數位營運彈性法案 (DORA) 將如何影響我的組織?
數位營運彈性法案為提供給金融機構的服務定義了重要性閾值。 如果組織是金融機構的直接服務提供商,而其服務符合這些門檻,則該公司受 DORA 規定。 這意味著該組織將由相關金融監管機構直接監督。
對於服務不符合 DORA 門檻的組織,該規例仍然適用,但不需要直接監督。 相反,該組織的客戶將需要要求某些合約條款,以達到符合 DORA 要求的要求。
例如,《數位營運彈性法》(DORA)要求金融機構在特定的發現窗口內向監管機構報告數據洩露。 金融機構將被要求對其供應商和服務提供商施加相同的違規報告要求,以及其部分合約義務。 如果組織不願意接受這些條款,則 DORA 禁止該金融機構與其進行業務。
數位營運彈性法案規定了金融機構將對其供應商要求的條款,以及這些供應商必須採取的安全控制。 由於 DORA 旨在改善整個金融行業的彈性,因此這些義務和要求很可能會傳遞到整個供應鏈中。
數位營運彈性法案 (DORA) 的主要要求
DORA 的主要目標是確保金融部門的運營韌性。 作為其中的一部分,《數位營運彈性法案》涵蓋的組織需要實施風險管理流程,幫助識別看似合理的網路威脅的潛在脆弱性,並制定政策和安全控制措施以防範這些風險。
DORA 創建了一個規則框架,金融機構及其供應商需要遵循以實現營運彈性。 一些關鍵目標和要求包括:
- 風險管理與治理:DORA 制定金融行業風險管理的框架和指引。 這些指引旨在幫助組織建立更成熟的風險管理計劃並提高營運彈性。
- 彈性測試:DORA 建議涵蓋的組織根據其風險評估實施復原力測試計劃。 這有助於在對作業構成威脅之前識別和更正任何問題。
- 情報分享:許多在金融行業工作的網絡威脅參與者將同時針對多個組織進行目標。 透過鼓勵分享威脅情報,DORA 幫助整個產業更加了解並準備好面對持續的網路威脅。
- 供應鏈管理:DORA 對金融機構與供應商的合約關係施加要求。 此外,金融機構需要有策略來管理這些供應商所產生的風險,包括退出關係和轉向替代商的潛力。
- 事件報告:DORA 擴大事件報告的範圍,並嘗試簡化報告流程。 通過要求更快的報告,DORA 還鼓勵快速事件調查和響應,有助於減輕漏洞的影響。 此外,違規報告還可用於協助偵測其他網路中的未知入侵。
- 審計訪問權限:DORA 法規使監管機構(在供應商的情況下,以及金融機構)能夠在金融行業的整個供應鏈進行審計。 這有助於推動合規性,但意味著組織必須能夠按需產生報告。
- 回顧分析:大多數組織都嘗試從自己的內部事件中學習,但 DORA 也鼓勵根據外部事件研究和修改政策。 這旨在防止多個組織成為相同類型攻擊的受害者。
數字營運彈性法案的確切要求尚未知,因為它仍處於草稿狀態。 然而,一旦法律獲得批准,今天開始滿足這些要求的流程將簡化合規性。
Check Point 解決方案如何協助實現 DORA 合規性
DORA 尚未通過,但預計將在 2022 年成為法律。 這意味著可能受到 DORA 影響的組織應該立即開始努力實現合規性。
為了準備《數位營運彈性法》,組織可以採取的最重要步驟之一是簡化和簡化其安全架構。 DORA 需要快速報告網路安全事件、瞭解組織的第三方依賴關係,以及回應監管機構或客戶的稽核要求的能力。
Check Point Harmony Suite為組織的所有 IT 基礎架構提供整合保護,包括對端點、行動、雲端和電子郵件的支援。透過簡化和簡化組織的安全基礎設施,Harmony Suite 可以更輕鬆地防禦網路威脅並滿足 DORA 的報告要求。若要詳細了解 Check Point 解決方案如何協助遵守合規和其他法規,請與我們聯絡。
反映意見