DORA 鼓勵組織在法例所提供的監管框架內建立靈活的營運彈性能力,包括:
發展強大的風險管理實踐進
行內部稽核和自我評估
實施控制以最大程度地減少 ICT 風險
DORA 值得注意的是,它旨在促進強大的治理,同時允許每個公司在自己的個人環境中適應。 鑑於 DORA,金融行業中的企業必須準備有效應對各種形式的數位中斷,包括系統故障到網路攻擊,同時維持業務運作。
金融部門在高度互連的數字環境中運作。
在關鍵任務系統和基礎架構上對 ICT 和第三方服務供應商的加速依賴,增加了數位攻擊表面,因此金融組織對網絡安全威脅的接觸更大。 危害或破壞系統、更改或洩露敏感資料以及破壞機構聲譽的網路攻擊威脅著整個金融體系的穩定性。
考慮到 DORA 合規要求,對於金融領域營運的組織來說,加強 IT 風險管理和營運彈性能力非常重要。 有效的方法包括資訊科技相關風險的所有方面,包括:
通過實施 DORA 的要求,金融機構邁向保護自己免受網絡威脅,維持業務連續性,並加強對客戶的信任。
它的主要重點是運營彈性,以確保在潛在惡劣的數字環境中繼續營運。 為了迅速應對資訊及通訊科技威脅,經營金融服務業的企業必須根據以下六個核心原則優先考慮其韌性計劃:
風險管理:建立 ICT 風險管理架構,包括全面的內部治理、自我評估和控制以識別和最低風險。
信息和情報共享:鼓勵金融實體制定流程,以在安全社區中報告和分享有關網絡威脅的信息。
第三方風險管理:DORA 要求組織實施涵蓋供應鏈的安全措施。
業務持續性計劃:金融服務必須有一個完整且經過測試的連續性計劃,以通過安全事件來維持營運。
事件回應和危機管理:DORA 是數位復原力的關鍵組成部分,要求必須制定一個完善的事件應變計劃,以分類、管理和報告 ICT 事件。
持續測試和監控:DORA 要求組織對系統進行定期測試和監控異常活動,以確保它們能夠抵禦網絡威脅的韌性。
以下要素代表了金融機構和服務提供者在努力實現 DORA 完全合規性時必須遵守的核心要求:
組織必須實施控制以最大程度地減少 ICT 風險,並且必須能夠通過定期測試來展現韌性,表明他們能夠承受安全事件而不會對服務進行嚴重中斷。
DORA 要求建立健全的 ICT 風險管理流程,包括徹底的自我評估,以確定組織現有的安全狀況和潛在的脆弱性。
組織必須配置資源以增強對網路威脅的韌性。 這包括鼓勵在資訊及通訊科技系統管理方面具有專業知識的技術員工。
組織還必須準備詳細的文件,詳細說明確保數字營運恢復力所採取的措施。 這包括連續性計劃、應對資訊科技相關事件的事件回應計劃、資料治理結構以及測試和報告活動。
DORA 對第三方資訊及通訊系統所引入的控制項(例如: 雲端提供者)鼓勵組織對合約進行分類和評估,要求服務提供者提供額外的合規保證,並更新保險範圍以滿足新的要求。
金融機構必須通過完成差距評估來開始準備,以確定需要改進的領域。 差距評估應根據 ESA 指南、NIS 和 CROE 以及 NIST 網路安全性架構、ISO、ITIL 和 COBIT 等 IT 風險管理標準來確定 DORA 合規。
根據您組織的具體情況, HIPAA 合規性也可能是一個因素。
最終,該分析將有助於確定與 DORA 不符的關鍵領域,並為數位彈性策略的發展提供資訊。
完成差距評估後,組織應建立路線圖,定義實施時間表,並協助確定分配資源和實施安全系統的計畫的優先順序,以滿足合規性要求。
DORA 的一個關鍵方面是歐洲監管機構(ESA)對金融實體的加強監督。 這將導致更強大的控制以確保數位彈性。
金融部門的組織將需要在 IT 風險管理和網絡威脅偵測和安全能力方面進行大量投資。 此外,NIS2 指令是與 DORA 相似的網絡安全標準,將影響廣泛的業務部門。 由於組織重新設備系統和員工以符合嚴格的要求,這些法規可能會導致成本增加。
考慮到所有這些挑戰,採取主動的方法來遵守 DORA 要求非常重要。 DORA 將導致對金融部門業務進行加強的審查和更嚴格的規定,從而導致這些機構的成本更高。
立即開始使用,組織可以更好地處理這個新的監管環境,以便對 DORA 要求做好充分準備。
DORA 於 2023 年 1 月生效,組織必須在 2025 年 1 月之前完全遵守該法規,因此組織必須立即啟動合規準備。
隨著合規期限的臨近,金融業的安全專業人員了解他們需要採取哪些步驟來確保 DORA 合規性變得越來越重要。
2025 年 1 月前需要注意的兩個重要里程碑是歐洲監管局的認證流程,以及強制性威脅導向滲透測試 (TLPT) 的開始,這將為金融機構提供評估準備狀況的框架。
當我們應對 DORA 的複雜性時,隨著完全合規的最後期限的臨近,組織必須採取積極主動的措施來確保合規。
為了滿足快速事件報告、第三方風險管理和增加的審計要求的法規,必須採取主動措施來了解當前的準備情況並識別組織中可能不合規的領域。
Check Point NIS2/DORA 準備評估可以幫助您的組織在 2025 年 1 月截止日期之前為 DORA 做好準備,從而增強或實現合規性。
Check Point Software 有能力與您合作,為 NIS2 和 DORA 做好準備。 透過共同努力,我們可以在您的組織內培養營運彈性文化,以降低網路威脅和監管不合規的風險。
反映意見