Koble Australias obligatoriske finansforordning med ISO 27001
CPS 234 er en informasjonssikkerhetsforskrift utstedt av Australian Prudential Regulation Authority (APRA) for forsikrings- og finansorganisasjoner for å beskytte mot cyberangrep.
De Australian Prudential Regulation Authority (APRA) ble etablert i 1998 av den australske regjeringen.
APRA fører tilsyn med private helseforsikringsselskaper, generelle og livsforsikringsselskaper, pensjonsfond, vennlige samfunn, gjenforsikringsselskaper og finansinstitusjoner som er autorisert til å ta innskudd som byggeforeninger, banker og kredittforeninger.
CPS 234 er en informasjonssikkerhetsforskrift først utgitt av APRA 1. juli 2019. Forskriften er utformet for å hjelpe organisasjoner med å beskytte seg selv og sine kunder mot cyberangrep ved å styrke deres rammeverk for informasjonssikkerhet.
CPS 234 etablerer krav rundt identifikasjon og klassifisering av informasjonsressurser, roller og ansvar for informasjonssikkerhet, implementering og testing av informasjonssikkerhetskontroller, hendelseshåndtering, internrevisjon og varsling om brudd.
CPS 234 fastsetter at regulerte enheter må opprettholde informasjonssikkerhetssystemer og -praksis som er tilstrekkelig for truslene de står overfor.
Finansinstitusjoner er et populært mål for cyberangrep fordi de holder personlig identifiserbar informasjon (PII) og beskyttet helseinformasjon (PHI) av australske innbyggere.
APRA-regulerte enheter er pålagt å følge CPS 234. Standarden faller inn under følgende lover:
Finn ut hvor enkelt det er
CPS 234 dekker alle APRA-regulerte enheter, for eksempel:
Enheter nevnt ovenfor har viktig personlig identifiserbar informasjon og beskyttet helseinformasjon som cyberangrep vil være rettet mot under et angrep.
Under CPS 234 har du krav til informasjonssikkerhetsevne som du må oppfylle.
Dette krever:
For å oppfylle disse kravene vurderer regulerte enheter vanligvis tilstrekkeligheten av ressursene, inkludert finansierings- og bemanningsressurser og rettidig tilgang til nødvendige ferdighetssett.
Enheter regulert av APRA må opprettholde et rammeverk for informasjonssikkerhet som gjenspeiler deres eksponering for sårbarheter og trusler. Ansvaret til alle parter som har en forpliktelse til å opprettholde informasjons- og datasikkerhet bør gis retning av organisasjonens policy.
Rammeverket er vanligvis strukturert som et hierarki med retningslinjer på høyere nivå støttet av retningslinjer og prosedyrer.
Det er mange fellesområder som tas opp i det politiske rammeverket, for eksempel:
Dette rammeverket vil typisk være i samsvar med andre enhetsrammeverk, for eksempel risikostyring og tjenesteleverandørstyring.
Finn ut hvor enkelt det er å administrere din
samsvar med APRA-standarder på ISMS.online
Bestill demoen din
APRA-regulerte enheter er forpliktet til å klassifisere informasjonsmidler, inkludert de som administreres av nærstående parter og tredjeparter.
Dette inkluderer infrastruktur og tilleggssystemer, som miljøkontrollsystemer og fysiske adgangskontrollsystemer. Den omfatter også informasjonsressurser som administreres av tredjeparter eller nærstående parter.
Forholdet mellom sensitive eller kritiske informasjonsressurser og andre eiendeler som kan ha mindre betydning, men som kan brukes til å krenke sikkerheten til disse eiendelene.
I tillegg bør dette reflektere i hvilken grad informasjonssikkerhetshendelser har potensial til å påvirke – økonomisk eller på annen måte – en enhet eller dens kunder.
Bedrifter må ha en klassifiseringsmetodikk for å merke hva som utgjør et informasjonsmiddel for å sikre at interessenter er informert og bevisst. Denne metoden gir også kontekst om granularitetshensyn og hvordan eiendeler vurderes avhengig av deres kritikalitet eller sensitivitet. Merk at eiendeler kan gis forskjellige vurderinger for kritikalitet og sensitivitet.
Det er vanlig at enheter utnytter sine eksisterende konsekvensanalyser for forretningskontinuitet – som vanligvis vurderer kritikalitet og andre sensitive prosesser – for å utføre sensitivitetsanalysen.
