数字运营弹性法案

首页

 

Endpoint Central 是金融实体为满足 DORA 严格要求而信赖的解决方案。凭借其在 ICT 风险和事件管理方面的强大功能,Endpoint Central 不仅确保合规,还提升了贵组织的数字弹性。

文章DORA 文章 - 摘要Endpoint Central 的助力
6

ICT 风险管理框架

1. 目的与范围

  • 确保快速、高效、全面地处理 ICT 风险,实现高水平的数字运营弹性。
  • 保护所有信息和 ICT 资产(例如软件、硬件、数据中心、场所)免受损坏或未经授权访问等风险。

2. 关键组成部分

  • 包括用于风险管理和资产保护的策略、政策、程序、ICT 协议和工具。
  • 部署措施以最小化 ICT 风险,并根据要求向主管当局提供框架更新。

3. 治理与监督

  • 将 ICT 风险管理职责分配给具备充分独立性的控制职能,以避免利益冲突。
  • 通过三道防线模型或类似的内部风险管理模型,区分 ICT 风险管理、控制和审计职能。

4. 文件记录与审查

  • 至少每年、重大 ICT 事件后或在监管请求时,对框架进行记录和审查。
  • 根据经验教训和监控结果持续改进框架。
  • 按要求向主管当局提交审查报告。

5. 内部审计

  • 定期开展由有技能且独立的审计人员执行的框架内部审计。
  • 审计频率和重点应与金融实体的 ICT 风险水平相匹配。
  • 建立正式流程,及时验证和处理关键审计发现。

6. 数字运营弹性策略

  • 框架必须包含一项策略,概述如何应对 ICT 风险及实现特定目标,包括:
  • 使 ICT 风险管理与实体的业务战略保持一致。
  • 定义 ICT 风险容忍度及分析中断影响容忍度。
  • 设置信息安全目标及绩效指标和风险度量。
  • 阐述 ICT 参考架构及所需变更。
  • 详述检测、预防和防护 ICT 相关事件的机制。
  • 通过事件报告及预防措施效果评估弹性。
  • 实施运营弹性测试(根据条例第四章)。
  • 定义 ICT 相关事件报告的沟通策略。

7. 多厂商策略

  • 金融实体可建立多厂商策略,展示对 ICT 第三方供应商的关键依赖,并为采购选择提供依据。

8. 外包合规任务

  • 实体可将合规核查任务外包给集团内或外部供应商,但仍须全面负责 ICT 风险管理合规要求的落实。



Endpoint Central 拥有全面的 报告能力。除了提供对终端资产的深入洞察,还可用于 治理和审计目的。

 

7

ICT 系统、协议和工具

金融实体必须使用并维护更新的 ICT 系统、协议和工具以管理 ICT 风险。这些系统必须:

1. 与运营相称

  • 适合实体活动的规模和复杂性,遵循比例原则(第4条)。

2. 可靠

  • 能够可靠支持运营和业务需求。

3. 充足容量

  • 能够准确处理必要的数据。
  • 能够应对高峰交易量并适应新技术。

4. 技术弹性

  • 配备管理压力市场条件或不利情形下额外信息处理需求的能力。

Endpoint Central 使用符合 FIPS 140-2 的算法。用户可启用 FIPS 模式,在高度安全的环境中运行 IT。

Endpoint Central 的多租户、 摘要服务器架构 帮助您随着业务增长注册/引入更多终端。该架构亦适用于拥有全球业务的组织。 

Endpoint Central 支持多种第三方软件 集成 ,可无缝融入贵组织的 IT。
8

识别

作为 ICT 风险管理框架的一部分,金融实体必须实施以下措施以识别和管理 ICT 风险:

1. ICT 资产与功能识别

  • 识别、分类并记录所有 ICT 支持的业务功能、角色、职责及其支持的信息和 ICT 资产,包括与 ICT 风险相关的依赖关系。
  • 至少每年或根据需要,审查并更新分类和文档。

2. 风险与威胁识别

  • 持续识别 ICT 风险来源,包括来自其他金融实体的风险。
  • 评估影响 ICT 支持业务功能、信息资产和 ICT 资产的网络威胁和漏洞。
  • 至少每年定期审查和更新风险场景。

