评估第三方以确保业务韧性
澳大利亚审慎监管局(APRA)于2019年7月实施了CPS 234监管标准,以应对针对金融服务机构的持续性网络攻击威胁。
CPS 234标准要求澳大利亚所有金融机构必须"采取措施增强抵御信息安全事件(包括网络攻击)的能力,通过维持与信息安全漏洞和威胁相匹配的信息安全能力来实现。"
该标准的核心目标在于最大限度降低信息安全事件对第三方管理资产及数据的机密性、完整性与可用性的影响。Prevalent第三方风险管理平台助力机构依据澳大利亚审慎监管局(APRA)要求构建并管理其第三方风险管理(TPRM)计划。
相关要求
- 界定董事会、高级管理层、治理机构及个人的信息安全相关职责与责任
- 根据信息资产的重要性与敏感性实施保护措施,并系统性地测试这些措施的有效性。
- 保持信息安全能力,以实现业务韧性,并确保该能力与信息资产所面临威胁的范围相匹配。
- 向澳大利亚审慎监管局通报重大信息安全事件
满足澳大利亚审慎监管局《资本政策标准234》第三方风险管理要求
本节将主流第三方风险管理平台的功能与澳大利亚审慎监管局(APRA)CPS 234《信息安全标准》中的特定条款进行映射。
注:本文仅为最相关条款的摘要,不应视为全面且权威的指导。如需完整条款列表,请详细查阅完整文件并咨询您的审计师。
要求
我们如何提供帮助
角色与责任
13.受澳大利亚审慎监管局(APRA)监管的实体董事会(以下简称董事会)对该实体的信息安全负有最终责任。董事会必须确保该实体以与其信息资产规模及所受威胁程度相称的方式维护信息安全,并保障实体持续稳健运营。
14.受澳大利亚审慎监管局(APRA)监管的实体必须明确界定董事会、高级管理层、治理机构以及负责决策、审批、监督、运营及其他信息安全职能的个人的信息安全相关职责。
普瑞瓦尔与您携手合作,基于成熟的最佳实践和丰富的实际经验,构建全面的第三方风险管理(TPRM)计划,使其与您更广泛的信息安全及治理、风险与合规计划相契合。
我们的专家将与您的团队协作,共同制定并实施第三方风险管理流程与解决方案;筛选风险评估问卷及框架;并根据贵组织的风险偏好,优化您的项目以覆盖整个第三方风险生命周期——从供应商选择与尽职调查,到终止合作与退出管理。
作为这一过程的一部分,Prevalent 可以帮助您确定:
- 明确的角色和职责(如 RACI)
- 第三方库存
- 基于组织风险承受能力的风险评分和阈值
- 基于第三方关键性的评估和监测方法
- 第四方映射
- 持续监控数据的来源(网络、业务、声誉、财务)
- 关键绩效指标(KPI)和关键风险指标(KRI)
- 管理保护数据的政策、标准、系统和流程
- 针对服务水平的合规性和合同报告要求
- 事件响应要求
- 风险和内部利益攸关方报告
- 风险缓解和补救战略
信息安全能力
15.受澳大利亚审慎监管局(APRA)监管的实体必须维持与其信息资产规模及所受威胁程度相称的信息安全能力,该能力应能确保实体持续稳健运营。
参见上述角色与职责(第13和14条)。
16.当信息资产由关联方或第三方管理时,受澳大利亚审慎监管局监管的实体必须评估该方的信息安全能力,该评估应与可能影响这些资产的信息安全事件的潜在后果相匹配。
Prevalent提供超过750个现成的第三方风险评估模板库。评估可在入职时、合同续签时或按任何所需频率(如季度或年度)进行。
评估在Prevalent平台上进行集中管理。该平台依托工作流、任务管理及自动化证据审查功能,确保在整个供应商关系中实现第三方风险的可视化管理。
重要的是,Prevalent基于风险评估结果提供内置的补救建议,以确保第三方能够及时且妥善地处理风险。
对于资源和专业能力有限的组织,Prevalent可代为管理第三方风险全生命周期——从供应商入驻和证据收集,到提供整改指导及合同服务水平协议(SLA)报告。由此,您既能降低供应商风险、简化合规流程,又无需增加内部员工负担。
17.受澳大利亚审慎监管局(APRA)监管的实体必须针对漏洞和威胁的变化(包括因信息资产或其业务环境变化所导致的变化)积极维护其信息安全能力。
Prevalent 可持续跟踪和分析第三方面临的外部威胁。该解决方案可监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。
所有监控数据均与评估结果(见上文第16项)相关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及应对措施的实施流程。
监测来源包括
- 1,500 多个犯罪论坛;数千个洋葱页面;80 多个暗网特殊访问论坛;65 多个威胁源;50 多个用于粘贴泄漏凭证的网站 - 以及多个安全社区、代码库和漏洞数据库,覆盖 55 万家公司
- 包含全球数千家公司 10 多年数据泄露历史的数据库
