安全是有分量的

云防护_ddos防火墙网桥版_如何解决

2021-05-05 05:54栏目:锐观点

云防护_ddos防火墙网桥版_如何解决

审慎标准cps234信息安全(cps234)是澳大利亚审慎监管局的一项审慎标准。澳大利亚审慎监管局(APRA)的使命是建立和实施审慎标准,以确保在所有合理的情况下,其受监管实体作出的金融承诺在稳定、高效和具有竞争力的金融服务行业内得到履行。澳大利亚审慎监管局审慎标准CPS 234就是这样一种标准,旨在确保受澳大利亚审慎监管局监管的实体采取措施,通过保持与信息安全漏洞和威胁相称的信息安全能力,对信息安全事件(包括网络攻击)具有弹性。目标是将信息安全事件对信息资产的保密性、完整性或可用性的可能性和影响降至最低,包括由相关方或第三方服务提供商通过对信息技术资产引入安全要求(并测试控制措施的实施)来管理的资产目录为什么APRA CPS 234很重要?谁需要遵守CPS 234?谁负责CPS 234的合规性?CPS 234的关键要求是什么?CPS 234的信息安全能力要求是什么?CPS 234的信息安全策略要求是什么?CPS 234的信息资产识别和分类要求是什么?CPS 234的信息安全控制要求是什么?脆弱性和威胁控制生命周期管理控制物理和环境控制变更管理控制软件安全控制数据泄漏控制加密控制技术控制第三方和关联方控制将信息安全事件的后果降至最低CPS 234的事件管理要求是什么?CPS 234的控制测试要求是什么?CPS 234的内部审核要求是什么?何时必须根据CPS 234通知澳大利亚审慎监管局?UpGuard如何帮助您遵守CPS 234为什么APRA CPS 234很重要?CPS 234之所以重要,是因为它旨在确保受澳大利亚审慎监管局监管的实体能够抵御网络攻击和其他安全威胁。此外,它要求实体在发生应报告的数据泄露或其他安全事件时及时作出反应网络攻击的频率、复杂程度和影响都在不断增加,犯罪者不断改进其危害系统、网络和信息的努力金融机构是一些最突出的目标,因为可能有经济回报(澳大利亚审慎监管局目前监管持有6.5万亿美元资产的机构)以及获取其持有的澳大利亚公民的个人识别信息(PII)和受保护健康信息(PHI)。推动这一趋势的一个因素是养老金、银行和保险公司越来越多地使用技术和第三方供应商,这些公司希望改善客户体验并提高运营效率。 因此,利益相关者(包括董事会、高级管理人员、股东、客户和监管机构)对信息资产的有效保护寄予了更高的期望,而信息资产的有效保护是以促进信息安全的文化为基础的CPS 234要求受澳大利亚审慎监管局监管的实体保持与其信息安全漏洞和威胁相称的信息安全能力,数据库防御ddos,从而降低网络风险并改善网络安全,并采用供应商风险管理实践,以降低涉及相关或第三方的事件的可能性和影响。 谁需要遵守CPS 234?CPS 234适用于所有受澳大利亚审慎监管局监管的实体,即:授权接受存款机构(ADI),包括外国ADI,以及根据《银行法》授权的非经营性控股公司一般保险公司,包括C类保险公司、根据《保险法》授权的非经营性控股公司,以及二级保险集团的母公司实体人寿保险公司,包括友好协会、符合条件的外国人寿保险公司和根据《人寿保险法》注册的非经营性控股公司根据PHIPS法案注册的私人健康保险公司根据SIS法案,RSE持牌人就其业务运营此外,如果澳大利亚审慎监管局监管实体的信息资产由第三方管理,则CPS 234中的要求也适用于这些信息资产。谁负责CPS 234的合规性?受澳大利亚审慎监管局监管的实体的董事会最终负责CPS 234的合规性。董事会必须确保该实体以与其信息资产所受威胁的规模和程度相称的方式维护信息安全,并确保该实体能够持续稳健地运营。也就是说,董事会可以将安全角色和职责委托给董事会下属委员会、管理委员会或个人。只要董事会能够清楚地概述其在信息安全方面的预期,包括风险、问题和报告的升级。 此外,各实体必须明确界定董事会、高级管理层、理事机构和负责决策、批准、监督、运营和其他信息安全职能的个人的信息安全相关角色和职责。这通常是通过结合管理机构的作用声明、政策声明、报告渠道和章程来实现的。具有决策、批准、监督、运营和其他信息安全角色和职责的共同管理机构和个人包括:信息安全指导/监督委员会风险管理委员会(董事会和管理层)董事会审计委员会执行管理委员会首席信息官(CIO)首席信息安全官(CISO)IT经理IT安全经理信息安全运营/管理人员管理(业务和IT)这些委员会和个人通常位于独立的业务部门、IT职能部门以及相关方和第三方。这可能导致缺乏所有权、责任不清、监督不力和做法支离破碎为了解决这些问题,必须明确界定每个领域的责任并采取补偿措施。此外,董事会、理事机构和个人应确定其信息要求(如时间表、格式、范围和内容),以确保向他们提供充分和及时的信息,以有效履行其职责和职责这应该包括定量和定性内容。对于非技术受众,技术信息和指标应辅以适当的主题分析和对业务影响的评论这应该得到定义的升级路径和阈值的支持,以及定期审查受众相关性和适用性的流程。 对于本指南以外的其他指南,我们建议阅读审慎实践指南CPG 234信息安全。 CPS 234的关键要求是什么?CPS 234要求澳大利亚审慎监管局监管的实体:明确界定董事会、高级管理层、管理机构和个人的信息安全相关角色和职责维持与其信息资产所受威胁的规模和程度相称的信息安全能力,免费cc防御软件,并使实体能够持续稳健地运作实施控制措施,以保护其信息资产与这些信息资产的关键性和敏感性相称,并对这些控制措施的有效性进行系统的测试和保证通知澳大利亚审慎监管局重大安全事件这些关键要求可进一步细分为八类,即:信息安全能力政策框架信息资产识别与分类信息安全控制的实施事件管理测试控制效果内部审计澳大利亚审慎监管局通知CPS 234的信息安全能力要求是什么?CPS 234要求澳大利亚审慎监管局监管的实体:维持与其信息资产所受威胁的规模和程度相称的信息安全能力,以使实体能够持续稳健地运作评估代表实体管理信息资产的相关方或第三方的信息安全能力,与影响这些资产的信息安全事件的潜在后果相称积极维护其信息安全能力,以应对脆弱性和威胁的变化,包括信息资产或业务环境的变化为满足这些要求,澳大利亚审慎监管局监管的实体通常会审查资源配置的充分性,包括资金和人员配置、及时获得必要技能集以及控制环境的全面性。典型控制可能包括:脆弱性和威胁管理,包括态势感知和情报信息安全运营与管理安全设计、架构和咨询安全测试,包括渗透测试信息安全报告和分析事件检测和响应,包括恢复、通知和通信信息安全调查,网络安全工具,包括证据保存和法医分析信息安全保障此外,实体还必须了解第三方和相关方的资源、技能和控制的充分性,免费ddos防御墙,局域网ddos防御方法,包括考虑分包和采购安排(第四方风险)这可以通过面试、服务报告、控制测试、认证、证明(如SOC 2)、转介和独立保证评估相结合来实现因为CPS 234要求实体积极维护其