CPS 234 menangani hampir semua aspek dari infrastruktur keamanan entitas, sehingga implementasi dapat menantang tanpa bimbingan. Untuk memberi Anda titik awal, artikel ini akan mencakup: 
 
 
 
 Pengertian dan Tujuan CPS 234 Sebuah gambaran keseluruhan dari struktur kerangka Langkah-langkah implementasi yang dapat dilakukan Apa itu CPS 234? CPS 234 adalah standar prudensial yang dikeluarkan oleh APRA yang mengatur persyaratan ketahanan siber untuk entitas yang diatur.Ini mulai berlaku pada tahun 2019 sebagai tanggapan Otoritas terhadap meningkatnya jumlah dan kerumitan ancaman keamanan siber. Organisasi di sektor keuangan dan asuransi sangat rentan terhadap ancaman tersebut, sehingga APRA menegakkan persyaratan ketat melalui CPS 234 untuk membantu mereka meningkatkan kemampuan mereka. dan mengurangi berbagai risiko, terutama: Posisi Keamanan 
 
 
 
 Serangan keamanan eksternal Pelanggaran dan kebocoran data sensitif Kekhawatiran keamanan yang disebabkan oleh kelalaian tim internal Bagaimana CPS 234 cocok dengan standar CPS lainnya? CPS 234 adalah standar independen yang melengkapi CPS 230, yang secara luas mencakup risiko operasional, termasuk risiko teknologi. CPS 230 mulai berlaku pada 1 Juli 2025 dan menggantikan lima standar lainnya, khususnya CPS 231 (Outsourcing), SPS 231 (Outsourcing), HPS 231 (Outsourcing), CPS 232 (Business Continuity Management), dan SPS 232 (Business Continuity Management). Siapa yang membutuhkan CPS 234? CPS 234 menggambarkan lima kategori entitas yang harus mencapai kepatuhan dengan standar: 
 
 
 
 
 
 Lembaga Deposit yang Disetujui (ADIs) Asuransi Umum perusahaan kehidupan Asuransi kesehatan swasta yang terdaftar di bawah Private Health Insurance (Prudential Supervision) PHIPS Act Subjek Superannuation yang dapat didaftarkan (RSE), pemegang lisensi di bawah Undang-Undang Industri Superannuation (Supervision) SIS ‍ Applicability jelas didefinisikan, yang membuatnya mudah untuk memahami bagaimana CPS 234 mempengaruhi organisasi Anda dan memastikan bahwa itu memenuhi semua kewajiban yang diperlukan. yang dapat mengakses data sensitif dalam skala, persyaratan kerangka kerja meluas ke semua mereka, termasuk organisasi di luar Australia. Pihak Ketiga Bagaimana CPS 234 berlaku untuk pihak ketiga dan penjual internasional Pihak ketiga, termasuk mereka yang berada di luar Australia, tidak secara langsung tunduk pada CPS 234, tetapi mungkin diwajibkan secara kontrak untuk menunjukkan efektivitas kontrol yang disesuaikan dengan CPS 234, sebagaimana ditentukan oleh entitas yang diatur APRA yang melayani mereka. Contoh dari organisasi tersebut meliputi: 
 
 
 
 Fintech yang berbasis di AS menawarkan platform pinjaman berbasis awan untuk bank Australia Penyedia analisis data yang berbasis di AS memproses data superannuation Penyedia keamanan siber memantau infrastruktur insurans Australia dari jarak jauh Dalam salah satu kasus di atas (dan skenario lain yang melibatkan penyimpanan data asing), organisasi harus memeriksa dan menerapkan kontrol yang diperlukan sesuai dengan CPS 234. Melakukannya bisa sangat menantang bagi organisasi yang diatur oleh Clarifying Lawful Overseas Use of Data (CLOUD) Act. Meskipun tidak secara langsung bertentangan dengan CPS 234, itu dapat menyebabkan konflik potensial bagi entitas Australia yang menggunakan layanan cloud dari penyedia berbasis di AS. Undang-undang CLOUD memungkinkan penegak hukum AS untuk mengakses data yang dimiliki oleh penyedia yang berbasis di AS, bahkan ketika data tersebut disimpan di luar negeri. Oleh karena itu, organisasi Australia yang menggunakan layanan ini harus memastikan persyaratan kerahasiaan dan kedaulatan CPS 234 tidak terpengaruh. Karena Anda tidak memiliki banyak kendali atas posisi keamanan pihak ketiga, sebagai entitas yang diatur, Anda harus menegakkan kepatuhan CPS 234 melalui perjanjian hukum dan ketentuan kontrak yang menentukan implementasi standar. Untuk menggambarkan semua istilah yang diperlukan, pertimbangkan jenis data yang akan Anda simpan dengan vendor. Anda harus kemudian menilai dampak dari insiden potensial pada organisasi atau operasi produk Anda untuk menginformasikan tingkat resiko dari vendor tersebut. CPS 234 Pengendalian CPS 234 menggambarkan sembilan bidang persyaratan inti, masing-masing melibatkan serangkaian harapan kontrol yang harus diterapkan oleh organisasi berdasarkan lingkungan risiko mereka: 
 
