Verbinden Sie Australiens verbindliche Finanzvorschriften mit ISO 27001
CPS 234 ist eine Informationssicherheitsverordnung, die von der Australian Prudential Regulation Authority (APRA) herausgegeben wird. für Versicherungs- und Finanzorganisationen zum Schutz vor Cyberangriffen.
Das Australische Aufsichtsbehörde (APRA) wurde 1998 von der australischen Regierung gegründet.
APRA beaufsichtigt private Krankenversicherer, allgemeine und Lebensversicherer, Altersvorsorgefonds, befreundete Gesellschaften, Rückversicherungsunternehmen und Finanzinstitute, die zur Entgegennahme von Einlagen berechtigt sind, wie Bausparkassen, Banken und Kreditgenossenschaften.
CPS 234 ist eine Informationssicherheitsverordnung, die erstmals am 1. Juli 2019 von der APRA herausgegeben wurde. Die Verordnung soll Unternehmen dabei helfen, sich und ihre Kunden vor Cyberangriffen zu schützen, indem sie ihr Informationssicherheitsrahmenwerk stärken.
CPS 234 legt Anforderungen zur Identifizierung und Klassifizierung von Informationsressourcen, zu Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit, zur Implementierung und Prüfung von Informationssicherheitskontrollen, zum Vorfallmanagement, zur internen Revision und zur Meldung von Verstößen fest.
CPS 234 legt fest, dass regulierte Unternehmen Informationssicherheitssysteme und -praktiken unterhalten müssen, die den Bedrohungen, denen sie ausgesetzt sind, angemessen sind.
Finanzinstitute sind ein beliebtes Ziel für Cyber-Angriffe, weil sie halten personenbezogene Daten (PII) und geschützte Gesundheitsinformationen (PHI) der australischen Einwohner.
APRA-regulierte Unternehmen müssen CPS 234 befolgen. Der Standard unterliegt den folgenden Gesetzen:
CPS 234 deckt alle APRA-regulierten Unternehmen ab, wie zum Beispiel:
Die oben genannten Unternehmen verfügen über wichtige persönlich identifizierbare Informationen und geschützte Gesundheitsinformationen, auf die Cyberangriffe bei einem Angriff abzielen würden.
Gemäß CPS 234 haben Sie Anforderungen an die Informationssicherheitsfähigkeit, die Sie erfüllen müssen.
Dafür braucht man:
Um diese Anforderungen zu erfüllen, überprüfen regulierte Unternehmen in der Regel die Angemessenheit der Ressourcen, einschließlich der Finanzierungs- und Personalressourcen und des rechtzeitigen Zugangs zu den erforderlichen Fähigkeiten.
Von der APRA regulierte Unternehmen müssen einen Rahmen für Informationssicherheitsrichtlinien einhalten, der ihre Gefährdung durch Schwachstellen und Bedrohungen widerspiegelt. Die Verantwortlichkeiten aller Parteien, die zur Aufrechterhaltung der Informations- und Datensicherheit verpflichtet sind, sollten in den Richtlinien Ihrer Organisation festgelegt werden.
Das Framework ist typischerweise als Hierarchie mit übergeordneten Richtlinien strukturiert, die durch Richtlinien und Verfahren unterstützt werden.
Es gibt viele gemeinsame Bereiche, die im politischen Rahmen angesprochen werden, wie zum Beispiel:
Dieses Rahmenwerk würde in der Regel mit anderen Unternehmensrahmenwerken wie Risikomanagement und Dienstanbietermanagement konsistent sein.
Finden Sie heraus, wie einfach es ist, Ihre zu verwalten
Einhaltung der APRA-Standards auf ISMS.online
Buchen Sie Ihre Demo
Wir sind kostengünstig und schnell
APRA-regulierte Unternehmen sind verpflichtet, Informationsbestände zu klassifizieren, einschließlich derjenigen, die von verbundenen Parteien und Dritten verwaltet werden.
Dazu gehören Infrastruktur- und Nebensysteme wie Umgebungskontrollsysteme und physische Zugangskontrollsysteme. Es umfasst auch Informationsbestände, die von Dritten oder verbundenen Parteien verwaltet werden.
Die Beziehungen zwischen sensiblen oder kritischen Informationsressourcen und anderen Vermögenswerten, die möglicherweise von geringerer Bedeutung sind, aber zur Verletzung der Sicherheit dieser Vermögenswerte genutzt werden können.
Darüber hinaus sollte dies das Ausmaß widerspiegeln, in dem Informationssicherheitsvorfälle potenziell finanzielle oder sonstige Auswirkungen auf ein Unternehmen oder seine Kunden haben können.
Unternehmen müssen über eine Klassifizierungsmethode verfügen, um zu kennzeichnen, was einen Informationswert darstellt, um sicherzustellen, dass die Stakeholder informiert und informiert sind. Diese Methode liefert auch Kontext zu Überlegungen zur Granularität und zur Bewertung von Vermögenswerten in Abhängigkeit von ihrer Kritikalität oder Sensibilität. Beachten Sie, dass Assets unterschiedliche Bewertungen für Kritikalität und Sensibilität erhalten können.
Für die Durchführung der Sensitivitätsanalyse nutzen Unternehmen häufig ihre bestehenden Analysen zur Auswirkung auf die Geschäftskontinuität – die in der Regel die Kritikalität und andere sensible Prozesse bewerten.
