为应对针对金融服务机构的持续网络攻击威胁,澳大利亚审慎监管局(APRA) 于2019年7月实施了CPS 234《
》监管标准。该标准要求澳大利亚所有金融服务机构"通过维持与信息安全漏洞及威胁相匹配的信息安全能力,采取措施增强抵御信息安全事件(包括网络攻击)的韧性"。
具体而言,CPS 234 要求组织必须:
- 明确界定董事会、高级管理层、治理机构及个人的信息安全相关职责;
- 保持信息安全能力,以实现运营韧性,并确保该能力与信息资产所面临威胁的范围相匹配;
- 根据信息资产的敏感性和重要性实施保护措施,并系统性地测试这些措施的有效性;以及
- 向澳大利亚审慎监管局(APRA)通报重大信息安全事件。
该标准的核心目标在于最大限度降低信息安全事件对第三方管理资产及数据的机密性、完整性与可用性的影响。本文将解析澳大利亚审慎监管局《资本政策234号》(APRA CPS 234)中规范第三方信息安全要求的关键条款,并提出满足这些要求的最佳实践方案。
APRA CPS 234 信息安全指南 第三方风险管理指南
APRA标准分为若干类要求。我们已确定其中最适用于第三方风险管理的部分,并提出了有助于满足这些要求的最佳实践能力。
角色与责任
该类别包含要求企业明确组织内信息安全责任人及其职能的条款。其鼓励组建跨职能团队以实施有效监督,并强调董事会层面的治理作用。
为确保第三方风险管理成为整体信息安全计划的关键组成部分,应基于成熟的最佳实践和丰富的实际经验,构建与更广泛的信息安全及治理、风险与合规计划相协调的全面第三方风险管理(TPRM)方案。作为该治理计划的一部分,内部团队应明确:
- 明确的角色和职责(如 RACI)
- 第三方库存
- 基于组织风险承受能力的风险评分和阈值
- 基于第三方关键性的评估和监测方法
- 第四方映射
- 持续监控数据的来源(网络、业务、声誉、财务)
- 关键绩效指标(KPI)和关键风险指标(KRI)
- 管理保护数据的政策、标准、系统和流程
- 针对服务水平的合规性和合同报告要求
- 事件响应要求
- 风险和内部利益攸关方报告
- 风险缓解和补救战略
务必全面审视第三方生命周期的每个阶段——从供应商筛选和尽职调查,到终止合作和离职交接——确保预期与贵组织的风险承受能力保持一致。
信息安全能力
本类别包括定期评估第三方信息安全能力以及持续监测威胁的要求。
为协助实现自动化处理这一可能极其繁琐的流程,请考虑:
- 依托工作流、任务管理和自动化证据审查功能,整合多种第三方风险评估类型。这种灵活性将助力您的团队应对对组织至关重要的风险。
- 监控互联网和暗网中的网络威胁与漏洞,同时追踪公共及私有渠道的声誉、制裁和财务信息。这有助于在评估间隙持续关注风险动态。
- 将监测数据与评估结果关联至每个供应商的统一风险登记册中,从而简化风险审查、报告及响应措施。
- 基于风险评估结果构建整改建议库,确保第三方及时有效地处理风险问题。
若面临资源与专业能力有限的困境,可将 第三方风险全周期管理外包——涵盖供应商入驻、证据收集、整改指导及合同服务水平协议(SLA)报告等环节。由此既能降低供应商风险、简化合规流程,又可减轻内部员工负担。
政策框架
政策框架类别要求企业制定安全政策,确保内部团队和第三方知晓并遵守该政策,同时定期进行评估。
由于合规工作可能复杂且耗时,建议采用与ISO等领先信息安全治理框架相匹配的评估方法。借助该能力,您可在最适合本组织的框架中可视化呈现并处理合规要求。
信息资产 识别与分类
该CPS 234类别要求澳大利亚审慎监管局监管的实体,根据重要性和敏感性对信息资产进行分类,包括由关联方和第三方管理的资产。
