法》注册的非经营性控股公司;根据PHIPS法案注册的私营医疗保险公司;根据SIS法案和RSE持证人的业务操作。
标签:
免责声明:本文由用户上传,如有侵权请联系删除!