Um CPS 234 einzuhalten, müssen APRA-regulierte Unternehmen Informationssicherheitskontrollen implementieren, um ihre Datenbestände umgehend und in einem angemessenen Verhältnis zur Bedrohung, der sie ausgesetzt sind, zu schützen, entsprechend:
Gemäß CPS 234 müssen alle APRA-regulierten Unternehmen über robuste Mechanismen verfügen, um Informationssicherheitsvorfälle so schnell wie möglich zu erkennen und darauf zu reagieren.
Es gibt viele Erkennungsmechanismen für die Informationssicherheit, darunter Scan-, Erkennungs-, Überwachungs- und Protokollierungslösungen. Diese Sicherheitskontrollen werden je nach den Auswirkungen eines potenziellen Sicherheitsvorfalls robuster und vielfältiger sein und decken in der Regel die folgenden großen Kategorien ab:
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Gemäß CPS 234 müssen regulierte Unternehmen systematische Tests zu Informationssicherheitskontrollen durchführen, deren Art und Häufigkeit Folgendem entspricht:
Sicherheitskontrollen müssen mindestens einmal jährlich oder bei jeder wesentlichen Änderung der Informationsbestände oder der Geschäftsumgebung getestet werden, damit Sie wissen, ob sie noch wirksam und gültig sind. Um sicherzustellen, dass Tests erfolgreich sind, ist es wichtig, die Erfolgskriterien klar zu definieren und festzulegen, wann erneute Tests erforderlich sind.
Die Tests sollten von entsprechend qualifizierten, unabhängigen Spezialisten durchgeführt werden, bei denen es keine Interessenkonflikte gibt und die eine faire Bewertung abgeben können.
Eine zuverlässige Gewährleistung der Informationssicherheitskontrolle muss durch qualifiziertes Personal erfolgen. Darüber hinaus muss die interne Revisionsfunktion die von verbundenen Parteien oder Dritten bereitgestellte Kontrollgarantie für die Informationssicherheit bewerten, wenn:
Wenn die Beurteilung einen Mangel aufdeckt oder keine Gewähr für die Erfüllung der Anforderungen besteht, wird das Problem üblicherweise dem Vorstand zur Prüfung vorgelegt.
APRA muss so schnell wie möglich und spätestens 72 Stunden, nachdem das Unternehmen von einem Sicherheitsvorfall Kenntnis erlangt hat, informiert werden.
Dies sind Vorfälle, die:
Bei der Benachrichtigung der APRA erwarten sie die Bereitstellung von Informationen wie:
APRA muss so schnell wie möglich, spätestens jedoch zehn Werktage, nachdem Ihnen eine Schwachstelle bei der Informationssicherheitskontrolle bekannt wird, die das Unternehmen nicht rechtzeitig beheben kann, informiert werden.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Ein wesentlicher Unterschied zwischen den beiden Standards besteht in der Art und Weise, wie sie durchgesetzt werden. Organisationen, die eine ISO 27001-Zertifizierung erreichen, müssen ihre Zertifizierung alle drei Jahre erneuern und in diesem Zeitraum regelmäßige Überwachungsaudits durchführen. CPS 234 verfügt über kein Zertifikat; Stattdessen verfügt APRA über zahlreiche formelle und informelle Durchsetzungsinstrumente.
Zu den nicht formalen Ansätzen gehört die Zusammenarbeit mit Unternehmen, um Probleme zu erkennen und anzugehen, bevor sie ihre Fähigkeit, ihre Versprechen einzuhalten, gefährden.
Dennoch ist APRA bereit, bei Bedarf Durchsetzungsmaßnahmen zu ergreifen – dazu können gerichtliche Maßnahmen oder die Anweisung an Unternehmen gehören, bestimmte Maßnahmen zu ergreifen oder zu stoppen.
Während ISO 27001 weltweit anerkannt ist, hat APRA den CPS 234-Standard entwickelt, um dem wachsenden Bedarf an Cybersicherheit bei Unternehmen in der Finanzdienstleistungsbranche gerecht zu werden. ISO 27001 ist ein viel umfassenderer Informationssicherheitsstandard und gilt für Unternehmen in verschiedenen Branchen, unabhängig von ihrer Größe, Art oder Standort.
CPS 234 wurde im Einklang mit ISO/IEC 27001 entwickelt, wobei die Anforderungen an die in ISO 27001 beschriebenen Klauseln und Sicherheitskontrollen angepasst sind. Beide Standards sollen die Informationssicherheit einer Organisation erhöhen. Jedes Unternehmen oder jede Organisation, die nach ISO 27001 akkreditiert ist, sollte es leichter haben, die Anforderungen von CPS 234 zu erfüllen.
Wie Sie sehen, gibt es viel zu tun, um die Einhaltung sicherzustellen. Die am einfachsten zu erfüllende Anforderung besteht darin, sicherzustellen, dass alle Cybersicherheitsmitarbeiter im gesamten Unternehmen klar definierte, artikulierte und kommunizierte Verantwortlichkeiten haben.
Eine der größten Herausforderungen bei der Einhaltung von CPS 234 kann möglicherweise der Mangel an Richtlinien und praktischer Anwendung gegenüber Dritten sein.
Unsere Plattform verfügt über verschiedene vorgefertigte Frameworks, die Sie je nach den individuellen Anforderungen Ihres Unternehmens übernehmen, anpassen oder ergänzen können. Oder Sie können ganz einfach Ihre eigene Lösung für maßgeschneiderte Compliance-Projekte erstellen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo