APRA CPS 234 Einhaltung der Informationssicherheit

Kontakt zu einem Experten

Zurück zu allen Use Cases

Dritte bewerten, um die Widerstandsfähigkeit des Unternehmens sicherzustellen

Dieaustralische Aufsichtsbehörde für Finanzdienstleistungen (Australian Prudential Regulation Authority, APRA)hat im Juli 2019 den RegulierungsstandardCPS 234eingeführt, um der ständigen Bedrohung durch Cyberangriffe auf Finanzdienstleistungsunternehmen entgegenzuwirken.

Der Standard CPS 234 verlangt von allen Finanzdienstleistungsunternehmen in Australien, „Maßnahmen zu ergreifen, um gegen Vorfälle im Bereich der Informationssicherheit (einschließlich Cyberangriffen) widerstandsfähig zu sein, indem sie eine Informationssicherheitskapazität aufrechterhalten, die den Schwachstellen und Bedrohungen im Bereich der Informationssicherheit angemessen ist“.

Ein wichtiges Ziel des Standards ist es, die Auswirkungen von Vorfällen im Bereich der Informationssicherheit auf die Vertraulichkeit, Integrität und Verfügbarkeit von Vermögenswerten und Daten, die von Dritten verwaltet werden, zu minimieren. Die PrevalentThird-Party Risk Management Platformunterstützt Unternehmen dabei, ihre TPRM-Programme gemäß den APRA-Anforderungen aufzubauen und zu verwalten.

Relevante Anforderungen

  • Definieren Sie die Rollen und Verantwortlichkeiten des Vorstands, der Geschäftsleitung, der Leitungsgremien und Einzelpersonen im Bereich der Informationssicherheit.
  • Kontrollen zum Schutz seiner Informationsressourcen entsprechend ihrer Kritikalität und Sensibilität implementieren und die Wirksamkeit dieser Kontrollen systematisch überprüfen
  • Aufrechterhaltung einer Informationssicherheitskapazität, die operative Widerstandsfähigkeit ermöglicht und dem Umfang der Bedrohungen für die Informationsressourcen angemessen ist
  • Benachrichtigen Sie APRA über wesentliche Vorfälle im Bereich der Informationssicherheit.

 

Erfüllung der Anforderungen der APRA CPS 234 zum Risikomanagement durch Dritte

Dieser Abschnitt ordnet die Funktionen der Prevalent Third-Party Risk Management Platform bestimmten Artikeln des Informationssicherheitsstandards CPS 234 der australischen Aufsichtsbehörde APRA (Australian Prudential Regulation Authority) zu.

HINWEIS: Es handelt sich hierbei lediglich um eine Zusammenfassung der wichtigsten Artikel, die nicht als umfassende, endgültige Anleitung angesehen werden sollte. Für eine vollständige Liste der Artikel lesen Sie bitte das vollständige Dokument im Detail durch und konsultieren Sie Ihren Wirtschaftsprüfer.

Anforderungen

Wie wir helfen

Rollen und Verantwortlichkeiten

13.Der Vorstand eines von der APRA regulierten Unternehmens (Vorstand) ist letztendlich für die Informationssicherheit des Unternehmens verantwortlich. Der Vorstand muss sicherstellen, dass das Unternehmen die Informationssicherheit in einer Weise aufrechterhält, die der Größe und dem Ausmaß der Bedrohungen für seine Informationsressourcen angemessen ist und die einen weiterhin soliden Betrieb des Unternehmens ermöglicht.

14.Ein von der APRA reguliertes Unternehmen muss die Aufgaben und Verantwortlichkeiten des Vorstands, der Geschäftsleitung, der Leitungsgremien und der Personen, die für Entscheidungen, Genehmigungen, Aufsicht, Betrieb und andere Funktionen im Bereich der Informationssicherheit zuständig sind, klar definieren.

Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) zu entwickeln, das mit Ihren umfassenderen Programmen für Informationssicherheit, Governance, Risiken und Compliance übereinstimmt und auf bewährten Best Practices und umfassender praktischer Erfahrung basiert.

Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm zu optimieren, um den gesamten Lebenszyklus des Risikos von Drittanbietern - von der Beschaffung und Due-Diligence-Prüfung bis hin zur Beendigung und Ausgliederung - entsprechend der Risikobereitschaft Ihres Unternehmens abzudecken.

Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:

  • Klare Rollen und Verantwortlichkeiten (z. B. RACI)
  • Vorräte von Dritten
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
  • Kartierung von Drittanbietern
  • Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
  • Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
  • Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
  • Anforderungen an die Reaktion auf Vorfälle
  • Risiko- und interne Stakeholder-Berichterstattung
  • Strategien zur Risikominderung und -behebung

Informationssicherheitskompetenz

15.Ein von der APRA reguliertes Unternehmen muss über Informationssicherheitskapazitäten verfügen, die der Größe und dem Ausmaß der Bedrohungen für seine Informationsressourcen angemessen sind und die einen kontinuierlichen, soliden Betrieb des Unternehmens ermöglichen.

Siehe Rollen und Verantwortlichkeiten (13 und 14) oben.

16.Werden Informationsressourcen von einem verbundenen Unternehmen oder einem Dritten verwaltet, muss das von der APRA regulierte Unternehmen die Informationssicherheitskapazitäten dieses Unternehmens entsprechend den potenziellen Folgen eines Informationssicherheitsvorfalls, der diese Ressourcen beeinträchtigen könnte, bewerten.

Prevalent bietet eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen für Risikobewertungen von Drittanbietern. Die Bewertungen können zum Zeitpunkt der Aufnahme, der Vertragsverlängerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden.

Bewertungen werden zentral in der Prevalent-Plattform verwaltet. Sie werden durch Workflow-, Aufgabenmanagement- und automatisierte Funktionen zur Überprüfung von Nachweisen unterstützt, um Transparenz hinsichtlich der Risiken durch Dritte in der gesamten Lieferanten- oder Zuliefererbeziehung zu ermöglichen.

Wichtig ist, dass Prevalent integrierte Abhilfemaßnahmenempfehlungen auf der Grundlage von Risikobewertungsergebnissen liefert, um sicherzustellen, dass Dritte Risiken zeitnah und zufriedenstellend angehen.

Für Unternehmen mit begrenzten Ressourcen und Fachkenntnissen kann Prevalent den Lebenszyklus von Risiken durch Dritte in Ihrem Namen verwalten – von der Einbindung von Lieferanten und der Sammlung von Nachweisen bis hin zur Bereitstellung von Leitlinien zur Behebung von Mängeln und der Berichterstattung über vertragliche SLAs. Dadurch reduzieren Sie das Lieferantenrisiko und vereinfachen die Compliance, ohne Ihre internen Mitarbeiter zu belasten.

17.Ein von der APRA reguliertes Unternehmen muss seine Informationssicherheit aktiv aufrechterhalten, indem es Änderungen hinsichtlich Schwachstellen und Bedrohungen berücksichtigt, einschließlich solcher, die sich aus Änderungen der Informationsressourcen oder des Geschäftsumfelds ergeben.

Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen (siehe Punkt 16 oben) abgeglichen und in einem einheitlichen Risikoregister für jeden Lieferanten zentralisiert, wodurch die Risikoprüfung, Berichterstattung und Reaktionsmaßnahmen optimiert werden.

Zu den Überwachungsquellen gehören:

  • Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
  • Eine Datenbank mit mehr als 10 Jahren Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt

Da es sich nicht bei allen Bedrohungen um direkte Cyberangriffe handelt, bezieht Prevalent auch Daten aus den folgenden Quellen mit ein, um den Cyberergebnissen mehr Kontext zu verleihen:

  • 550.000 öffentliche und private Quellen für Reputationsinformationen, einschließlich M&A-Aktivitäten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, betriebliche Aktualisierungen und mehr
  • Ein globales Netzwerk von 2 Millionen Unternehmen mit 5 Jahren organisatorischer Veränderungen und finanzieller Leistung, einschließlich Umsatz, Gewinn und Verlust, Aktionärsvermögen usw.
  • 30.000 weltweite Nachrichtenquellen
  • Eine Datenbank mit über 1,8 Millionen politisch exponierten Personenprofilen
  • Globale Sanktionslisten und über 1.000 globale Vollstreckungslisten und Gerichtsanmeldungen

Politischer Rahmen

18.Ein von der APRA reguliertes Unternehmen muss ein Rahmenwerk für Informationssicherheitsrichtlinien unterhalten, das seinen Risiken und Bedrohungen angemessen ist.

