קאָננעקט אויסטראַליע ס מאַנדאַטאָרי פינאַנצן רעגולירן מיט ISO 27001
CPS 234 איז אַ אינפֿאָרמאַציע זיכערהייט רעגולירן ארויס דורך די אַוסטראַליאַן פּרודענטיאַל רעגולאַטיאָן אויטאָריטעט (APRA) פֿאַר פאַרזיכערונג און פינאַנציעל אָרגאַנאַזיישאַנז צו באַשיצן קעגן סייבער אנפאלן.
די אַוסטראַליאַן פּרודענטיאַל רעגולאַטיאָן אויטאָריטעט (APRA) איז געגרינדעט אין 1998 דורך די אַוסטראַליאַן רעגירונג.
APRA אָוווערסיז פּריוואַט געזונט ינשורערז, אַלגעמיינע און לעבן ינשורערז, סופּעראַננואַטיאָן געלט, פרייַנדלעך סאַסייאַטיז, ריינשוראַנס קאָמפּאַניעס און פינאַנציעל אינסטיטוציעס אָטערייזד צו נעמען דיפּאַזאַץ ווי בנין סאַסייאַטיז, באַנקס און קרעדיט יוניאַנז.
CPS 234 איז אַן אינפֿאָרמאַציע זיכערהייט רעגולירן ערשטער ארויס דורך APRA אויף 1 יולי 2019. די רעגולירן איז דיזיינד צו העלפֿן אָרגאַנאַזיישאַנז באַשיצן זיך און זייער קאַסטאַמערז פון סייבעראַטאַקס דורך פֿאַרשטאַרקונג זייער אינפֿאָרמאַציע זיכערהייט פריימווערק.
CPS 234 יסטאַבלישיז רעקווירעמענץ וועגן אינפֿאָרמאַציע אַסעט לעגיטימאַציע און קלאַסאַפאַקיישאַן, אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז, ימפּלאַמענטיישאַן און טעסטינג פון אינפֿאָרמאַציע זיכערהייט קאָנטראָלס, אינצידענט פאַרוואַלטונג, ינערלעך קאָנטראָלירן און בריטש אָנזאָג.
CPS 234 סטיפּיאַלייץ אַז רעגיאַלייטאַד ענטיטיז מוזן האַלטן אינפֿאָרמאַציע זיכערהייט סיסטעמען און פּראַקטיסיז וואָס זענען טויגן פֿאַר די טרעץ זיי פּנים.
פינאַנציעל אינסטיטוציעס זענען אַ פאָלקס ציל פֿאַר סייבער אַטאַקס ווייַל זיי האַלטן פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע (PII) און פּראָטעקטעד געזונט אינפֿאָרמאַציע (PHI) פון אויסטראַלישע איינוואוינער.
APRA-רעגיאַלייטאַד ענטיטיז זענען פארלאנגט צו נאָכפאָלגן CPS 234. דער נאָרמאַל פאלן אונטער די פאלגענדע געזעצן:
CPS 234 קאָווערס אַלע APRA רעגיאַלייטאַד ענטיטיז, אַזאַ ווי:
ענטיטיז דערמאנט אויבן האַלטן וויכטיק פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע און פּראָטעקטעד געזונט אינפֿאָרמאַציע וואָס סייבער אַטאַקס וואָלט ציל בעשאַס אַן באַפאַלן.
אונטער CPS 234, איר האָבן אינפֿאָרמאַציע זיכערהייט פיייקייט באדערפענישן וואָס איר האָבן צו טרעפן.
דאס פארלאנגט:
צו טרעפן די רעקווירעמענץ, רעגיאַלייטאַד ענטיטיז טיפּיקלי אָפּשאַצן די אַדאַקוואַסי פון ריסאָרסינג, אַרייַנגערעכנט פאַנדינג און סטאַפפינג רעסורסן און בייַצייַטיק אַקסעס צו נייטיק סקילז.