For å overholde CPS 234, må APRA-regulerte enheter implementere informasjonssikkerhetskontroller for å beskytte datamidlene sine raskt og proporsjonalt med trusselen de står overfor, tilsvarende:
I følge CPS 234 må alle APRA-regulerte enheter ha robuste mekanismer for å oppdage og svare på informasjonssikkerhetshendelser så snart som mulig.
Det finnes mange deteksjonsmekanismer for informasjonssikkerhet, inkludert skanne-, sensing-, overvåkings- og loggløsninger. Disse sikkerhetskontrollene vil være mer robuste og mer varierte avhengig av virkningen av en potensiell sikkerhetshendelse, og dekker vanligvis disse brede kategoriene:
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
CPS 234 krever at regulerte enheter utfører systematisk testing av informasjonssikkerhetskontroller av en art og hyppighet som tilsvarer:
Sikkerhetskontroller må testes minst årlig eller når det er en vesentlig endring i informasjonsmidler eller forretningsmiljøet, slik at du kan vite om de fortsatt er effektive og gyldige. For å sikre at tester er vellykkede, er det viktig å definere suksesskriteriene klart og når re-testing vil være nødvendig.
Testing bør utføres av passende dyktige, uavhengige spesialister som ikke har noen interessekonflikter og kan gi en rettferdig evaluering.
Pålitelig informasjonssikkerhetskontroll må gis av kvalifisert personell. I tillegg må internrevisjonsfunksjonen vurdere informasjonssikkerhetskontrollen gitt av relaterte eller tredjeparter i tilfeller der:
Dersom vurderingen avdekker en mangel eller det ikke er sikkerhet for at kravene oppfylles, tas spørsmålet vanligvis opp med styret for behandling.
APRA må informeres så snart som mulig og senest 72 timer etter at enheten er gjort oppmerksom på en sikkerhetshendelse.
Dette er hendelser som:
Når de varsler APRA, forventer de at informasjon blir gitt, for eksempel:
APRA skal informeres så snart som mulig og senest ti virkedager etter at du blir oppmerksom på en svakhet i informasjonssikkerhetskontrollen som selskapet ikke kan fikse i tide.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
En viktig forskjell mellom de to standardene er hvordan de håndheves. Organisasjoner som oppnår ISO 27001-sertifisering må fornye sertifiseringen hvert tredje år, med regelmessige overvåkingsrevisjoner i denne perioden. CPS 234 har ikke sertifikat; i stedet har APRA mange formelle og uformelle håndhevingsverktøy.
Ikke-formelle tilnærminger inkluderer samarbeid med selskaper for å identifisere og løse problemer før de truer deres evne til å holde løftene sine.
Likevel er APRA forberedt på å iverksette håndhevelsestiltak når det er hensiktsmessig – dette kan inkludere rettsbaserte handlinger eller å instruere selskaper om å iverksette eller stoppe bestemte handlinger.
Mens ISO 27001 er anerkjent globalt, skapte APRA CPS 234-standarden for å møte det økende behovet for cybersikkerhet blant enheter innen finansnæringen. ISO 27001 er en mye mer omfattende informasjonssikkerhetsstandard, og den gjelder for virksomheter i ulike sektorer uansett størrelse, type eller plassering.
CPS 234 ble opprettet for å fungere unisont med ISO/IEC 27001, med krav i samsvar med klausuler og sikkerhetskontroller skissert i ISO 27001. Begge standardene er utformet for å øke en organisasjons informasjonssikkerhet. Enhver virksomhet eller organisasjon som er ISO 27001-akkreditert bør ha lettere for å oppfylle CPS 234-kravene.
Som du kan se, er det mye å gjøre for å sikre samsvar. Det mest håndterbare kravet å oppfylle er å sikre at alle cybersikkerhetsmedarbeidere har klart definerte, artikulerte og kommuniserte ansvar på tvers av organisasjonen.
En av de største utfordringene for overholdelse av CPS 234 kan potensielt være mangel på retningslinjer og praktisk anvendelse når det gjelder tredjeparter.
Plattformen vår kommer med ulike forhåndsbygde rammer du kan ta i bruk, tilpasse eller legge til, avhengig av organisasjonens unike behov. Eller du kan enkelt bygge din egen for skreddersydde overholdelsesprosjekter.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din