2023年7月17日有一篇報導提到:澳洲審慎監理機關(APRA),要求董事會要提高監督網路入侵方面的監督責任,並完成了關於「營運風險管理」的新標準—要求金融業免於發生如Medibank之類的駭客攻擊事件。Medibank在2022年流失了1000萬份客戶記錄,引起外界對金融服務業網路安全防禦的憂慮。
新的跨產業政策是涵蓋銀行、保險業者與退休金受託機構的,Australian Prudential Regulation Authority(APRA)說,董事會對營運風險負有最終責任。APRA要公司搶先一步,減少客戶因系統失靈所造成的營運中斷風險。
APRA 的主席John Lonsdale說,「我們期待受監理的實體積極準備實行措施,而非等到最後一刻才在準備新要求。」
定案版的標準CPS 230,包含了新的要求「以解決現有控制中被發現的弱點」,並強化相關計畫以確保當電腦系統受損時服務仍能繼續。
APRA已將新標準生效日延長18個月,到2025年7月才施行,以提供足夠時間給銀行、保險業者以及退休基金來準備。
APRA說,某些董事會「在做策略性決定時,並沒有一貫地收到營運風險方面的重要資訊」,APRA預期「提供給董事會的資訊,要有針對性、重大性並且充足,如此董事才能清楚瞭解到,一家公司依其決定而執行的重大營運,其營運韌性的潛在影響為何。」
沒有留言:
張貼留言