Der von der Australian Prudential Regulation Authority festgelegte CPS 234 Informationssicherheitsstandard zielt darauf ab, sicherzustellen, dass von der APRA regulierte Unternehmen, die im Finanzsektor tätig sind, über solide und effektive Informationssicherheitspraktiken verfügen, um ihre sensiblen Daten vor Cyberbedrohungen zu schützen. Durch die Einhaltung dieses Standards verbessern Finanzinstitute ihre Sicherheitsposition, mindern Cyberrisiken, schützen Unternehmensdaten und bauen Vertrauen auf.
Im letzten Jahrzehnt hat die Cyberkriminalität stark zugenommen. Böswillige Akteure finden immer ausgeklügeltere und raffiniertere Wege, um Informationswerte zu kompromittieren, was Unternehmen in Australien und weltweit erheblichen finanziellen und reputativen Schaden zufügt. Finanzinstitute sind aufgrund der großen Menge an Finanzdaten und des Zugangs zu persönlich identifizierbaren Informationen, die diese Organisationen besitzen, besonders anfällig. Glanzlose Informationssicherheitssysteme und eine Abhängigkeit von Technologie und Drittanbietern durch Versicherungs-, Bank- und Pensionskassenunternehmen verschärfen diese Probleme.
CPS 234 stellte einen großen Fortschritt bei der Stärkung der Informationssicherheitsprozesse der Finanzdienstleistungsbranche dar. Das CPS 234-Framework ist darauf ausgelegt, sicherzustellen, dass von der APRA regulierte Unternehmen robuste Informationssicherheits- und operationelle Resilienzpraktiken aufrechterhalten, die sie selbst und ihre Kunden vor Cyberrisiken schützen. CPS 234 verlangt von Organisationen auch, dem IT- Anbieterrisikomanagement mehr Aufmerksamkeit zu schenken, um sicherzustellen, dass Vorfälle mit Dritten reduziert werden.
Das erfolgreiche Verständnis und die Integration dieser Regulierung ist nicht nur eine Frage der Compliance, sondern ein strategisches Gebot. Es geht um den Kern dessen, wie Finanzdienstleistungsinstitute arbeiten, Informationen schützen und letztendlich, wie sie Vertrauen aufrechterhalten.
Dieser Blog erklärt, was CPS 234 ist, wer sich daran halten muss, und teilt Best Practices zur Erfüllung der wichtigsten Informationssicherheitsanforderungen des Standards. Und noch wichtiger ist, dass er zeigt, wie Software Organisationen dabei unterstützen kann, Prozesse zu implementieren, die den CPS 234-Anforderungen entsprechen.
Was ist CPS 234?
Festgelegt von der Australian Prudential Regulation Authority (APRA), ist CPS 234 für Informationssicherheit ein aufsichtsrechtlicher Standard, der sich an von der APRA regulierte Unternehmen im Finanzsektor richtet. Sein Hauptziel ist es, sicherzustellen, dass diese Organisationen solide und effektive Informationssicherheitspraktiken implementiert haben, um die Wahrscheinlichkeit und die Auswirkungen von Informationssicherheitsrisiken und -vorfällen zu minimieren. Es wurde entwickelt, um die Vertraulichkeit und Integrität von Informationswerten zu schützen, einschließlich derer, die von verbundenen Drittanbietern verwaltet werden.
Der Standard verlangt vom Senior Management, ein umfassendes Sicherheitsrichtlinien-Framework zu etablieren und aufrechtzuerhalten, Cyberrisiken zu managen, robuste Sicherheitskontrollen zu implementieren und klare Verantwortlichkeiten für Sicherheitsrollen und -aufgaben zu definieren. Um den CPS 234-Anforderungen zu entsprechen, müssen Unternehmen auch Incident-Response-Pläne haben und in der Lage sein, effektiv auf potenzielle Sicherheitsvorfälle zu reagieren. Regelmäßige Tests und unabhängige Überprüfung der Kontrollen für Informationstechnologie-Assets sind ebenfalls eine Schlüsselanforderung unter CPS 234, um die fortlaufende Einhaltung zu gewährleisten.