ענטיטיז רעגיאַלייטאַד דורך APRA מוזן האַלטן אַן אינפֿאָרמאַציע זיכערהייט פּאָליטיק פריימווערק וואָס ריפלעקס זייער ויסשטעלן צו וואַלנעראַביליטיז און טרעץ. די ריספּאַנסאַבילאַטיז פון אַלע פּאַרטיעס וואָס האָבן אַ פליכט צו האַלטן אינפֿאָרמאַציע און דאַטן זיכערהייט זאָל זיין געגעבן ריכטונג דורך דיין אָרגאַניזאַציע ס פּאָליטיק.
די פריימווערק איז טיפּיקלי סטראַקטשערד ווי אַ כייעראַרקי מיט העכער-מדרגה פּאַלאַסיז געשטיצט דורך גיידליינז און פּראָוסידזשערז.
עס זענען פילע פּראָסט געביטן אין די פּאָליטיק פריימווערק, אַזאַ ווי:
דער פריימווערק וואָלט טיפּיקלי זיין קאָנסיסטענט מיט אנדערע ענטיטי פראַמעוואָרקס, אַזאַ ווי ריזיקירן פאַרוואַלטונג און סערוויס פּראַוויידערז פאַרוואַלטונג.
געפינען אויס ווי גרינג עס איז צו פירן דיין
העסקעם מיט APRA סטאַנדאַרדס אויף ISMS.online
ספר דיין דעמאָ
מיר זענען פּרייַז-עפעקטיוו און שנעל
APRA-רעגיאַלייטאַד ענטיטיז זענען אַבליידזשד צו קלאַסיפיצירן אינפֿאָרמאַציע אַסעץ, אַרייַנגערעכנט די געראטן דורך פֿאַרבונדענע פּאַרטיעס און דריט פּאַרטיעס.
דאָס כולל ינפראַסטראַקטשער און אַנסאַלערי סיסטעמען, אַזאַ ווי ינווייראַנמענאַל קאָנטראָל סיסטעמען און גשמיות אַקסעס קאָנטראָל סיסטעמען. עס אויך ענקאַמפּאַסאַז אינפֿאָרמאַציע אַסעץ געראטן דורך דריט פּאַרטיעס אָדער פֿאַרבונדענע פּאַרטיעס.
די באַציונגען צווישן שפּירעוודיק אָדער קריטיש אינפֿאָרמאַציע אַסעץ און אנדערע אַסעץ וואָס קען האָבן ווייניקער באַטייַט אָבער קענען זיין געוויינט צו אָנרירן די זיכערהייט פון די אַסעץ.
דערצו, דאָס זאָל פאַרטראַכטנ זיך די מאָס אין וואָס אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ האָבן די פּאָטענציעל צו ווירקן - פינאַנסיאַללי אָדער אַנדערש - אַן ענטיטי אָדער זייַן קאַסטאַמערז.
קאָמפּאַניעס מוזן האָבן אַ קלאַסאַפאַקיישאַן מעטאַדאַלאַדזשי צו אָנצייכענען וואָס קאַנסטאַטוץ אַ אינפֿאָרמאַציע אַסעט צו ענשור אַז סטייקכאָולדערז זענען ינפאָרמד און אַווער. דער אופֿן אויך גיט קאָנטעקסט וועגן גראַנולאַריטי קאַנסידעריישאַנז און ווי אַסעץ זענען רייטאַד דיפּענדינג אויף זייער קריטיקייט אָדער סענסיטיוויטי. באַמערקונג אַז אַסעץ קענען זיין געגעבן פאַרשידענע רייטינגז פֿאַר קריטיקייט און סענסיטיוויטי.
עס איז פּראָסט פֿאַר ענטיטיז צו לעווערידזש זייער יגזיסטינג געשעפט קאַנטיניואַסלי פּראַל אַנאַליזעס - וואָס טיפּיקלי אַססעסס קריטיקאַטי און אנדערע שפּירעוודיק פּראַסעסאַז - צו פירן די סענסיטיוויטי אַנאַליסיס.
