解决EU-DORA提案的新操作弹性要求

安吉拉•霍尔
作者: 罗尔夫·冯·罗辛, 中钢协, CISM, CGEIT, CDPSE, 福法咨询公司合伙人兼首席执行官, ISACA前董事
发表日期: 2021年10月20日

In 2020, 欧盟(EU)发布了一份名为EU- dora的数字运营弹性提案. EU-DORA, 虽然只是一个提议, 标志着欧盟银行业监管的一个转折点,它在多个领域引入了广泛的新要求,并整合了此前单一的监管规定.

这个提议 对安全方式进行了广泛的更改, 金融机构及其ICT服务提供商的连续性和弹性将受到监管. 作为回应,ISACA发布了一份白皮书, 欧盟金融部门的数字化运营弹性:基于风险的方法, 它以简洁和易于阅读的方式处理所提出的需求.

强调了该提案的一些关键方面, 并且对现有的ISACA资源进行了很好的映射,这些资源可以满足DORA的一些需求. 风险管理, 网络安全和事件报告现在受到新的监管要求的约束——这只是其中的几个例子. “新的”风险管理必须真正定义并与风险偏好保持一致, 它涵盖了OpRisk中更多的风险类别. 结果是, 金融机构及其信息和通信技术服务提供商现在必须对风险管理采取积极主动的态度,因为风险管理确定了它们的缓解活动.

此外,DORA特别强调了具有新测试和风险制度的供应链. 越来越多地, 对“链条中最薄弱环节”的攻击也被视为主体控制上的弱点. 金融机构将关键活动外包给可能对违规行为负责(或至少有牵连)的机构,以及它们忽视了自己的控制责任的机构.

ISACA白皮书为从战略角度解决DORA问题提供了一个很好的起点,对于必须处理运营弹性的高级管理人员和c级管理人员来说,这是一本必读的书.