由于并非所有威胁都是直接的网络攻击,Prevalent还整合了以下来源的数据,为网络安全发现结果提供背景信息:
- 550,000 个公共和私人声誉信息来源,包括并购活动、商业新闻、负面新闻、监管和法律信息、运营更新等
- 由 200 万家企业组成的全球网络,5 年来的组织变革和财务业绩,包括营业额、损益、股东资金等。
- 30,000 个全球新闻来源
- 一个包含 180 多万名政治公众人物档案的数据库
- 全球制裁名单以及 1,000 多份全球执行名单和法院文件
政策框架
18.受澳大利亚审慎监管局(APRA)监管的实体必须建立与其面临的漏洞和威胁风险相匹配的信息安全政策框架。
19.受澳大利亚审慎监管局(APRA)监管的实体,其信息安全政策框架必须就所有负有维护信息安全义务的各方责任作出明确规定。
Prevalent平台提供超过750个现成的第三方风险评估模板库,其中包含与ISO等领先信息安全治理框架对接的模板。
报告功能可通过自动将评估结果和数据源映射至监管要求与框架,帮助您可视化并满足合规要求。
基于角色的视图确保利益相关者能够识别风险并采取行动,同时提供内置的整改建议。
评估供应商和业务伙伴的绩效——该实体定期评估供应商和业务伙伴的绩效。
普瑞瓦伦平台使供应商管理团队能够设定追踪要求,并通过单一报告与分析仪表盘集中管理服务水平协议(SLA)及基于这些要求的绩效报告。
信息资产识别与分类
20.受澳大利亚审慎监管局(APRA)监管的实体必须根据关键性和敏感性对信息资产进行分类,包括由关联方和第三方管理的信息资产。该分类必须反映影响信息资产的信息安全事件在财务或非财务层面可能对实体或存款人、保单持有人、受益人或其他客户利益造成影响的程度。
Prevalent 通过捕捉、追踪和量化固有风险,使您能够根据第三方信息资产所面临的威胁程度对其进行评估和监控。用于计算第三方分类固有风险的标准包括:
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度(避免集中风险)
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
基于此内在风险评估,您的团队可自动对供应商进行分级;设定适当的进一步尽职调查层级;并确定持续评估的范围。
基于规则的分级逻辑通过综合考量数据交互、财务状况、监管合规及声誉等因素,实现供应商分类管理。
控制措施的实施
21.受澳大利亚审慎监管局(APRA)监管的实体必须建立信息安全控制措施,以保护其信息资产(包括由关联方和第三方管理的资产)。这些措施应及时实施,并符合以下要求:
(a) 信息资产的脆弱性和威胁;
(b) 信息资产的关键性和敏感性;
(c) 信息资产在其生命周期中所处的阶段;以及
(d) 信息安全事件的潜在后果。
Prevalent通过自动化风险评估,在第三方生命周期的每个阶段,拓展您第三方风险管理计划的可视性、效率和规模。
该解决方案拥有750多项标准化评估工具库,具备定制化能力,并内置工作流与补救机制,可实现从调查收集与分析到风险评级与报告的全流程自动化。
借助Prevalent平台,您可轻松收集并关联各类供应商管控措施的情报,根据第三方固有风险评估确定的关键性,从而识别信息管理面临的威胁。
评估与持续监控的结果汇集于单一风险登记册,通过热力图报告依据风险发生概率与影响程度进行量化分类。借助此洞察,团队可清晰预见风险后果,并为第三方提供现成的补救建议以有效降低风险。
22.当澳大利亚审慎监管局(APRA)监管实体的信息资产由关联方或第三方管理时,该监管实体必须评估该方所实施的信息安全控制措施的设计,以确保其能够有效保护该监管实体的信息资产。
普遍控制验证服务根据既定的测试协议审查第三方的评估回复和文件,以验证所指出的控制措施是否到位。
普瑞维兰专家首先审核评估反馈,无论来自定制问卷还是标准化问卷。随后我们将反馈内容映射至SIG、SCA、ISO、SOC II、AITECH及其他控制框架。最后,我们与您协作制定整改方案并全程追踪直至完成。凭借远程服务选项,普瑞维兰以专业能力助力您利用现有资源降低风险。
事件管理
23.受澳大利亚审慎监管局(APRA)监管的实体必须建立健全的机制,及时发现并应对信息安全事件。
24.受澳大利亚审慎监管局(APRA)监管的实体必须制定应对计划,以应对该实体认为可能发生的各类信息安全事件(信息安全响应计划)。
25.受澳大利亚审慎监管局(APRA)监管的实体的信息安全响应计划必须包含已建立的机制,用于:
(a) 管理事件的所有相关阶段,从发现到事后审查;以及
(b) 信息安全事件的升级处理及向董事会、其他治理机构以及负责信息安全事件管理和监督的个人进行报告(视情况而定)。
26.受澳大利亚审慎监管局监管的实体必须每年审查并测试其信息安全响应计划,以确保这些计划持续有效且符合目的。
