Tiêu chuẩn này gồm 14 phần với 36 khoản, được soạn thảo dựa trên các văn bản luật: Đạo luật Ngân hàng năm 1959, Đạo luật Bảo hiểm năm 1973, Đạo luật Bảo hiểm Nhân thọ 1995, Đạo luật Bảo hiểm Y tế Tư nhân năm 2015 và Đạo luật Hưu trí năm 1993.
Tiêu chuẩn Prudential CPS 234 được phát hành nhằm mục đích quy định các biện pháp chống lại sự cố an toàn thông tin (bao gồm tấn công mạng), bằng cách duy trì các giải pháp bảo đảm an toàn thông tin (ATTT) trước các lỗ hổng bảo mật và các mối đe dọa đối với hệ thống thông tin. Mục tiêu chính là để giảm thiểu khả năng và ảnh hưởng của sự cố ATTT đối với tính bảo mật, toàn vẹn và tính sẵn sàng của tài sản thông tin, trong đó có cả các tài sản thông tin do các bên liên quan hoặc các bên thứ ba quản lý.
Các yêu cầu chính của Tiêu chuẩn này bao gồm:
- Xác định rõ vai trò và trách nhiệm về bảo đảm ATTT của các bộ, ban, ngành, các lãnh đạo tổ chức/doanh nghiệp (TC/DN), các cơ quan quản lý và cá nhân có liên quan;
- Duy trì khả năng bảo mật thông tin tương xứng với quy mô và mức độ đe dọa đối với tài sản thông tin, bảo đảm hoạt động liên tục của TC/DN;
- Thực hiện các biện pháp kiểm soát để bảo vệ tài sản thông tin của TC/DN tương xứng với mức độ quan trọng và nhạy cảm của những tài sản thông tin đó; thực hiện kiểm tra có hệ thống và đảm bảo về hiệu quả của các biện pháp kiểm soát đó;
- Thông báo về các sự cố ATTT quan trọng cho APRA.
Các chuyên gia đánh giá, các điều khoản của CPS 234 là ràng buộc chặt chẽ về mặt pháp lý và đưa ra các yêu cầu về bảo đảm ATTT của chủ sở hữu và các bên liên quan cũng như giảm thiểu rủi ro đối với tài sản thông tin của TC/DN. Vấn đề an ninh mạng, cũng như đảm bảo ATTT thường được quản lý tốt trong khu vực tài chính, tuy nhiên tội phạm mạng ngày càng tinh vi và mở rộng công cụ tấn công trên không gian mạng, nên hệ thống chính sách, pháp luật về ATTT cũng cần phải hoàn thiện.
APRA hi vọng rằng, tiêu chuẩn này cũng sẽ nâng cao trách nhiệm bảo mật thông tin của bên thứ ba, giúp các TC/DN nâng cao khả năng ứng phó và phục hồi đối với các sự cố an ninh mạng, đảm bảo tính ổn định, liên tục của các hệ thống thông tin.
APRA là cơ quan có thẩm quyền của Chính phủ Úc, được thành lập vào ngày 01/7/1998. APRA có chức năng quản lý, điều chỉnh dịch vụ tài chính và bảo hiểm của Úc. APRA thực hiện giám sát các ngân hàng, tổ chức tín dụng, phúc lợi xã hội, các công ty bảo hiểm và tái bảo hiểm, bảo hiểm nhân thọ và phần lớn ngành hưu trí. Tính đến ngày 30/6/2017, APRA đang giám sát các tổ chức có tài sản trị giá 6.100 tỷ đô-la Úc. |