19.Das Rahmenwerk für die Informationssicherheitspolitik eines von der APRA regulierten Unternehmens muss Leitlinien zu den Verantwortlichkeiten aller Parteien enthalten, die zur Aufrechterhaltung der Informationssicherheit verpflichtet sind.

Die Prevalent-Plattform verfügt über eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen für Risikobewertungen von Drittanbietern, darunter solche, die sich an führenden Rahmenwerken für Informationssicherheits-Governance wieISO orientieren.

Mit Reporting können Sie Compliance-Anforderungen visualisieren und umsetzen, indem Sie Bewertungsergebnisse und Datenfeeds automatisch den regulatorischen Anforderungen und Rahmenbedingungen zuordnen.
Rollenspezifische Ansichten stellen sicher, dass Stakeholder Risiken identifizieren und entsprechend handeln können, wobei integrierte Empfehlungen zur Behebung von Mängeln bereitgestellt werden.

Bewertung der Leistung von Anbietern und Geschäftspartnern - Die Einrichtung bewertet regelmäßig die Leistung von Anbietern und Geschäftspartnern.

Die Prevalent-Plattform ermöglicht es den Managementteams der Anbieter, die zu verfolgenden Anforderungen festzulegen und die SLA- und Leistungsberichte zu diesen Anforderungen über ein einziges Berichts- und Analyse-Dashboard zu zentralisieren.

Identifizierung und Klassifizierung von Informationsressourcen

20.Ein von der APRA reguliertes Unternehmen muss seine Informationsressourcen, einschließlich derjenigen, die von verbundenen Parteien und Dritten verwaltet werden, nach ihrer Kritikalität und Sensibilität klassifizieren. Diese Klassifizierung muss den Grad widerspiegeln, in dem ein Informationssicherheitsvorfall, der eine Informationsressource betrifft, das Potenzial hat, das Unternehmen oder die Interessen von Einlegern, Versicherungsnehmern, Begünstigten oder anderen Kunden finanziell oder nicht finanziell zu beeinträchtigen.

Mit Prevalent können Sie Dritte anhand des Ausmaßes der Bedrohungen für ihre Informationsressourcen bewerten und überwachen, indem Sie inhärente Risiken erfassen, verfolgen und quantifizieren. Zu den Kriterien, die zur Berechnungdes inhärenten Risikosfür die Klassifizierung von Dritten herangezogen werden, gehören:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Anhand dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch einstufen, angemessene Stufen für weitere Sorgfaltspflichten festlegen und den Umfang laufender Bewertungen bestimmen.
Die regelbasierte Einstufungslogik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Dateninteraktions-, Finanz-, Regulierungs- und Reputationsaspekten.

Implementierung von Kontrollen

21.Ein von der APRA reguliertes Unternehmen muss über Informationssicherheitskontrollen zum Schutz seiner Informationsressourcen verfügen, einschließlich derjenigen, die von verbundenen Parteien und Dritten verwaltet werden. Diese Kontrollen müssen zeitnah umgesetzt werden und in angemessenem Verhältnis stehen zu:

(a) Schwachstellen und Bedrohungen für die Informationsressourcen;

(b) die Kritikalität und Sensibilität der Informationsressourcen;

(c) die Phase, in der sich die Informationsressourcen innerhalb ihres Lebenszyklus befinden; und

(d) die möglichen Folgen eines Vorfalls im Bereich der Informationssicherheit.

Prevalent automatisiert Risikobewertungen, um die Sichtbarkeit, Effizienz und den Umfang Ihres Risikomanagementprogramms für Dritte in jeder Phase des Lebenszyklus von Dritten zu erhöhen.

Mit einer Bibliothek von über 750 standardisierten Bewertungen, Anpassungsmöglichkeiten und integrierten Workflows und Korrekturmaßnahmen automatisiert die Lösung alle Prozesse, von der Erfassung und Analyse von Umfragen bis hin zur Risikobewertung und Berichterstellung.