Prevalent通过集中管理供应商、执行事件评估、对识别风险进行评分、关联持续网络监控数据以及获取修复指导,使您的团队能够快速识别、响应、报告并减轻第三方供应商事件的影响。核心功能包括:
- 不断更新和可定制的事件和事故管理调查表
- 实时跟踪问卷完成进度
- 定义风险所有者,并通过自动追逐提醒,使调查如期进行
- 主动供应商报告
- 各供应商的风险评级、数量、评分及标记响应的综合视图
- 工作流规则用于触发自动化操作手册,根据风险对业务的潜在影响采取相应行动。
- 来自内置补救建议的指导,以降低风险
- 内置报告模板
- 绘制数据和关系图,以确定组织与第三方之间的关系,使信息路径可视化,并确定风险数据
测试控制有效性
27.受澳大利亚审慎监管局(APRA)监管的实体必须通过系统性测试计划检验其信息安全控制措施的有效性。系统性测试的性质和频率必须与以下方面相匹配:
(a) 脆弱性和威胁变化的速度;
(b) 信息资产的关键性和敏感性;
(c) 信息安全事件的后果;
(d) 因暴露于澳大利亚审慎监管局监管实体无法执行其信息安全政策的环境所带来的风险;以及
(e) 信息资产变更的重大性和频率。
28.当澳大利亚审慎监管局(APRA)监管实体的信息资产由关联方或第三方管理,且该实体依赖该方实施的信息安全控制测试时,该实体必须评估针对该等信息资产的控制措施测试性质与频率是否符合本审慎标准第27(a)至27€款的规定。
参见上文控制措施的实施(22)。
29.受澳大利亚审慎监管局(APRA)监管的实体必须将任何测试结果上报董事会或高级管理层,这些结果若揭示了无法及时修复的信息安全控制缺陷。
Prevalent通过内置的机器学习(ML)洞察和可定制的角色化报告视图,助您揭示风险趋势、第三方风险状况以及常见行为的异常情况。
此外,Prevalent通过提供基于要求的评估框架,帮助集中测量第三方关键风险指标(KRIs),从而降低因供应商监督缺口带来的风险。
凭借此功能,您能够快速识别需要进一步调查的异常值,将正确数据传递给相关人员,并高效判断风险的可接受性。
30.受澳大利亚审慎监管局(APRA)监管的实体必须确保测试工作由具备相应技能且职能上独立的专家执行。
31.受澳大利亚审慎监管局(APRA)监管的实体必须至少每年一次,或在信息资产或业务环境发生重大变更时,对测试计划的充分性进行审查。
参见上述控制措施的实施(22)。
内部审计
32.受澳大利亚审慎监管局(APRA)监管的实体的内部审计活动必须包括对信息安全控制的设计和运行有效性的审查,包括由关联方和第三方维护的信息安全控制(信息安全控制保证)。
Prevalent通过SOC 2、网络安全基本要求、ISO等信息安全控制框架实现评估标准化,为内部审计和IT安全团队提供统一平台,用于衡量并证明对内部IT控制要求的遵守情况。这些评估同样适用于第三方信息安全控制的审核,从而形成整合的、由内而外的信息安全视图。
33.受澳大利亚审慎监管局(APRA)监管的实体必须确保信息安全控制保证由具备提供此类保证所需技能的人员提供。
参见上述控制措施的实施(22)。
34.受澳大利亚审慎监管局(APRA)监管的实体,其内部审计职能必须评估关联方或第三方提供的信息安全控制保证,具体情形包括:
(a) 影响信息资产的信息安全事件可能对实体或存款人、保单持有人、受益人或其他客户的利益造成重大财务或非财务影响;以及
(b) 内部审计计划依赖关联方或第三方提供的信息安全控制保证。
主流平台内置自动化与规则引擎,可根据评估结果及外部数据源自动建议行动方案或调整风险评分。借助此功能,您能基于事件自动创建任务并指派负责人,全程追踪问题直至解决。这有助于加速风险缓解进程。
普瑞瓦尔持续监测可能对第三方关系产生重大影响的网络安全、业务、声誉及财务变化。通过将监测结果与第三方评估关联,构建全面且经过验证的第三方风险管理方法。
ARPA通知
35.受澳大利亚审慎监管局(APRA)监管的实体在知悉信息安全事件后,必须尽快通知APRA,且无论如何不得迟于72小时。该事件须满足以下条件:
(a) 对该实体或存款人、保单持有人、受益人或其他客户的利益造成重大影响,或可能造成重大影响,无论该影响是财务性的还是非财务性的;或
(b) 已通知澳大利亚或其他司法管辖区的其他监管机构。
36.受澳大利亚审慎监管局(APRA)监管的实体,在发现重大信息安全控制缺陷且预计无法及时修复时,必须尽快通知APRA,且无论如何不得迟于10个工作日。
Prevalent通过内置机器学习(ML)洞察和基于角色的可定制报告视图,揭示风险趋势、第三方风险状况及常见行为的例外情况。
借助Prevalent,您可以通过自动将评估结果映射到法规和行业框架来可视化并满足合规要求。您还能以远低于传统手动电子表格风险评估流程所需的时间,生成针对特定法规的报告。