Warum ist CPS 234 wichtig?
Cyberangriffe nehmen in Bezug auf Auswirkungen, Häufigkeit und Raffinesse zu, wobei die Täter ihre Bemühungen, Netzwerke und Systeme zu kompromittieren, ständig verfeinern. Das CPS 234 Informationssicherheits-Framework für australische Finanzorganisationen ist wichtig, um sicherzustellen, dass von der APRA regulierte Unternehmen gegenüber Cyberangriffen und anderen Informationssicherheitsrisiken resilient sind. Der Standard verlangt auch von Unternehmen, umgehend zu reagieren, sollte ein Sicherheitsvorfall eintreten.
CPS 234 ist wichtig für von der APRA regulierte Unternehmen. Erhöhte Erwartungen von Stakeholdern, einschließlich des Senior Managements, des Vorstands, der Aktionäre, Regulierungsbehörden und Kunden, hinsichtlich des effektiven Schutzes von Informationswerten haben den Bedarf an robusteren IT-Sicherheitsmaßnahmen vorangetrieben. Das Verständnis der Anforderungen von CPS 234 ist daher für alle von der APRA regulierten Unternehmen im Finanzsektor von entscheidender Bedeutung.
Für wen ist CPS 234 relevant?
CPS 234 gilt für alle juristischen Personen, die von der Australian Prudential Regulation Authority reguliert werden, nämlich:
- Bankorganisationen, Kreditgenossenschaften, Neobanken oder andere zugelassene Einlageninstitute
- Versicherungsgesellschaften
- Pensionskassen
- Nicht operierende Holdinggesellschaften
- Lebensversicherungsgesellschaften und Hilfsvereine
- Private Krankenversicherungsgesellschaften
Diese Unternehmen sind verantwortlich für die Aufrechterhaltung von Informationssicherheitssystemen und -praktiken, die den Bedrohungen, denen sie ausgesetzt sind, angemessen sind. Darüber hinaus gelten die Anforderungen in CPS 234 auch für Dritte, wenn die Informationswerte eines von der APRA regulierten Unternehmens von einem Dritten verwaltet oder gehalten werden.
Was sind die Kernanforderungen von CPS 234?
Die Absicht und Struktur von CPS 234 ist darauf ausgelegt, gute Sicherheitspraktiken innerhalb von Finanzinstituten zu fördern und dem Vorstand angemessene Verantwortung und Rechenschaftspflicht zu übertragen. Der CPS 234 Informationssicherheitsstandard verlangt von Unternehmen, die folgenden Praktiken zu implementieren.
Rollen und Verantwortlichkeiten definieren, einschließlich der Einbindung des Vorstands: Gemäß CPS 234 ist der Vorstand eines von der APRA regulierten Unternehmens letztendlich für die Informationssicherheit der Organisation verantwortlich. Der Vorstand sollte dem Management einen klaren Überblick darüber geben, wie er in die Informationssicherheit eingebunden werden möchte, und Anleitungen zu den Prozessen für die Risikoeskalation und etwaige Berichtsanforderungen bereitstellen. Darüber hinaus müssen Organisationen klar definierte informationssicherheitsbezogene Rollen mit klaren Verantwortlichkeiten für den Vorstand und das Senior Management in Bezug auf Entscheidungsfindung, Genehmigungen, Operationen und andere Informationssicherheitsprozesse haben. Diese Bestimmungen sollen die Bildung funktionsübergreifender Teams fördern, um eine ordnungsgemäße Aufsicht und Governance in Bezug auf Informationssicherheit zu gewährleisten.