为加速推进此流程,需制定一套追踪和量化固有风险的方法论。用于计算第三方分类固有风险的评估标准应包含以下要素:
- 验证控件所需的内容类型
- 对业务绩效和运营的关键性
- 地点及相关法律或监管考虑因素
- 对第四方的依赖程度(避免集中风险)
- 接触过业务流程或面向客户的流程
- 与受保护数据的交互
- 财务状况和健康
- 声誉
通过这种固有的风险评估,您的团队可以自动对供应商进行分级;设定适当的进一步审查级别;并确定持续评估的范围。
控制措施的实施与控制有效性测试
这些类别要求企业建立信息安全控制措施以保护信息资产(包括由关联方和第三方管理的资产);确保控制措施与企业面临的风险相匹配;定期测试控制措施的设计;并将无法及时修复的缺陷上报董事会或高级管理层。
首先,对照既定的测试协议审查第三方评估响应及相关文件,以验证所示控件是否到位。随后,将响应映射至SIG、ISO或SOC 2等通用框架,从而简化评估流程,并追踪整改措施直至完成。
事件管理
该类别要求受澳大利亚审慎监管局(APRA)监管的实体制定政策和程序,以及时发现并应对信息安全事件,包括事件升级、报告机制以及政策定期审查。
建立经过验证的事件管理流程对于加速事件发现与缓解至关重要。关键步骤包括集中管理供应商、开展事件评估、对识别风险进行评分、关联持续网络监控数据,以及获取修复指导。
内部审计
澳大利亚审慎监管局(APRA)CPS 234条款规定,内部审计活动必须包括对信息安全控制的设计和运行有效性的审查,涵盖关联方及第三方维护的控制措施(信息安全控制保证);且信息安全控制保证应由具备相应专业技能的人员提供。
根据SOC 2、网络安全基本要求、ISO或其他信息安全控制框架标准化信息安全评估。此方法为内部审计和IT安全团队提供统一方法论,用于衡量并证明对内部IT控制的遵循情况。这些评估同样适用于第三方信息安全控制的审核,从而形成整合的、由内而外的信息安全视图。
APRA通知
APRA 234标准的最后一项要求规定,受APRA监管的实体在知悉重大信息安全事件后须于72小时内向APRA通报;若发现重大信息安全控制缺陷且无法及时修复,则须在知悉后10个工作日内向APRA通报。
满足这一要求的关键在于生成有效的报告。机器学习(ML)分析技术通过揭示风险趋势、第三方风险状况以及常见行为中的异常情况,为合规工作提供有力支持——这些信息往往无法通过简单的电子表格报告清晰呈现。此类分析技术能自动将评估结果映射至监管与行业框架,帮助您可视化呈现并满足合规要求,同时大幅缩短报告生成时间。相较于传统的手工电子表格风险评估流程,其生成特定监管要求的报告所需时间仅为原先的零头。
普瑞万如何助力应对澳大利亚审慎监管局CPS 234第三方风险管理信息安全指南
Prevalent可助力您的金融服务机构在第三方关系中建立治理与监督机制,具体通过以下方式实现:
- 基于金融服务行业成熟的最佳实践,构建全面、灵活且成熟的第三方风险管理计划
- 基于第三方对组织的关键性,实现其自动识别与评估
- 评估并持续监控网络安全、业务、财务及声誉风险
- 对照关键风险指标(KRIs)进行评估,并提出整改建议以降低第三方残余风险
- 自动化控制验证流程,确保关键控制措施到位并按计划运行
- 通过自动化和持续监控缩短事件响应与风险缓解周期
- 包含模板以简化向多个内部和外部利益相关方提交监管与安全框架审计报告的过程
如需了解Prevalent如何协助满足本标准中的第三方风险管理要求,请立即下载全面的APRA CPS 234合规检查清单或申请产品演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
