CPS 234 Compliance-løsning

Hvem skal overholde CPS 234?

CPS 234 dækker alle APRA-regulerede enheder, såsom:

• Banker, kreditforeninger og andre autoriserede indlånsinstitutioner (ADI'er)
• Livsforsikringsselskaber
• Pensionsfonde
• Generelle forsikringsselskaber
• Venlige samfund
• Private sygeforsikringsselskaber
• Ikke-driftsholdingselskaber

Enheder nævnt ovenfor har vigtige personligt identificerbare oplysninger og beskyttede helbredsoplysninger, som cyberangreb ville være målrettet mod under et angreb.

CPS 234's krav til informationssikkerhedskapacitet

Under CPS 234 har du krav til informationssikkerhedskapacitet, som du skal opfylde.

Dette kræver:

• Din organisation opretholder en informationssikkerhedskapacitet svarende til dine informationsaktivers størrelse og omfang af trusler
• Evaluer informationssikkerhedskapaciteten hos relaterede enheder eller tredjeparter, der administrerer informationsaktiver på vegne af organisationen
• Sørg for, at din organisation bevarer sin informationssikkerhedskapacitet og opdaterer sårbarheder og trusler som følge af ændringer i aktiver eller miljø

For at opfylde disse krav gennemgår regulerede enheder typisk tilstrækkeligheden af ​​ressourcer, herunder finansierings- og personaleressourcer og rettidig adgang til nødvendige kvalifikationssæt.

CPS 234's informationssikkerhedspolitikkrav

Enheder reguleret af APRA skal opretholde en informationssikkerhedspolitisk ramme, der afspejler deres eksponering for sårbarheder og trusler. Ansvaret for alle parter, der har en forpligtelse til at vedligeholde informations- og datasikkerhed, bør styres af din organisations politik.

Rammen er typisk struktureret som et hierarki med politikker på højere niveau understøttet af retningslinjer og procedurer.

Der er mange fælles områder behandlet i den politiske ramme, såsom:

• Identifikation, autorisation og tildeling af adgang til dataaktiver
• Informationssikkerhedskrav bør overvejes på hvert trin i et aktivs livscyklus (fra erhvervelse til nedlukning og destruktion)
• Styring af informationssikkerhedsteknologi, herunder firewalls, anti-malware-software, indtrængningsdetektion, indtrængningsforebyggende software, kryptografiske systemer og overvågningsværktøjer
• En overordnet informationssikkerhedsarkitektur er designet ved at identificere tilgangen til at skabe dit it-miljø ud fra et sikkerhedsperspektiv
• Overvågning og hændelsesstyring involverer at identificere, klassificere, rapportere og eskalere hændelser. Det omfatter også bevarelse af bevismateriale til efterforskningsformål
• Forventninger ved brug af tredjeparter og nærtstående parter til at opretholde informationssikkerheden
• Acceptabel brug af informationsaktiver, der overholder slutbrugerens ansvar, herunder personalemedlemmer, tredjeparter, associerede virksomheder og kunder
• Rekruttering og screening af medarbejdere og entreprenører
• Mekanismer til at vurdere og måle overholdelse og den løbende effektivitet af informationssikkerhedspolitikken

Denne ramme vil typisk være i overensstemmelse med andre enhedsrammer, såsom risikostyring og serviceudbyderstyring.

CPS 234's krav til identifikation og klassificering af informationsaktiver

APRA-regulerede enheder er forpligtet til at klassificere informationsaktiver, herunder dem, der administreres af nærtstående parter og tredjeparter.

Dette omfatter infrastruktur og tilhørende systemer, såsom miljøkontrolsystemer og fysiske adgangskontrolsystemer. Det omfatter også informationsaktiver, der administreres af tredjeparter eller nærtstående parter.

Forholdet mellem følsomme eller kritiske informationsaktiver og andre aktiver, der kan have mindre betydning, men som kan bruges til at krænke disse aktivers sikkerhed.

Derudover bør dette afspejle, i hvilket omfang informationssikkerhedshændelser har potentiale til at påvirke – økonomisk eller på anden måde – en enhed eller dens kunder.

Virksomheder skal have en klassificeringsmetode til at mærke, hvad der udgør et informationsaktiv for at sikre, at interessenter er informeret og opmærksomme. Denne metode giver også kontekst om granularitetsovervejelser og hvordan aktiver vurderes afhængigt af deres kritikalitet eller følsomhed. Bemærk, at aktiver kan gives forskellige vurderinger for kritikalitet og følsomhed.

Det er almindeligt, at enheder udnytter deres eksisterende konsekvensanalyser af forretningskontinuitet – som typisk vurderer kritikalitet og andre følsomme processer – til at udføre følsomhedsanalysen.

CPS 234's informationssikkerhedskontrolkrav

For at overholde CPS 234 skal APRA-regulerede enheder implementere informationssikkerhedskontroller for at beskytte deres dataaktiver omgående og proportionalt med den trussel, de står over for, svarende til:

• Identificer eksisterende og stigende sårbarheder og trusler, der kan være kritiske for væsentlige dataaktiver
• Et informationsaktivs livscyklusfase
• De potentielle konsekvenser af en datasikkerhedshændelse

Hvad er CPS 234's Incident Management-krav?

Ifølge CPS 234 skal alle APRA-regulerede enheder have robuste mekanismer til at opdage og reagere på informationssikkerhedshændelser så hurtigt som muligt.