צו נאָכקומען מיט CPS 234, APRA רעגיאַלייטאַד ענטיטיז מוזן ינסטרומענט אינפֿאָרמאַציע זיכערהייט קאָנטראָלס צו באַשיצן זייער דאַטן אַסעץ גלייך און פּראַפּאָרשאַנאַל צו די סאַקאָנע אַז זיי זענען פייסינג, קאָראַספּאַנדינג מיט:
לויט CPS 234, אַלע APRA-רעגיאַלייטאַד ענטיטיז מוזן האָבן שטאַרק מעקאַניזאַמז צו דעטעקט און ריספּאַנד צו אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ ווי באַלד ווי מעגלעך.
עס זענען פילע דיטעקשאַן מעקאַניזאַמז פֿאַר אינפֿאָרמאַציע זיכערהייט, אַרייַנגערעכנט סקאַנינג, סענסינג, מאָניטאָרינג און לאָגינג סאַלושאַנז. די זיכערהייט קאָנטראָלס וועט זיין מער געזונט און מער וועריד דיפּענדינג אויף די פּראַל פון אַ פּאָטענציעל זיכערהייט אינצידענט, טיפּיקלי קאַווערינג די ברייט קאַטעגאָריעס:
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
CPS 234 ריקווייערז רעגיאַלייטאַד ענטיטיז צו דורכפירן סיסטעמאַטיש טעסטינג אויף אינפֿאָרמאַציע זיכערהייט קאָנטראָלס פון אַ נאַטור און אָפטקייַט קאָראַספּאַנדינג צו:
זיכערהייט קאָנטראָלס דאַרפֿן צו זיין טעסטעד בייַ מינדסטער אַניואַלי אָדער ווען עס איז אַ מאַטעריאַל ענדערונג אין אינפֿאָרמאַציע אַסעץ אָדער די געשעפט סוויווע אַזוי איר קענען וויסן אויב זיי זענען נאָך עפעקטיוו און גילטיק. צו ענשור אַז טעסץ זענען געראָטן, עס איז יקערדיק צו דעפינירן די קרייטיריאַ פֿאַר הצלחה קלאר און ווען שייַעך-טעסטינג וועט זיין נייטיק.
טעסטינג זאָל זיין דורכגעקאָכט דורך אַפּראָופּרייטלי באָקע, פרייַ ספּעשאַלאַסץ וואָס טאָן ניט האָבן קיין קאָנפליקט פון אינטערעס און קענען צושטעלן אַ שיין יוואַליויישאַן.
פאַרלאָזלעך אינפֿאָרמאַציע זיכערהייט קאָנטראָל אַשוראַנס מוזן זיין צוגעשטעלט דורך באָקע פּערסאַנעל. אין אַדישאַן, די ינערלעך קאָנטראָלירן פונקציע מוזן אַססעסס די אינפֿאָרמאַציע זיכערהייט קאָנטראָל אַשוראַנס צוגעשטעלט דורך פֿאַרבונדענע אָדער דריט פּאַרטיעס אין קאַסעס ווו:
אויב די אַססעססמענט ריווילז אַ דיפישאַנסי אָדער אויב עס איז קיין פארזיכערונג פון באַגעגעניש רעקווירעמענץ, די אַרויסגעבן איז קאַמאַנלי אויפשטיין מיט די באָרד פֿאַר באַטראַכטונג.
APRA דאַרף זיין ינפאָרמד ווי באַלד ווי מעגלעך און ניט שפּעטער ווי 72 שעה נאָך די ענטיטי איז אַווער פון אַ זיכערהייט אינצידענט.
