Definition und Zweck

Der APRA Prudential Standard CPS 234 Information Security („Prudential Standard CPS 234“) soll sicherstellen, dass von APRA regulierte Einheiten Maßnahmen ergreifen, um gegenüber Informationssicherheitsvorfällen, einschließlich Cyberangriffen, widerstandsfähig zu sein, um die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationswerten zu gewährleisten, einschließlich der von verbundenen Parteien oder Dritten verwalteten Informationswerte.

Dieser Prudential Standard zielt letztlich darauf ab, die Sicherheit der Daten, die Australier ihren Finanzinstituten anvertrauen, zu erhöhen und die allgemeine Systemstabilität zu verbessern.

Verwaltungsorgan

Das Verwaltungsorgan für den Prudential Standard CPS 234 ist die Australian Prudential Regulation Authority (APRA), die für die Überwachung und Regulierung von Finanzinstituten in Australien zuständig ist.

Zuletzt aktualisiert

Die aktuellste Version des Prudential Standard CPS 234 wurde im Juli 2019 veröffentlicht.

Gilt für

Der Prudential Standard CPS 234 gilt für alle von APRA regulierten Einheiten, einschließlich autorisierter Einlageneinrichtungen (ADIs), Allgemeinversicherer, Lebensversicherungsgesellschaften, private Krankenversicherungen und registrierbare Altersvorsorgeeinrichtungen (RSEs) in Australien. Er richtet sich speziell an die Finanzdienstleistungsbranche.

Kontrollen und Anforderungen

Der Rahmen umrundet verschiedene Kontrollen und Anforderungen, die von APRA-regulierte Einheiten einhalten müssen. Diese fallen in die folgenden Domänenbereiche:

• Rollen und Verantwortlichkeiten: Definieren Sie klar die informationssicherheitsbezogenen Rollen und Verantwortlichkeiten des Vorstands, des oberen Managements, der Leitungsgremien und der Einzelpersonen.
• Informationssicherheitsfähigkeit: Behalten Sie eine Informationssicherheitsfähigkeit bei, die der Größe und dem Umfang der Bedrohungen für Ihre Informationsgüter entspricht und die einen fortgesetzten ordnungsgemäßen Betrieb der Einheit ermöglicht.
• Rahmenrichtlinie: Behalten Sie einen Informationssicherheitsrichtlinienrahmen bei, der Ihren Gefährdungen durch Schwachstellen und Bedrohungen entspricht und Anweisungen zu den Verantwortlichkeiten aller Parteien, die eine Verpflichtung zur Gewährleistung der Informationssicherheit haben, enthält.
• Identifizierung und Klassifizierung von Informationswerten: Klassifizieren Sie Ihre Informationswerte, einschließlich der von verbundenen Parteien und Dritten verwalteten, nach ihrer Kritikalität und Sensibilität.
• Umsetzung von Kontrollen: Setzen Sie Kontrollen um, um Ihre Informationswerte entsprechend der Kritikalität und Sensibilität dieser Informationswerte zu schützen, und führen Sie systematische Tests und Bewertungen der Wirksamkeit dieser Kontrollen durch.
• Vorfallmanagement: Implementieren Sie robuste Mechanismen zur Erkennung und
• Reaktion auf Informationssicherheitsvorfälle, einschließlich Informationssicherheits-Reaktionspläne.
• Testen der Wirksamkeit von Kontrollen: Testen Sie die Wirksamkeit Ihrer Informationssicherheitskontrollen
• durch ein systematisches Testprogramm.
• Interne Prüfung: Lassen Sie qualifiziertes Personal die Gestaltung und operative Wirksamkeit der Informationssicherheitskontrollen überprüfen, einschließlich derjenigen, die von verbundenen Parteien und Dritten verwaltet werden.
• APRA-Benachrichtigung: Benachrichtigen Sie APRA über wesentliche Informationssicherheitsvorfälle so schnell wie möglich und spätestens 72 Stunden nach Bekanntwerden des Vorfalls.

Bitte beziehen Sie sich auf die offizielle Prudential Standard CPS 234 Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Prüfungsart, Häufigkeit und Dauer

Der Prudential Standard CPS 234 verlangt von den Unternehmen, interne Audits durchzuführen, die alle Aspekte des Informationssicherheitskontrollumfelds im Laufe der Zeit bewerten. Es gibt keine spezifischen Anforderungen an Häufigkeit oder Dauer. Es wird jedoch verlangt, dass die Unternehmen ihre Informationssicherheitsreaktionspläne und die Angemessenheit ihres Kontrolltestprogramms jährlich überprüfen und testen. Daher werden interne Audits in der Regel jährlich oder bei wesentlichen Änderungen der Informationswerte oder des Geschäftsumfelds durchgeführt.