Der er mange detektionsmekanismer til informationssikkerhed, herunder scannings-, sensing-, overvågnings- og logløsninger. Disse sikkerhedskontroller vil være mere robuste og mere varierede afhængigt af virkningen af ​​en potentiel sikkerhedshændelse, typisk dækkende disse brede kategorier:

• Fysisk hardware
• Aktiviteter på højere niveau som betalinger
• Ændringer af brugeradgang

Hvad er CPS 234's kontroltestkrav?

CPS 234 kræver, at regulerede enheder udfører systematisk test af informationssikkerhedskontroller af en art og hyppighed svarende til:

• Den hastighed, hvormed nye sårbarheder og trusler opstår
• De risici, der er forbundet med at blive udsat for miljøer, hvor enheden ikke kan håndhæve sine informationssikkerhedspolitikker
• Vigtigheden og følsomheden af ​​informationsaktiverne
• Konsekvenserne af en datasikkerhedshændelse
• Betydningen og hyppigheden af ​​ændringer i informationsaktiver

Sikkerhedskontroller skal testes mindst årligt, eller når der er en væsentlig ændring i informationsaktiver eller forretningsmiljøet, så du kan vide, om de stadig er effektive og gyldige. For at sikre, at tests er vellykkede, er det vigtigt at definere kriterierne for succes klart, og hvornår gentestning er nødvendig.

Testning bør udføres af passende kvalificerede, uafhængige specialister, som ikke har nogen interessekonflikter og kan give en retfærdig vurdering.

Hvad er CPS 234's interne revisionskrav?

Pålidelig informationssikkerhedskontrol skal leveres af kvalificeret personale. Derudover skal den interne revisionsfunktion vurdere informationssikkerhedskontrolgarantien leveret af tilknyttede eller tredjeparter i tilfælde, hvor:

• En informationssikkerhedshændelse, der påvirker en enheds informationsaktiver, kan have en langsigtet økonomisk indvirkning og evnen til at skade kunder
• Interne revisioner har til hensigt at stole på informationssikkerhedskontrolgarantien leveret af den nærtstående part eller tredjepart

Hvis vurderingen afslører en mangel, eller hvis der ikke er sikkerhed for opfyldelse af kravene, tages spørgsmålet almindeligvis op i bestyrelsen til behandling.

Hvornår skal APRA underrettes i henhold til CPS 234?

APRA skal informeres hurtigst muligt og senest 72 timer efter, at enheden er gjort opmærksom på en sikkerhedshændelse.

Det er hændelser, der:

1. Kunne have haft en væsentlig indvirkning på eller kunne have væsentlig indflydelse på finansielt eller ikke-finansielt indskyderes, forsikringstageres, begunstigedes og andre kunders interesser
2. Har informeret andre regulatorer i Australien eller andre jurisdiktioner

Når de underretter APRA, forventer de, at der gives oplysninger, såsom:

• Reguleret enhedsnavn
• Dato og tidspunkt for hændelsen
• Hvornår hændelsen blev vurderet som væsentlig
• Type hændelse
• Beskrivelse af hændelsen
• Hvad den nuværende status er
• Handlinger taget eller planlagt

APRA skal informeres hurtigst muligt og senest ti hverdage efter, at du bliver opmærksom på en svaghed i informationssikkerhedskontrollen, som virksomheden ikke kan rette i tide.

Hvilke forskelle er der mellem CPS 234 og ISO 27001?

En vigtig forskel mellem de to standarder er, hvordan de håndhæves. Organisationer, der opnår ISO 27001-certificering, skal forny deres certificering hvert tredje år med regelmæssige overvågningsaudits i denne periode. CPS 234 har ikke et certifikat; i stedet har APRA mange formelle og uformelle håndhævelsesværktøjer.

Ikke-formelle tilgange omfatter samarbejde med virksomheder om at identificere og løse problemer, før de truer deres evne til at leve op til deres løfter.

Ikke desto mindre er APRA parat til at træffe håndhævelsesforanstaltninger, når det er relevant – dette kan omfatte domstolsbaserede handlinger eller instruere virksomheder om at tage eller stoppe bestemte handlinger.

Mens ISO 27001 er anerkendt globalt, har APRA skabt CPS 234-standarden for at imødekomme det voksende behov for cybersikkerhed blandt enheder inden for finanssektoren. ISO 27001 er en meget mere omfattende informationssikkerhedsstandard, og den gælder for virksomheder i forskellige sektorer, uanset deres størrelse, type eller placering.

CPS 234 blev skabt til at fungere i forening med ISO/IEC 27001, med krav i overensstemmelse med klausuler og sikkerhedskontroller skitseret i ISO 27001. Begge standarder er designet til at øge en organisations informationssikkerhed. Enhver virksomhed eller organisation, der er ISO 27001-akkrediteret, bør have lettere ved at opfylde CPS 234-kravene.

Hvordan kan virksomheder forberedes til revisioner af CPS 234?

Som du kan se, er der meget at gøre for at sikre overholdelse. Det mest overskuelige krav at opfylde er at sikre, at alle cybersikkerhedsmedarbejdere har klart definerede, formulerede og kommunikerede ansvar på tværs af organisationen.

En af de største udfordringer for overholdelse af CPS 234 kan potentielt være mangel på retningslinjer og praktisk anvendelse, når det kommer til tredjeparter.

Hvordan ISMS.online Hjælp

Vores platform kommer med forskellige præbyggede rammer, du kan adoptere, tilpasse eller tilføje til, afhængigt af din organisations unikke behov. Eller du kan nemt bygge din egen til skræddersyede overholdelsesprojekter.