 
 
 
 
 
 
 
 
 Peran dan tanggung jawab Kemampuan Keamanan Informasi Kerangka Kebijakan Identifikasi dan klasifikasi aset informasi Implementasi Kontrol Keamanan Informasi Manajemen insiden Pengujian Efisiensi Kontrol Audit internal Setelah pemberitahuan ‍ Persyaratan adalah jelas dan preskriptif, dan mereka dirancang untuk mencapai tujuan utama kerangka kerja: 
 
 
 
 
 Menentukan peran dan tanggung jawab yang terkait dengan keamanan Mempertahankan kemampuan keamanan informasi yang kuat yang sesuai dengan kritisitas dan sensitivitas data Menerapkan kontrol yang memadai untuk melindungi aset informasi organisasi Pemberitahuan APRA tentang insiden keamanan yang relevan ‍ Selain kejelasan, keuntungan yang luar biasa dari persyaratan CPS 234 adalah hubungan dekat mereka dengan Jika Anda sudah sepenuhnya mengadopsi ISO 27001, Anda harus mencapai kepatuhan CPS 234 lebih efisien melalui pemetaan kontrol yang efektif. Sertifikasi ISO 27001 ‍ CPS 234 Hukuman Pelanggaran Mengingat peningkatan perhatian pengawasan APRA pada ketahanan siber, entitas yang diatur harus mengharapkan pengawasan yang lebih besar dan penegakan yang lebih proaktif dari persyaratan CPS 234. Denda atas kelalaian tidak dinyatakan secara eksplisit dalam CPS 234 itu sendiri. sebaliknya, denda ditentukan berdasarkan akta yang lebih luas yang relevan untuk entitas, misalnya Banking Act, Insurance Act, Life Insurance Act, dan Superannuation Industry (Supervision) Act. Tergantung pada jenis entitas yang diatur, denda dapat mencakup perusahaan yang dapat dilaksanakan, arahan, atau, dalam kasus yang serius, prosedur sipil atau pidana. Bisnis Anda juga dapat menderita masalah tambahan seperti: 
 
 
 
 Eskalasi Hukum Kehilangan bisnis Kerusakan Reputasi ‍ 7 langkah untuk mematuhi CPS 234 Terlepas dari kategori aplikasi organisasi Anda, Anda dapat mencapai kepatuhan CPS 234 dan mengelola risiko bisnis Anda dengan mengambil langkah-langkah berikut: 
 
 
 
 
 
 
 
 Menetapkan peran dan tanggung jawab Mengembangkan dan mempertahankan kemampuan keamanan informasi Menetapkan kerangka kebijakan yang komprehensif Mengidentifikasi dan mengklasifikasikan aset informasi Mengimplementasikan kontrol yang kuat Mengembangkan prosedur manajemen insiden Melakukan audit internal secara teratur ‍ Bagian-bagian berikut akan menjelaskan setiap langkah dengan item-item tindakan utama. Langkah 1: Menetapkan peran dan tanggung jawab Bagian 13 dari CPS 234 mengharuskan peran dan tanggung jawab yang jelas dari Dewan, manajemen senior, staf IT, dan staf terkait lainnya. Itulah mengapa sangat penting untuk mendapatkan pembelian dari eksekutif tingkat tinggi sebelum mengembangkan strategi implementasi CPS 234. Menurut Pasal 13, Dewan harus menerapkan dan mempertahankan kontrol keamanan yang sesuai dengan ancaman keamanan informasi. dan penilaian risiko. Revisi Keamanan Untuk menyederhanakan proses, Anda dapat mengembangkan komite khusus seperti komite manajemen risiko dan komite manajemen keamanan informasi. mereka harus melakukan penilaian yang diperlukan dan memberi saran kepada Dewan tentang kontrol yang harus diterapkan. Langkah 2: Mengembangkan dan mempertahankan kemampuan keamanan informasi Setelah memahami profil risiko dan lanskap keamanan organisasi Anda, lakukan evaluasi komprehensif dari kemampuan keamanan yang ada untuk mengidentifikasi kesenjangan kepatuhan. CPS 234 mengharuskan organisasi untuk memperluas proses ini ke semua pihak ketiga yang mengelola aset informasi mereka, termasuk: 
 
