Définition et objectif

La Norme prudentielle CPS 234 de l'APRA en matière de sécurité de l'information (la « Norme prudentielle CPS 234 ») vise à s'assurer que les entités réglementées par l'APRA prennent des mesures pour être résilientes face aux incidents de sécurité de l'information, y compris les cyberattaques, afin de maintenir la confidentialité, l'intégrité ou la disponibilité des actifs informationnels, y compris les actifs informationnels gérés par des parties liées ou des tiers.

Cette norme prudentielle vise en fin de compte à accroître la sécurité des données que les Australiens confient à leurs institutions financières et à renforcer la stabilité globale du système.

Organe directeur

L'organe directeur de la norme prudentielle CPS 234 est l'Australian Prudential Regulation Authority (APRA), qui est responsable de la supervision et de la réglementation des institutions financières en Australie.

Dernière mise à jour

La version la plus récente de la norme prudentielle CPS 234 a été publiée en juillet 2019.

S'applique à

La norme prudentielle CPS 234 s'applique à toutes les entités réglementées par l'APRA, y compris les institutions de dépôt autorisées (ADIs), les assureurs généraux, les compagnies d'assurance-vie, les assureurs privés de santé et les entités de retraite enregistrables (RSE) en Australie. Elle cible spécifiquement le secteur des services financiers.

Contrôles et exigences

Le cadre décrit divers contrôles et exigences auxquels les entités réglementées par l'APRA doivent se conformer. Ceux-ci relèvent des domaines suivants :

• Rôles et responsabilités : Définir clairement les rôles et responsabilités liés à la sécurité de l'information du conseil d'administration, de la direction, des organes de gouvernance et des individus.
• Capacité de sécurité de l'information : Maintenir une capacité de sécurité de l'information proportionnée à la taille et à l'étendue des menaces pesant sur ses actifs informationnels, et qui permet le fonctionnement continu et sain de l'entité.
• Cadre de la politique de sécurité de l'information : Maintenir un cadre de politique de sécurité de l'information proportionné à vos expositions aux vulnérabilités et aux menaces, et fournir des orientations sur les responsabilités de toutes les parties ayant l'obligation de maintenir la sécurité de l'information.
• Identification et classification des actifs informationnels : Classifier vos actifs informationnels, y compris ceux gérés par des parties liées et des tiers, par criticité et sensibilité.
• Mise en œuvre de contrôles : Mettre en œuvre des contrôles pour protéger vos actifs informationnels proportionnellement à la criticité et à la sensibilité de ces actifs informationnels, et entreprendre des tests et des assurances systématiques concernant l'efficacité de ces contrôles.
• Gestion des incidents: Mettez en place des mécanismes robustes pour détecter et
• répondre aux incidents de sécurité de l'information en temps opportun, y compris les plans de réponse à la sécurité de l'information.
• Test de l'efficacité du contrôle: Testez l'efficacité de vos contrôles de sécurité de l'information
• grâce à un programme de test systématique.
• Audit interne: Faites examiner par un personnel qualifié la conception et l'efficacité opérationnelle des contrôles de sécurité de l'information, y compris ceux maintenus par des parties liées et des tiers.
• Notification à l'APRA: Informez l'APRA des incidents matériels de sécurité de l'information dès que possible et au plus tard 72 heures après avoir pris connaissance de l'incident.

Veuillez consulter la documentation officielle de la norme prudentielle CPS 234 pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

La norme prudentielle CPS 234 exige des entités qu'elles effectuent des audits internes évaluant tous les aspects de l'environnement de contrôle de la sécurité de l'information au fil du temps. Elle ne précise pas la fréquence ou la durée. Cependant, elle exige que les entités examinent et testent annuellement leurs plans de réponse à la sécurité de l'information et la suffisance de leur programme de test de contrôle. Ainsi, les audits internes sont généralement réalisés sur une base annuelle ou lorsqu'il y a un changement matériel des actifs d'information ou de l'environnement commercial.