Eine Informationssicherheitsfähigkeit mit effektivem Cyber-Risikomanagement aufrechterhalten: Ein von der APRA reguliertes Unternehmen muss Informationssicherheitsmaßnahmen aufrechterhalten, die der Größe und dem Ausmaß der Bedrohungen seiner Informationswerte angemessen sind, um die Datensicherheit und die Betriebsfähigkeit der Organisation zu gewährleisten. Dies beinhaltet die Fähigkeit, Cyberrisiken und Schwachstellen durch regelmäßige Risikobewertungen und Tests zu identifizieren und zu managen. Unternehmen müssen ein Cyber-Risikoregister einrichten, Key Risk Indicators (KRIs) definieren, Risikostufen überwachen und geeignete Maßnahmen ergreifen, um Cyberrisiken innerhalb tolerierbarer Grenzen zu halten.
IT-Risiken Dritter managen: CPS 234 verlangt von Unternehmen, die Informationssicherheitsfähigkeit Dritter regelmäßig zu bewerten und Bedrohungen kontinuierlich zu überwachen. Dies beinhaltet die Verwendung von Drittanbieter-Risikobewertungen zur Identifizierung potenzieller Risiken, die Nutzung von Drittanbieter-Intelligence-Tools zum Verständnis von Risiken in Bezug auf jeden Anbieter und die Überwachung der Leistung anhand von SLAs und KPIs. Organisationen müssen auf der Grundlage der Ergebnisse von Anbieter-Risikobewertungen Empfehlungen zur Behebung festlegen, um sicherzustellen, dass Drittanbieter-Risiken umgehend angegangen werden.
Angemessene Cybersicherheitsrichtlinien haben: Die Richtlinien des Policy-Frameworks in CPS 234 verlangen von einem von der APRA regulierten Unternehmen, eine Informationssicherheitsrichtlinienbibliothek zu unterhalten, die seinen Expositionen gegenüber Schwachstellen und Bedrohungen angemessen ist. Dies stellt sicher, dass interne Teams und Dritte die Anforderungen der Informationssicherheitsrichtlinien kennen und einhalten und dass diese regelmäßig bewertet werden.
Identifizierung und Klassifizierung von Informationswerten: Diese CPS 234-Bestimmung verlangt von von der APRA regulierten Organisationen, ihre Informationswerte nach Kritikalität und Sensibilität zu klassifizieren, einschließlich derer, die von Dritten und verbundenen Parteien verwaltet werden. Diese Klassifizierungen müssen das Ausmaß widerspiegeln, in dem ein Informationssicherheitsvorfall, der diesen Wert betrifft, die Organisation und ihre Finanzen, Operationen, Versicherungsnehmer und Kunden beeinträchtigen könnte. Um diesen Prozess zu starten, müssen Teams eine Methodik definieren, um Datenrisiken zu verfolgen und zu quantifizieren und diese fortlaufend zu überwachen.
Kriterien zur Klassifizierung von Datenwerten könnten finanzielle Auswirkungen, Reputationsauswirkungen, ihre Exposition gegenüber operativen oder kundenorientierten Prozessen, ihre Kritikalität für die Geschäftsleistung und den Betrieb sowie alle damit verbundenen rechtlichen oder regulatorischen Überlegungen umfassen.
Implementierung von Kontrollen: Um CPS 234 einzuhalten, müssen Organisationen Informationssicherheits-Kontrollen haben, um kritische Informationswerte zu schützen. Unternehmen müssen bestehende und aufkommende Schwachstellen und Bedrohungen für jeden Datenwert identifizieren, die Kritikalität und Sensibilität des Werts klassifizieren, den Lebenszyklus aller Informationswerte verstehen und die potenziellen Folgen eines Datensicherheitsvorfalls dokumentieren.