 
 
 Penyedia Cloud Prosesor Pembayaran Platform SaaS dengan akses ke data sensitif ‍ Setelah Anda melakukan penilaian yang diperlukan, gunakan hasilnya untuk membangun dan mengawasi kemampuan di bidang-bidang seperti: 
 
 
 
 
 Vulnerability dan Manajemen Ancaman Kesadaran Situasi Desain yang aman Reaksi insiden ‍ Langkah 3: Menetapkan kerangka kebijakan yang komprehensif CPS 234 mengharuskan organisasi untuk membangun dan mempertahankan kebijakan keamanan informasi yang proporsional dengan ancaman yang relevan dan paparan risiko lingkungan mereka.Seperti kontrol keamanan, kebijakan ini (Bagian 18) harus disesuaikan dengan tingkat ancaman keamanan dan dampaknya pada stabilitas operasional organisasi. ‍ Kebijakan ini harus mencakup semua prosedur dan tindakan keamanan yang relevan, seperti: 
 
 
 
 
 Kontrol Akses Perlindungan Hardware dan Software Manajemen Konfigurasi Manajemen Risiko Pihak Ketiga ‍ Karena keamanan organisasi Anda terus berkembang, kontrol CPS 234 yang Andaimplementasikan tidak harus tetap statis. sebaliknya, buat ulasan dan penilaian rutin dari lanskap ancaman saat ini untuk menyesuaikan kebijakan Anda sesuai. Kesadaran keamanan di seluruh organisasi sangat penting untuk implementasi yang efektif, jadi berkomunikasi kebijakan ke anggota tim yang relevan di semua tingkatan. Anda juga harus mengatur inisiatif pelatihan yang memungkinkan untuk menunjukkan kebijakan keamanan dalam pengaturan kehidupan nyata untuk membantu tim Anda menerapkan prinsip kebijakan dalam pekerjaan sehari-hari mereka. Langkah 4: Mengidentifikasi dan mengklasifikasikan aset informasi Untuk secara efektif melindungi aset informasi, Anda harus menyimpan dan mengklasifikasikannya sesuai dengan kritikalitas dan sensitivitasnya. hal ini berlaku untuk aset internal serta yang dikelola oleh pihak ketiga, yang harus Anda perhatikan terutama karena lanskap ancaman yang diperluas. CPS 234 Bagian 20 mengharuskan organisasi untuk menerapkan kontrol berdasarkan klasifikasi aset berdasarkan dampak finansial atau non-finansial dari insiden potensial. dampak ini tidak hanya mencakup organisasi itu sendiri tetapi juga pemangku kepentingan utama, terutama: 
 
 
 
 
 politisi Depositasi Penerima Pelanggan lainnya ‍ Ketika lanskap keamanan Anda berubah, Anda harus memeriksa kembali dan mengklasifikasikan kembali aset jika diperlukan. Selain pemeriksaan rutin, pastikan untuk melakukan penilaian ulang setelah skenario berikut: 
 
 
 
 Ancaman Keamanan yang Terjadi Onboarding/offboarding vendor baru dengan akses ke aset informasi Perubahan yang signifikan dalam infrastruktur IT ‍ Langkah 5: Mengimplementasikan kontrol yang kuat CPS 234 mengharuskan organisasi untuk mengembangkan dan menegakkan kontrol keamanan yang sesuai dengan: 
 
 
 
 
 Kerentanan dan Ancaman Aset Informasi Kritik dan Sensitivitas Tahap siklus hidup aset informasi Konsekuensi potensial dari insiden keamanan ‍ Terlepas dari alur kerja spesifik Anda, praktik terbaik yang direkomendasikan adalah untuk menerapkan kontrol ini di seluruh pengembangan, pengujian, dan lingkungan produksi Anda karena ancaman dapat muncul di masing-masing. Karena kontrol keamanan pihak ketiga Anda secara langsung mempengaruhi sikap keamanan Anda, CPS 234 mengharuskan organisasi untuk meninjau mereka. Kontrol keamanan Anda harus mengikuti perubahan profil risiko dan lanskap keamanan Anda, jadi periksa mereka secara teratur untuk melihat apakah ada penyesuaian yang diperlukan. Langkah 6: Mengembangkan prosedur manajemen insiden Menurut Pasal 23-25 dari CPS 234, organisasi harus mengembangkan prosedur yang efektif untuk mendeteksi dan menanggapi insiden keamanan.Meskipun CPS 234 tidak meresepkan proses tertentu, praktik terbaik industri – seperti yang dari NIST dan SANS – merekomendasikan mencakup enam tahap berikut: 
 