3. 重大变更风险评估

  • 在网络和信息系统、流程或程序等影响 ICT 支持的业务功能、信息或 ICT 资产的重大变更后,进行风险评估。

4. 关键 ICT 资产映射

  • 识别并映射所有 ICT 和信息资产,包括远程站点、网络资源和硬件。
  • 绘制关键资产之间的配置、相互依赖关系和联系图。

5. 第三方依赖识别

  • 记录所有依赖 ICT 第三方服务提供商的流程。
  • 识别与支持关键或重要职能的供应商之间的相互连接。

6. 库存管理

  • 维护并定期更新 ICT 资产清单,包括重大变更后。

7. 传统 ICT 系统评估

  • 至少每年对传统系统进行专项 ICT 风险评估,并在连接新技术、应用或系统前后进行评估。

Endpoint Central 使用其代理获取贵 IT 中库存的完整详细信息。

Endpoint Central 在漏洞管理方面提供全面支持,可通过单一控制台持续评估和实时可视化威胁。

除漏洞评估外,还提供内置的漏洞修复功能。

请参阅 Endpoint Central 用于监控 IT 的 库存扫描类型

管理员可配置 库存告警 ,以防止 IT 网络内发生未经授权的更改。

Endpoint Central 可帮助管理员跟踪 高风险软件 ,如过时软件、点对点软件、不安全的远程共享软件,并加以清除。

Endpoint Central 的 自定义分组 功能使管理员能够逻辑分隔关键系统,以便有效管理与保护。

利用 Endpoint Central 的网络访问控制,管理员可以隔离已终止支持的操作系统。 
 

9

保护与预防

金融实体必须实施措施,持续监控、控制并最小化 ICT 风险,确保 ICT 系统和数据的安全性、弹性及可用性。该等措施包括:

1. ICT 系统监控与控制

  • 持续监控并控制 ICT 系统和工具的安全及运行状况。
  • 采用适当的安全工具、政策和程序最小化 ICT 风险。

2. ICT 安全政策与工具

  • 制定并实施政策、程序、协议和工具,以:
  • 确保支持关键职能的 ICT 系统的弹性、连续性和可用性。
  • 维持数据在静止、使用或传输状态下的高可用性、真实性、完整性和机密性标准。

3. ICT 解决方案与流程

  • 使用符合比例原则(第4条)的解决方案和流程以:
  • 保障数据传输安全。
  • 最小化数据损坏、丢失、未经授权访问或技术缺陷的风险。
  • 防止可用性、真实性、完整性和机密性的泄露。
  • 保护数据免受管理不善、处理错误和人为失误的风险。

4. ICT 风险管理框架的关键组成部分

  • 信息安全政策: 明确保护数据和 ICT 资产(包括客户数据)的规则。
  • 网络与基础设施管理:
  • 使用自动化机制在网络攻击期间隔离资产。
  • 设计网络以实现即时断开或分段,特别是对互联流程,最小化蔓延风险。
  • 访问控制政策:限制 ICT 和信息资产的访问,仅限合法且获批的活动。
  • 强身份认证:
  • 基于相关标准实施强身份认证。
  • 保护密码钥匙,确保加密基于获批的数据分类和风险评估。
  • ICT 变更管理:
  • 建立基于风险的 ICT 变更管理政策(如软件、硬件、系统)。
  • 确保变更被记录、测试、批准及受控实施。
  • 设有由相关管理层批准的具体协议。
  • 补丁与更新政策:制定全面且成文的补丁和更新政策。

Endpoint Central 可利用其终端安全功能,例如 Endpoint DLP、浏览器安全、基于风险的漏洞及补丁管理、下一代杀毒引擎、防勒索软件及移动安全能力。

Endpoint Central 提供对 Windows、Linux 和 macOS 以及 Windows Server OS 的全面补丁支持,还可补丁 1000+ 第三方应用程序、硬件驱动程序和 BIOS。

Endpoint Central 使用符合 FIPS 140-2 的算法。用户可启用 FIPS 模式 ,在高度安全的环境中运行 IT。

Endpoint Central 可帮助管理员使用 Bitlocker 管理对 Windows 终端设备进行加密,并使用 FileVault 对 Mac 设备加密。 

Endpoint Central 便于管理员配置 Windows 防火墙 以保护终端用户。

安全运营团队可通过 Endpoint Central 进行 端口审计 ,在零日漏洞利用事件中大幅减少攻击面。

其还支持安全浏览,允许管理员强制执行 广泛的威胁防护配置。 
 
管理员可阻止/限制终端用户 从恶意网站下载可能含有恶意软件的文件 或访问恶意网站。

它还提供 Web 服务器加固 及修复功能 安全配置错误。

Endpoint Central 利用最小权限原则,并具备强大的 端点权限 管理 能力,提供针对应用程序的权限管理和对最终用户的即时访问。

它具有 条件访问策略 以验证授权用户访问业务关键系统和数据。

10

侦测

金融实体必须实施机制,及时检测异常活动、ICT网络性能问题及ICT相关事件。主要要求包括:

1. 侦测机制

  • 建立识别异常、潜在单点故障和ICT相关事件(包括网络性能问题)的机制。
  • 按第25条定期测试这些机制。

2. 多层控制

  • 在侦测机制中启用多层控制。
  • 定义警报阈值和条件,以触发ICT相关事件响应流程。
  • 包含针对相关ICT事件响应人员的自动警报机制。

3. 监控资源
分配充足的资源和能力,监控:

  • 用户活动。
  • ICT异常。
  • ICT相关事件,特别是网络攻击。

4. 数据报告服务提供商
确保系统能够:

  • 验证交易报告的完整性。
  • 识别遗漏或错误。
  • 请求重新传输不完整或错误的报告。

若发生 恶意软件攻击,Endpoint Central 可向SOC团队和IT管理员发出警报,并使其能够安全隔离系统。经过彻底的取证分析后,系统可恢复生产环境。

Endpoint Central 还保护企业端点 免受勒索软件攻击 并在勒索软件攻击发生时提供即时且不可删除的备份。

Endpoint Central 可隔离表现出可疑行为的端点,经过彻底取证分析后可重新部署到生产环境。

Endpoint Central 通过利用Microsoft的卷影复制服务,每三小时为网络中的文件提供即时且不可删除的备份。如果文件被勒索软件感染,可以使用最近的备份副本恢复该文件。
 
11

响应与恢复

1. ICT业务连续性政策

  • 制定全面的ICT业务连续性政策,可作为独立政策或整体业务连续性政策的一部分。
  • 确保政策支持关键或重要功能,并有效响应ICT相关事件。

2. 政策实施

通过文件化的安排、计划和程序实施该政策,以:

  • 确保关键功能的连续性。
  • 快速有效地响应和解决ICT事件。
  • 启动遏制措施、针对性响应和恢复程序,防止进一步损害。
  • 估计事件的影响、损害和损失。
  • 建立沟通及危机管理行动,按需更新内部员工、外部利益相关者和主管机关。

3. 响应与恢复计划

  • 实施ICT响应和恢复计划,除微型企业外,须接受独立内部审计。
  • 定期测试ICT业务连续性和恢复计划,尤其针对外包给第三方服务提供商的关键功能。

4. 业务影响分析(BIA)

  • 进行BIA,采用定量和定性标准评估严重中断的潜在影响。
  • 将ICT资产和服务与BIA对齐,确保所有关键组件具备冗余。

5. 测试和审查

  • 每年或在关键系统发生重大变更后测试ICT业务连续性和响应计划。
  • 测试计划包括网络攻击场景、切换和备份。
  • 根据测试结果、审计和监管反馈定期审查计划。

6. 危机管理

  • 建立危机管理职能,负责ICT连续性或恢复计划启动期间的沟通管理。

7. 记录保存

  • 维护在计划启动前后事件期间活动的可访问记录。

8. 报告

  • 对中央证券存管机构:向主管机关提供ICT连续性测试结果。
  • 对其他实体:应主管机关要求,报告重大ICT事件的年度汇总成本和损失。

9. ESA指引

  • 欧洲监管机构(ESAs)将于2024年7月17日前制定重大ICT事件汇总成本和损失估算的共同指引。

 

Endpoint Central 还保护企业端点免受勒索软件攻击,并提供勒索软件攻击时即时且不可删除的备份。

Endpoint Central 可隔离表现出可疑行为的端点,经过彻底取证分析后可重新部署到生产环境。

Endpoint Central 通过利用Microsoft的卷影复制服务,每三小时为网络中的文件提供即时且不可删除的备份。如果文件被勒索软件感染,可以使用最近的备份副本恢复该文件。

Endpoint Central 还可与Rapid 7、Splunk 和 Eventlog Analyzer等SIEM工具集成。

12

备份策略、恢复与恢复程序

金融实体必须制定并实施备份策略、恢复方法和恢复程序,以确保ICT系统和数据能以最小停机、干扰或损失恢复。主要要求包括:

1. 备份策略与恢复程序

  • 备份策略:根据数据的关键性和保密性定义备份范围及最小备份频率。
  • 恢复与恢复:制定文件化的数据和系统恢复程序与方法。

2. 备份系统

  • 建立符合文件化政策和程序的备份系统。
  • 确保激活备份系统不影响数据的安全性、可用性、真实性、完整性和保密性。
  • 定期测试备份、恢复和恢复程序。

3. 安全恢复

  • 采用物理和逻辑隔离的系统进行备份数据恢复,确保防止未经授权访问或损坏。
  • 确保使用安全备份系统及时恢复服务。
  • 对中央对手方:恢复计划必须支持所有交易恢复,以维持运营并按计划完成结算。
  • 对数据报告提供商:维持充足资源和备份设施,确保服务的连续可用性。

4. 冗余ICT能力

  • 对非微型企业:维持满足业务需求的冗余ICT资源。
  • 对微型企业:根据风险评估确定是否需要冗余。

5. 二级处理场所(针对中央证券存管机构)

  • 维护至少一个具备充足资源、能力及人员配备的二级场所,确保业务连续性。
  • 该场所必须:
  • 与主场所地理位置分离,避免共享风险。
  • 提供关键操作连续性,水平相当或接受的替代水平。
  • 一旦主场所不可用,关键操作能立即访问该场所。

6. 恢复时间目标和恢复点目标

  • 根据功能的重要性及对市场效率的潜在影响,定义各功能的恢复时间目标和恢复点目标。
  • 确保在极端情况下仍满足约定的服务水平。

7. 数据完整性检查

  • 在数据恢复过程中进行彻底的检查和核对,确保高度数据完整性。
  • 包括从外部利益相关者重建数据时的一致性检查。



Endpoint Central 还保护企业端点免受勒索软件攻击,并提供勒索软件攻击时即时且不可删除的备份。

Endpoint Central 可隔离表现出可疑行为的端点,经过彻底取证分析后可重新部署到生产环境。

Endpoint Central 通过利用Microsoft的卷影复制服务,每三小时为网络中的文件提供即时且不可删除的备份。如果文件被勒索软件感染,可以使用最近的备份副本恢复该文件。

15

ICT风险管理工具、方法、流程和政策的进一步统一

欧洲监管机构(ESAs)通过联合委员会并与ENISA协商,负责制定增强金融实体ICT风险管理的共同监管技术标准(RTS)。这些标准旨在:

1. 强化ICT安全政策和工具
具体规定ICT安全政策、程序、协议和工具(第9条第2款)的附加要素,以:

  • 确保网络安全。
  • 防范入侵和数据滥用。
  • 通过加密等技术保障数据的可用性、真实性、完整性和保密性。
  • 保证数据传输的准确性和连续性。

2. 增强访问管理控制

  • 进一步发展访问管理组成部分(第9条第4款(c)项),包括:
  • 访问权限授予和撤销规则。
  • 通过网络使用模式、IT活动和未知设备等指标监控异常行为。

3. 改进异常侦测和事件响应

  • 优化异常活动侦测机制(第10条第1款)及触发ICT事件响应流程的条件(第10条第2款)。

4. 精化业务连续性政策

  • 具体规定ICT业务连续性政策的附加组成部分(第11条第1款)。

5. 测试业务连续性计划

  • 加强ICT业务连续性计划的测试(第11条第6款),以:
  • 考虑关键功能不可接受质量或失效的情景。
  • 考虑ICT第三方提供商故障或其管辖区风险的影响。

6. 细化响应与恢复计划

  • 制定ICT响应与恢复计划的附加要素(第11条第3款)。

7. 规范审查报告

  • 定义ICT风险管理框架审查报告的内容和格式(第6条第5款)。
  • 考虑因素与截止日期
  • 标准将考虑金融实体的规模、风险状况、业务性质、规模和复杂性。
  • ESAs必须于2024年1月17日前向欧洲委员会提交这些监管技术标准草案。

.

 


Endpoint Central 有助于符合 ICT风险管理工具、方法、流程和政策的RTS(监管技术标准)及简化ICT风险管理框架。

Endpoint Central 还保护企业端点免受勒索软件攻击,并提供勒索软件攻击时即时且不可删除的备份。

Endpoint Central 可隔离表现出可疑行为的端点,经过彻底取证分析后可 重新部署到生产环境。

Endpoint Central 通过利用Microsoft的卷影复制服务,每三小时为网络中的文件提供即时且不可删除的备份。如果文件被勒索软件感染,可以使用最近的备份副本恢复该文件。