Kontrolltests: Ein von der APRA reguliertes Unternehmen muss die Wirksamkeit seiner Informationssicherheitskontrollen durch ein systematisches Testprogramm überprüfen. Dies umfasst Kontrollen für alle Datenwerte, die von Dritten verwaltet werden. Die Tests müssen mit der Geschwindigkeit, mit der sich Schwachstellen und Bedrohungen ändern, der Kritikalität und Sensibilität des Datenwerts, den Folgen eines Informationssicherheitsvorfalls, allen Bereichen, in denen die Organisation ihre Informationssicherheitsrichtlinien nicht durchsetzen kann, und der Häufigkeit von Änderungen an Informationswerten übereinstimmen.
Alle Kontrollmängel, die nicht umgehend behoben werden können, müssen an das Senior Management und den Vorstand eskaliert werden, um eine schnelle Lösung zu gewährleisten.
Cyber-Vorfallsmanagement: Von der APRA regulierte Unternehmen müssen auch eine Reihe von Richtlinien und Verfahren implementieren, um Informationssicherheits-Vorfälle rechtzeitig zu erkennen und darauf zu reagieren. Dies umfasst die Meldung, Eskalation und Behebung von Vorfällen.
Die Implementierung eines gut getesteten und bewährten Cyber-Vorfallsmanagementprozesses ist entscheidend für die Beschleunigung der Vorfallerkennung und -minderung. Unternehmen müssen sicherstellen, dass Mitarbeiter wissen, wann und wie ein Cyber-Vorfall zu melden ist, und sie müssen klar definierte Prozesse für Eskalation und Behebung haben.
Cyber-Audits: In dieser Kategorie muss die interne Auditfunktion einer von der APRA regulierten Organisation eine Überprüfung des Designs und der operativen Wirksamkeit von Informationssicherheitskontrollen umfassen, einschließlich derer, die von Dritten aufrechterhalten werden. Teams können Informationssicherheitsbewertungen anhand von Informationssicherheits-Kontroll-Frameworks wie ISO 27001, COSO oder SOC 2 standardisieren. Dadurch können IT-Sicherheits- und interne Audit-Teams eine zentrale Methodik zur Messung und Demonstration der Einhaltung interner IT-Kontrollen implementieren und eine konsolidierte Ansicht ihres Informationssicherheitssystems gewährleisten.
Prozess zur Benachrichtigung der APRA: In der letzten Anforderungskategorie müssen Unternehmen die APRA innerhalb von 72 Stunden nach Kenntnisnahme eines wesentlichen Informationssicherheitsvorfalls und innerhalb von 10 Geschäftstagen nach Kenntnisnahme einer Informationssicherheitskontrollschwäche, die nicht effektiv und umgehend behoben werden kann, benachrichtigen.
Um diese Anforderung zu erfüllen, müssen Teams effektive Berichtskanäle sicherstellen. Teams können Daten aus der Risikoüberwachung und Kontrolltests nutzen, um potenzielle Probleme hervorzuheben, und relevante Stakeholder können entscheiden, ob eine APRA-Benachrichtigung erforderlich ist und entsprechend eskalieren.
Wie kann GRC-Software bei der CPS 234-Konformität helfen?
GRC-Software kann von der APRA regulierte Unternehmen dabei unterstützen, den aufsichtsrechtlichen CPS 234 Informationssicherheitsstandard in den folgenden Schlüsselbereichen erfolgreich zu managen:
IT- und Cyberrisiken managen: GRC-Software ermöglicht es Organisationen, die CPS 234-Anforderungen zu erfüllen, indem sie ein Framework zur Implementierung eines Best-Practice-IT-Risikomanagementprogramms bietet. Durch die Identifizierung von Cyberrisiken, die Erstellung von IT- und Cyber-Risikoregistern und die Durchführung von Online-Cyber-Risikobewertungen in der Plattform können Teams einen ganzheitlichen Überblick über die Cyberrisikoexposition erhalten. Regulierte Unternehmen können Key Risk Indicators (KRIs) etablieren und Risikostufen kontinuierlich überwachen. Automatisierte Workflows erleichtern die Risikoeskalation und die Implementierung von Risikobehandlungsmaßnahmen.
