澳大利亚金融公司董事会面临更严格的信息安全规则

从新财政年度开始，受澳大利亚审慎监管局(APRA)监管的金融机构将在其下面点火，以更加认真地对待网络安全。

新指令是通过APRA的CPS-234信息安全标准[PDF]，并要求APRA监管实体的董事会最终负责确保该实体维护其信息安全。

“该审慎标准旨在确保APRA监管的实体采取措施，通过维护与信息安全漏洞和威胁相称的信息安全能力来抵御信息安全事件(包括网络攻击)，”标准解释说。

根据新指令，APRA监管的实体必须明确界定董事会，高级管理层，理事机构和个人的信息安全相关角色和职责。

他们还必须保存和维护一份日志，详细说明其信息资产受到威胁的大小和程度，并实施控制措施以保护其信息资产日志，并对“这些控制措施的有效性进行系统测试和保证”。

此外，该实体必须通知APRA“重大”信息安全事件。

APRA监管的实体必须尽快通知APRA，并且在任何情况下，在发现信息安全事件后不迟于72小时通知APRA。

构成事件的原因是，如果它对实体或存款人，保单持有人，受益人或其他客户的利益产生重大影响，或有可能在财务上或非财务上产生重大影响;或已通知澳大利亚或其他司法管辖区的其他监管机构。

此外，受APRA监管的实体必须尽快通知APRA，并且在任何情况下，在其发现实体预期无法在其中修复的重大信息安全控制弱点后的10个工作日内通知APRA。及时。

“APRA监管实体的董事会最终负责实体的信息安全。董事会必须确保该实体以与其信息资产受到威胁的规模和程度相称的方式维护信息安全，并使该实体继续稳健运营，“APRA说。

根据新标准，APRA监管的实体必须按照关键性和敏感性对其信息资产进行分类，包括由关联方和第三方管理的信息资产。

“如果信息资产由关联方或第三方管理，APRA监管的实体必须评估该方的信息安全能力，与影响这些资产的信息安全事件的潜在后果相称，”监管机构补充说。

该标准是根据1959年“银行法”第11AF节，1973年“保险法”第32节，“1995年人寿保险法”第230A条，“2015年私人医疗保险(审慎监督)法”第92条和退休金第34C条制定的。1993年工业(监督)法案(SIS)。

因此，它适用于所有APRA监管的实体，定义的授权存款机构(ADI)，包括外国ADI，以及根据“银行法”授权的非经营控股公司;一般保险公司，根据“保险法”授权的非经营性控股公司，以及二级保险集团的母公司;寿险公司，包括友好协会，符合条件的外国人寿保险公司，以及根据“人寿保险法”注册的非经营性控股公司;根据PHIPS法案注册的私营医疗保险公司;根据SIS法案和RSE许可证持有人的业务运营。

标签：

免责声明：免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！