Endpoint Central 使用 FIPS 140-2 合规算法。用户可启用FIPS模式,在高度安全的环境中运行其IT。

Endpoint Central 可帮助管理员通过其Bitlocker管理对Windows设备进行加密,并利用FileVault加密Mac设备。

Endpoint Central 使组织能够采用最小权限原则,提供强大的端点权限管理,包括针对应用程序的权限控制和最终用户的即时访问。

它执行 条件访问策略 ,确保仅授权用户可以访问关键业务系统和敏感数据。 
 

16

简化的ICT风险管理框架

某些实体,包括小型及非互联的投资公司、免除的支付机构、电子货币机构及小型职业退休计划机构,不受本条例第5至15条的约束。但它们必须实施具备以下要求的简化ICT风险管理框架:

1. ICT风险管理框架的关键组成部分

  • 框架实施: 制定和维护稳健的文件化ICT风险管理框架,全面有效管理ICT风险,包括保护物理组件和基础设施。
  • 监控: 持续监控所有ICT系统的安全性和功能状态。
  • 弹性: 使用弹性且更新的ICT系统、协议和工具,最小化ICT风险,保护数据的可用性、真实性、完整性和保密性。
  • 事件处理: 快速识别并处理网络和信息系统中的ICT风险、异常及事件。
  • 第三方依赖: 识别对ICT第三方服务提供商的关键依赖。
  • 连续性措施: 通过业务连续性计划和恢复措施(包括备份和恢复)确保关键功能的连续性。
  • 测试: 定期测试实施的连续性计划、恢复措施及控制。
  • 改进: 将测试结果和事故后分析纳入ICT风险评估过程,并根据需要为员工和管理层实施ICT安全意识和韧性培训。

2. 审查与报告

  • 定期审查: 记录并定期审查ICT风险管理框架,特别是在重大ICT事件发生后,并根据监控和实施结果持续改进。
  • 报告: 根据要求向主管当局提交框架审查报告。

3. 监管技术标准(RTS)的制定
ESAs将与ENISA协商制定RTS,以:

  • 定义ICT风险管理框架的附加要素。
  • 指定用于最小化ICT风险、确保网络安全和保护数据的系统、协议和工具。
  • 完善ICT业务连续性计划的组成部分。
  • 建立业务连续性计划的测试规则,包括关键功能失效的场景。标准化ICT风险管理框架审查报告的内容和格式。

4. 截止日期与授权

  • ESAs将于2024年1月17日前向欧盟委员会提交RTS草案。
  • 欧盟委员会被授权根据相关欧盟法规采纳这些RTS。


Endpoint Central有助于遵守有关ICT风险管理工具、方法、流程和政策以及简化ICT风险管理框架的RTS(监管技术标准)。

以上RTS包含面向小型和非互联投资公司、豁免支付机构、电子货币机构以及小型职业退休金机构的简化ICT风险管理框架。

本RTS第30条至第38条全面涵盖简化ICT风险管理框架。

17

与ICT相关的事件管理流程

1. 事件管理框架
 

  • 定义并实施监控、处理及跟进与ICT相关事件的流程。指标:实施机制以早期检测潜在事件。
  • 事件分类:制定程序以识别、跟踪、记录、分类和根据优先级、严重性进行事件分类,
  • 维护所有ICT相关事件和重大网络威胁的记录。
  • 确保识别、记录根本原因并采取措施防止事件重复发生。

2. 事件管理流程的关键组成部分

  • 预警指标: 实施机制以早期检测潜在事件。
  • 事件分类: 制定程序以识别、跟踪、记录、分类和根据优先级、严重性及服务关键性(符合第18条第1款)进行事件分类。
  • 角色与职责: 为不同类型事件和场景分配明确的角色和职责。

通讯计划:

  • 根据第14条,定义针对员工、外部利益相关者、客户和媒体的沟通程序。
  • 包含内部升级协议和处理客户投诉的流程。
  • 适当时与交易对手共享相关信息。
  • 向管理层报告:
  • 确保高级管理层了解重大ICT事件。
  • 向管理机构报告重大事件,详细说明影响、响应措施及防止未来发生的额外控制措施。

响应程序:

  • 建立程序以减轻影响并安全、迅速地恢复服务。
     


如果在您的IT网络中记录到可疑事件,以下详细信息将发送给您的网络管理员/SOC团队。

攻击详细信息:

发现时间 -

报告时间 -

攻击状态 -

代理操作 -

攻击严重性 - 低/中/高

发现来源 - 行为引擎

镜像路径 -

进程名称 -

SHA256 -

命令 -

终端详细信息:

终端名称 -

域名 -

终端状态 -

终端版本 -

激活时间 -

最近联系时间 - 
 

   

 

信任来源