Kontrollen zur Reduzierung von Cyberrisiken festlegen: GRC-Software bietet ein Best-Practice-Framework für Unternehmen, um Kontrollen zur Verwaltung von Cyberrisiken festzulegen. Unternehmen können kritische Details zu Schwachstellen und Bedrohungen, die Kritikalität und Sensibilität der Daten, die Lebenszyklusphase der Informationswerte und die Folgen eines Sicherheitsvorfalls erfassen. Kontrollen können mit dem relevanten Datensatz und allen entsprechenden Cyberrisiken im Risikoregister verknüpft werden.
Tests und Kontrolleffektivität: CPS 234-fähige GRC-Software ermöglicht es von der APRA regulierten Unternehmen, ein Kontrolltestprogramm zu etablieren, das mit der Geschwindigkeit übereinstimmt, mit der sich Bedrohungen und Schwachstellen ändern, die Kritikalität und Sensibilität der Daten berücksichtigt, die Folgen eines Sicherheitsvorfalls untersucht, die Exposition gegenüber Umgebungen berücksichtigt, in denen IT-Richtlinien nicht durchgesetzt werden können, und die Häufigkeit von Änderungen an Informationswerten. Organisationen können auch Kontrolltests für Kontrollen durchführen, die sich auf relevante Dritte beziehen, die Unternehmensdaten speichern. Alle Kontrollmängel können leicht dem relevanten Stakeholder gemeldet werden, und automatisierte Workflows ermöglichen eine schnelle Eskalation und Behebung von Kontrolleffizienzen.
Drittanbieter-Risikomanagement: GRC-Software ermöglicht es Unternehmen, einen Best-Practice-Drittanbieter-Risikomanagementprozess zu implementieren, um die Cyberrisiken und vertraglichen Vereinbarungen mit Dienstleistern effektiv zu überwachen. Unternehmen können eine Anbieterbibliothek erstellen, die wesentliche Daten zu Vertragsdetails, SLAs und KPIs sowie relevante Kontrollen erfasst und die fortlaufende Leistung anhand wichtiger Kennzahlen überwacht. Mitarbeiter, Anbieter und Lieferanten können bequem Fragebögen, Umfragen und Anbieter-Risikobewertungen online ausfüllen, wobei alle Daten in die Plattform eingespeist werden, um ein Profil jedes Anbieters zu erstellen. Unternehmen können Dashboards und Berichte nutzen, um die Anbieterleistung und Cyber-Drittanbieter-Risiken einfach zu verfolgen. Viele GRC-Lösungen verbinden sich mit Drittanbieter-Risikointelligenzanbietern, wodurch sie Informationen über die finanzielle Stabilität, ethische Überlegungen, rechtliche und regulatorische Fragen und die Cybersicherheitsposition jedes Drittanbieters, mit dem sie zusammenarbeiten, einsehen können.
Einhaltung von CPS 234 und anderen Standards und Vorschriften nachweisen: GRC-Software ermöglicht es Organisationen, eine Pflichtenbibliothek einzurichten und alle anwendbaren Vorschriften sowie interne IT-Richtlinien aufzunehmen und die Einhaltung durch die Implementierung schrittweiser Workflow-Prozesse und -Prüfungen zu überwachen. Teams können Benachrichtigungen über regulatorische Updates von Drittanbieter-Regulierungs-Content-Anbietern direkt in die Plattform erhalten und einen Best-Practice-Regulierungsänderungsmanagementprozess implementieren, um sicherzustellen, dass alle Operationen den relevanten regulatorischen Anforderungen entsprechen.