דאס זענען אינצידענטן וואָס:
ווען זיי נאָוטאַפייינג APRA, זיי דערוואַרטן אינפֿאָרמאַציע צו זיין צוגעשטעלט, אַזאַ ווי:
APRA מוזן זיין ינפאָרמד ווי באַלד ווי מעגלעך און ניט שפּעטער ווי צען געשעפט טעג נאָך איר ווערן אַווער פון אַ אינפֿאָרמאַציע זיכערהייט קאָנטראָל שוואַכקייַט וואָס די פירמע קען נישט פאַרריכטן אין צייט.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ
איין הויפּט חילוק צווישן די צוויי סטאַנדאַרדס איז ווי זיי זענען ענפאָרסט. אָרגאַנאַזיישאַנז וואָס דערגרייכן ISO 27001 סערטאַפאַקיישאַן מוזן באַנייַען זייער סערטאַפאַקיישאַן יעדער דריי יאָר, מיט רעגולער סערוויילאַנס אַדאַץ בעשאַס דעם פּעריאָד. CPS 234 טוט נישט האָבן אַ באַווייַזן; אַנשטאָט, APRA האט פילע פאָרמאַל און ינפאָרמאַל ענפאָרסמאַנט מכשירים.
ניט-פאָרמאַל אַפּראָוטשיז אַרייַננעמען ארבעטן מיט קאָמפּאַניעס צו ידענטיפיצירן און אַדרעס פּראָבלעמס איידער זיי סטראַשען זייער פיייקייט צו צושטעלן זייער הבטחות.
פונדעסטוועגן, APRA איז גרייט צו נעמען ענפאָרסמאַנט קאַמף ווען צונעמען - דאָס קען אַרייַננעמען פּלאַץ-באזירט קאַמף אָדער ינסטרוקטינג קאָמפּאַניעס צו נעמען אָדער האַלטן באַזונדער אַקשאַנז.
בשעת ISO 27001 איז אנערקענט גלאָובאַלי, APRA באשאפן די CPS 234 נאָרמאַל צו טרעפן די גראָוינג נויט פֿאַר סייבער זיכערהייט צווישן ענטיטיז געפֿונען אין די פינאַנציעל באַדינונגס אינדוסטריע. ISO 27001 איז אַ פיל מער פולשטענדיק אינפֿאָרמאַציע זיכערהייט סטאַנדאַרט, און עס אַפּלייז צו געשעפטן אין פאַרשידן סעקטאָרס, קיין ענין זייער גרייס, טיפּ אָדער אָרט.
CPS 234 איז באשאפן צו אַרבעטן אין יוניסאַן מיט ISO/IEC 27001, מיט רעקווירעמענץ אַליינד מיט קלאָזיז און זיכערהייט קאָנטראָלס אַוטליינד אין ISO 27001. ביידע סטאַנדאַרדס זענען דיזיינד צו בוסט אַן אָרגאַניזאַציע ס אינפֿאָרמאַציע זיכערהייט. יעדער געשעפט אָדער אָרגאַניזאַציע וואָס איז ISO 27001 אַקרעדיטיד זאָל האָבן אַ גרינגער צייט צו טרעפן די CPS 234 רעקווירעמענץ.
ווי איר קענען זען, עס איז אַ פּלאַץ צו טאָן צו ענשור העסקעם. די מערסט מאַנידזשאַבאַל פאָדערונג צו מקיים איז צו ענשור אַז אַלע סייבער זיכערהייט שטעקן האָבן קלאר דיפיינד, אַרטיקיאַלייטיד און קאַמיונאַקייטיד ריספּאַנסאַבילאַטיז אַריבער די אָרגאַניזאַציע.
איינער פון די ביגאַסט טשאַלאַנדזשיז צו CPS 234 העסקעם קען זיין אַ פעלן פון גיידליינז און פּראַקטיש אַפּלאַקיישאַן ווען עס קומט צו דריט פּאַרטיעס.
אונדזער פּלאַטפאָרמע קומט מיט פאַרשידן פאַר-געבויט פראַמעוואָרקס איר קענען אַדאַפּט, אַדאַפּט אָדער לייגן צו, דיפּענדינג אויף די יינציק באדערפענישן פון דיין אָרגאַניזאַציע. אָדער איר קענען לייכט בויען דיין אייגענע פֿאַר בעספּאָכע העסקעם פּראַדזשעקס.
בוך אַ טיילערד האַנט-אויף סעסיע
באזירט אויף דיין באדערפענישן און צילן
ספר דיין דעמאָ