Mit Prevalent können Sie auf einfache Weise Informationen über eine breite Palette von Anbieterkontrollen sammeln und korrelieren, um Bedrohungen für das Informationsmanagement zu ermitteln, basierend auf der durch die inhärente Risikobewertung ermittelten Kritikalität der Drittpartei.

Die Ergebnisse der Bewertungen und der kontinuierlichen Überwachung werden in einem einzigen Risikoregister mit Heatmap-Berichten zusammengefasst, das die Risiken auf der Grundlage von Wahrscheinlichkeit und Auswirkungen misst und kategorisiert. Mit diesem Einblick können die Teams die Folgen eines Risikos leicht erkennen und haben fertige Empfehlungen für die Abhilfe für Dritte, um die Risiken zu mindern.

22.Werden die Informationsressourcen eines von der APRA regulierten Unternehmens von einem verbundenen Unternehmen oder einem Dritten verwaltet, muss das von der APRA regulierte Unternehmen die Gestaltung der Informationssicherheitskontrollen dieses Unternehmens bewerten, die die Informationsressourcen des von der APRA regulierten Unternehmens schützen.

Der Prevalent Controls Validation Service prüft die Antworten von Drittanbietern und die Dokumentation anhand etablierter Testprotokolle, um zu validieren, dass die angegebenen Kontrollen vorhanden sind.

Die Experten von Prevalent überprüfen zunächst die Antworten auf die Bewertungen, unabhängig davon, ob diese aus benutzerdefinierten oder standardisierten Fragebögen stammen. Anschließend ordnen wir die Antworten den Kontrollrahmen SIG, SCA, ISO, SOC II, AITECH und/oder anderen zu. Schließlich arbeiten wir mit Ihnen zusammen, um Abhilfemaßnahmen zu entwickeln und diese bis zur Fertigstellung zu verfolgen. Mit den verfügbaren Remote-Optionen bietet Prevalent Ihnen das Fachwissen, mit dem Sie Risiken mit Ihren vorhandenen Ressourcen reduzieren können.

Management von Zwischenfällen

23.Ein von der APRA reguliertes Unternehmen muss über robuste Mechanismen verfügen, um Vorfälle im Bereich der Informationssicherheit rechtzeitig zu erkennen und darauf zu reagieren.

24.Ein von der APRA reguliertes Unternehmen muss Pläne zur Reaktion auf Informationssicherheitsvorfälle aufrechterhalten, deren Eintreten das Unternehmen für plausibel hält (Informationssicherheits-Reaktionspläne).

25.Die Informationssicherheits-Reaktionspläne eines von der APRA regulierten Unternehmens müssen die folgenden Mechanismen umfassen:

(a) Verwaltung aller relevanten Phasen eines Vorfalls, von der Erkennung bis zur Nachbesprechung; und

(b) Eskalation und Meldung von Vorfällen im Bereich der Informationssicherheit an den Vorstand, andere Leitungsgremien und Personen, die für das Management und die Überwachung von Vorfällen im Bereich der Informationssicherheit zuständig sind, soweit dies angemessen ist.

26.Ein von der APRA reguliertes Unternehmen muss seine Notfallpläne für die Informationssicherheit jährlich überprüfen und testen, um sicherzustellen, dass sie weiterhin wirksam und zweckmäßig sind.

Prevalent ermöglicht es Ihrem Team, Vorfälle bei Drittanbietern schnell zu erkennen, darauf zu reagieren, darüber Bericht zu erstatten und die Auswirkungen zu mindern, indem es Anbieter zentral verwaltet, Ereignisbewertungen durchführt, identifizierte Risiken bewertet, mit der kontinuierlichen Cyber-Überwachung abgleicht und auf Anleitungen zur Abhilfe zugreift. Zu den wichtigsten Funktionen gehören:

  • Ständig aktualisierte und anpassbare Fragebögen zum Ereignis- und Störungsmanagement
  • Verfolgung des Fortschritts beim Ausfüllen des Fragebogens in Echtzeit
  • Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
  • Proaktive Lieferantenberichterstattung
  • Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahlen und markierten Antworten für jeden Anbieter
  • Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
  • Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
  • Integrierte Berichtsvorlagen
  • Daten- und Beziehungsmapping zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln

Prüfung der Wirksamkeit der Kontrollen

27.Ein von der APRA reguliertes Unternehmen muss die Wirksamkeit seiner Informationssicherheitskontrollen durch ein systematisches Testprogramm überprüfen. Die Art und Häufigkeit der systematischen Tests muss in einem angemessenen Verhältnis stehen zu:

(a) die Geschwindigkeit, mit der sich die Schwachstellen und Bedrohungen verändern;

(b) die Kritikalität und Sensibilität der Informationsressource;

(c) die Folgen eines Vorfalls im Bereich der Informationssicherheit;

(d) die Risiken im Zusammenhang mit der Exposition gegenüber Umgebungen, in denen das von der APRA regulierte Unternehmen seine Informationssicherheitsrichtlinien nicht durchsetzen kann; und

(e) die Wesentlichkeit und Häufigkeit von Änderungen an Informationsressourcen.

28.Werden die Informationsressourcen eines von der APRA regulierten Unternehmens von einem verbundenen Unternehmen oder einem Dritten verwaltet und ist das von der APRA regulierte Unternehmen auf die Prüfung der Informationssicherheitskontrollen dieses Unternehmens angewiesen, muss das von der APRA regulierte Unternehmen beurteilen, ob die Art und Häufigkeit der Prüfung der Kontrollen in Bezug auf diese Informationsressourcen mit den Absätzen 27(a) bis 27€ dieses Aufsichtsstandards vereinbar ist.

Siehe „Implementierung von Kontrollen“ (22) oben.

29.Ein von der APRA reguliertes Unternehmen muss alle Testergebnisse, die Mängel bei der Informationssicherheit aufzeigen, die nicht rechtzeitig behoben werden können, an den Vorstand oder die Geschäftsleitung weiterleiten und melden.

Prevalent hilft Ihnen dabei, Risikotrends, den Risikostatus von Dritten und Abweichungen vom üblichen Verhalten aufzudecken – mit integrierten Erkenntnissen aus dem maschinellen Lernen (ML) und anpassbaren, rollenbasierten Berichtsansichten.

Darüber hinaus hilft Prevalent dabei,KRIs von Drittanbieternzentral zu messen, um Risiken aufgrund von Lücken in der Lieferantenüberwachung zu reduzieren, indem es einen Rahmen zur Messung anhand von Anforderungen bereitstellt.

Mit dieser Funktion können Sie schnell Ausreißer identifizieren, die einer weiteren Untersuchung bedürfen, die richtigen Daten an die richtigen Personen weiterleiten und die Akzeptanz von Risiken effizient bestimmen.

30.Ein von der APRA reguliertes Unternehmen muss sicherstellen, dass die Tests von entsprechend qualifizierten und funktional unabhängigen Spezialisten durchgeführt werden.

31.Ein von der APRA reguliertes Unternehmen muss die Angemessenheit des Testprogramms mindestens einmal jährlich oder bei wesentlichen Änderungen der Informationsressourcen oder des Geschäftsumfelds überprüfen.

Siehe Umsetzung von Kontrollen (22) oben.

Interne Revision

32.Die internen Prüfungsaktivitäten eines von der APRA regulierten Unternehmens müssen eine Überprüfung der Konzeption und der operativen Wirksamkeit der Informationssicherheitskontrollen umfassen, einschließlich derjenigen, die von verbundenen Parteien und Dritten aufrechterhalten werden (Sicherstellung der Informationssicherheitskontrollen).

Prevalent standardisiert Bewertungen anhand vonSOC 2, Cyber Essentials,ISO und anderen Kontrollrahmenwerken für Informationssicherheit und bietet internen Audit- und IT-Sicherheitsteams eine zentrale Plattform zur Messung und Nachweisführung der Einhaltung interner IT-Kontrollvorschriften. Dieselben Bewertungen werden auch zur Beurteilung der Informationssicherheitskontrollen von Dritten herangezogen und liefern so einen konsolidierten, umfassenden Überblick über die Informationssicherheit.