IT-Richtlinien managen und Compliance sicherstellen: Nutzen Sie GRC-Software, um eine IT-Richtlinienbibliothek einzurichten und Richtlinienänderungen, Genehmigungen, Abnahmen und Bestätigungen innerhalb der Plattform zu verwalten. Organisationen können kritische Details zu jeder Richtlinie erfassen und Berichte über die Richtlinienkonformität und Mitarbeiterbestätigungen einsehen. Richtlinien können einfach mit den relevanten Risiken, Kontrollen, Audits und Compliance-Anforderungen verknüpft werden.
Cyber-Audits managen: Planen und terminieren Sie effektiv interne und externe Cyber-Audits. Unternehmen können Best-Practice-Workflows und -Formulare verwenden, um Audit-Anforderungen zu planen und zu terminieren, und interne Auditoren können die Ergebnisse mithilfe von Online-Formularen erfassen. Alle Ergebnisse werden in der Plattform erfasst, und alle Empfehlungen können mithilfe von Best-Practice-Fallmanagement-Workflows implementiert werden. Verfolgen Sie Empfehlungen und Maßnahmen, indem Sie Audits bei Bedarf mit Risiken und Risikobehandlungen verknüpfen. Dies bietet eine vollständige End-to-End-Rückverfolgbarkeit und ermöglicht die Berichterstattung an wichtige Stakeholder.
Cybervorfälle verwalten und beheben: Um dem CPS 234-Standard zu entsprechen, umfasst die meisten GRC-Software bewährte Funktionen zur Vorfallmeldung, um Organisationen dabei zu unterstützen, Cybervorfälle gemäß den CPS 234-Anforderungen schnell und effektiv zu melden und zu beheben. Kontrollen können leicht implementiert werden, um die Vorfallraten zu senken, und Cyberrisiken können jedem damit verbundenen Cybervorfall zugeordnet werden, um die wahrscheinliche Ursache mittels Ursachenanalyse zu ermitteln. Unternehmen können Vorfallraten einfach melden und neue Maßnahmen zur Reduzierung der Wiederholung implementieren, was die kontinuierlichen Verbesserungsbemühungen stärkt.
APRA-Benachrichtigungsworkflow: Unternehmen müssen einen formalen Eskalationsprozess eingerichtet haben, um die APRA über potenzielle Informationssicherheitsvorfälle und Schwachstellen bei Informationssicherheitskontrollen zu informieren. GRC-Plattformen ermöglichen es Unternehmen, Workflows zu implementieren, um sicherzustellen, dass Stakeholder umgehend über Cybervorfälle und ineffektive Kontrollen informiert werden, sodass sie die APRA innerhalb des festgelegten Zeitrahmens benachrichtigen und den Benachrichtigungsprozess vollständig dokumentieren können. Senden Sie Benachrichtigungen per E-Mail oder SMS mit einem direkten Link zur Plattform, damit die Mitarbeiter die notwendigen Eskalationsmaßnahmen durchführen können.
Verbessern Sie die Informationssicherheitsfähigkeiten Ihrer Organisation mit CPS 234 Software
Der Aufsichtsstandard CPS 234 verlangt von APRA-regulierten Unternehmen in ganz Australien, Maßnahmen zu ergreifen, um widerstandsfähig gegen Cyberkriminalität zu sein, indem sie eine Informationssicherheitsfähigkeit aufrechterhalten, die ihren Informationssicherheitslücken und -bedrohungen angemessen ist.
Obwohl die Absicht und Struktur von CPS 234 darauf abzielen, gute Sicherheitspraktiken innerhalb von Finanzinstituten zu fördern und die entsprechende Verantwortung und Rechenschaftspflicht dem Vorstand zu übertragen, kann die Einhaltung dieser Richtlinien ein komplexer Prozess sein, wenn sie nicht durch die richtige Softwarelösung unterstützt wird.
Fordern Sie noch heute eine Demo an, um zu erfahren, wie die GRC-Software von Riskonnect Ihre Organisation dabei unterstützen kann, strukturierte Best-Practice-Prozesse zur Erfüllung der CPS 234-Anforderungen zu implementieren.