33.Ein von der APRA reguliertes Unternehmen muss sicherstellen, dass die Gewährleistung der Informationssicherheit durch Personal erfolgt, das über die entsprechenden Qualifikationen verfügt, um eine solche Gewährleistung zu erbringen.

Siehe Umsetzung von Kontrollen (22) oben.

34.Die interne Revisionsfunktion eines von der APRA regulierten Unternehmens muss die von einer verbundenen Partei oder einem Dritten bereitgestellte Informationssicherheitskontrolle bewerten, wenn:

(a) ein Vorfall im Bereich der Informationssicherheit, der sich auf die Informationsressourcen auswirkt, das Potenzial hat, das Unternehmen oder die Interessen von Einlegern, Versicherungsnehmern, Begünstigten oder anderen Kunden in finanzieller oder nichtfinanzieller Hinsicht erheblich zu beeinträchtigen; und

(b) Die interne Revision beabsichtigt, sich auf die von der verbundenen Partei oder dem Dritten bereitgestellte Sicherheitskontrolle für die Informationssicherheit zu stützen.

Die Prevalent-Plattform umfasst eine Automatisierungs- und Regel-Engine, die auf Grundlage von Bewertungsergebnissen und externen Datenfeeds automatisch Maßnahmen vorschlägt oder Risikobewertungen ändert. Mit dieser Funktion können Sie automatisch auf Ereignisse basierende Aufgaben erstellen und diese den Verantwortlichen zuweisen, um Probleme bis zu ihrer Lösung zu verfolgen. Dies trägt dazu bei, die Zeitpläne für die Risikominderung zu beschleunigen.

PrevalentüberwachtaußerdemkontinuierlichVeränderungen in den Bereichen Cybersicherheit, Geschäftstätigkeit, Reputation und Finanzen, die sich wesentlich auf die Beziehungen zu Dritten auswirken können. Die Ergebnisse werden mit Bewertungen von Dritten abgeglichen, um einen umfassenden, validierten Ansatz für das Risikomanagement von Dritten zu gewährleisten.

ARPA-Benachrichtigung

35.Ein von der APRA reguliertes Unternehmen muss die APRA so schnell wie möglich, spätestens jedoch innerhalb von 72 Stunden, benachrichtigen, nachdem es Kenntnis von einem Vorfall im Bereich der Informationssicherheit erlangt hat, der:

(a) das Unternehmen oder die Interessen von Einlegern, Versicherungsnehmern, Begünstigten oder anderen Kunden finanziell oder nicht finanziell wesentlich beeinträchtigt hat oder hätte beeinträchtigen können; oder

(b) anderen Aufsichtsbehörden in Australien oder anderen Ländern gemeldet wurde.

36.Ein von der APRA reguliertes Unternehmen muss die APRA so schnell wie möglich, spätestens jedoch innerhalb von 10 Werktagen, benachrichtigen, sobald es Kenntnis von einer wesentlichen Schwachstelle in der Informationssicherheitskontrolle erhält, die es voraussichtlich nicht rechtzeitig beheben kann.

Prevalent deckt Risikotrends, den Status von Risiken durch Dritte und Abweichungen vom üblichen Verhalten auf – mit integrierten Erkenntnissen aus maschinellem Lernen (ML) und anpassbaren Berichtsansichten, die auf der jeweiligen Rolle basieren.

Mit Prevalent können Sie Compliance-Anforderungen visualisieren und umsetzen, indem Sie Bewertungsergebnisse automatisch mit regulatorischen und branchenbezogenen Rahmenbedingungen abgleichen. Außerdem können Sie regulatorische Berichte in einem Bruchteil der Zeit erstellen, die normalerweise für manuelle, tabellenbasierte Risikobewertungsprozesse aufgewendet wird.

Zusätzliche Ressourcen

Blog

APRA CPS 234: Bewährte Praktiken für die Erfüllung der Anforderungen an das Risikomanagement von Drittparteien

Blog

SEC-Regeln zur Offenlegung der Cybersicherheit: 9 wichtige Fragen an Dritte

Blog

Erfüllung der PRA SS2/21-Anforderungen für das Risikomanagement von Drittparteien

Leitfaden

Richten Sie Ihr TPRM-Programm an 14 Branchenstandards aus

Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.