 
 
 
 
 
 Deteksi Analisis Kontensi Eradikasi Pemulihan Pemeriksaan Pasca Insiden ‍ Spesifikasi prosedur Anda akan tergantung pada alur kerja dan infrastruktur TI Anda, tetapi mereka semua harus melayani satu tujuan – menanggapi insiden dengan cepat dan dengan kerusakan minimal. Anda juga perlu mengembangkan prosedur yang jelas untuk eskalasi dan pelaporan insiden ke Dewan dan pemangku kepentingan lainnya yang relevan. hal ini akan mengharuskan Anda untuk memiliki saluran komunikasi yang efektif di seluruh organisasi dan tanggung jawab pelaporan yang jelas. Jika insiden terjadi, Anda harus memberitahu APRA dalam waktu 72 jam dan memberikan pemberitahuan kelemahan kontrol yang dapat mengakibatkan insiden dalam waktu 10 hari kerja. 
 
 
 Membangun Rencana Respon Insiden, yang mencakup melaporkan ke APRA, akan membantu Anda memprediksi apa yang merupakan insiden yang signifikan dan siapa di tim Anda harus membuat panggilan terakhir. oleh Evan Rowse GRC Subject Matter Expert, Vanta Átha LinkedIn Membangun Rencana Respon Insiden, yang mencakup melaporkan ke APRA, akan membantu Anda memprediksi apa yang merupakan insiden yang signifikan dan siapa di tim Anda harus membuat panggilan terakhir. oleh Evan Rowse GRC Subject Matter Expert, Vanta Átha LinkedIn CPS 234 Bagian 26 mengharuskan organisasi untuk meninjau prosedur tanggapan insiden mereka setiap tahun untuk memastikan efektivitas yang berkelanjutan. Langkah 7: Lakukan audit internal secara teratur Tidak ada proses kepatuhan CPS 234 formal, dan APRA tidak memberikan sertifikasi eksplisit apa pun. Karena tidak ada sertifikasi ulang, Anda harus mempertahankan kontrol Anda secara tak terbatas untuk memastikan kepatuhan berkelanjutan. memungkinkan Anda untuk secara teratur mengaudit desain dan efisiensi operasi kontrol keamanan informasi. Proses Audit Internal Ini sering menjadi salah satu aspek yang paling menantang dari kepatuhan terhadap CPS 234 bagi organisasi dalam skala.Jika Anda tidak memiliki prosedur audit yang ditentukan dengan baik, ini dapat mengakibatkan tidak mematuhi kewajiban CPS 234. ‍ 
 
 
 “Kecuali audit internal sudah ada, membuat dan mengelola satu program untuk secara efektif meninjau dan mengukur kepatuhan dapat menjadi tantangan untuk dimasukkan ke dalam program keamanan informasi yang lebih luas organisasi.” oleh Faisal Khan Ahli Solusi GRC, Vanta, LinkedIn “Kecuali audit internal sudah ada, membuat dan mengelola satu program untuk secara efektif meninjau dan mengukur kepatuhan dapat menjadi tantangan untuk dimasukkan ke dalam program keamanan informasi yang lebih luas organisasi.” oleh Faisal Khan Ahli Solusi GRC, Vanta, LinkedIn Sebuah solusi umum adalah menggabungkan ulasan independen dan pendapat ahli dengan kegiatan audit internal, terutama di bidang yang membutuhkan pengetahuan khusus. Cara lain untuk menyederhanakan kepatuhan CPS 234 yang sedang berlangsung adalah dengan menggunakan solusi perangkat lunak khusus.Dengan platform yang tepat, Anda dapat menghapus pekerjaan manual dari proses dan mempertahankan kontrol Anda lebih efisien. Mencapai dan mempertahankan kepatuhan CPS 234 dengan Vanta Vanta adalah platform manajemen kepercayaan dan kepatuhan yang komprehensif yang mengotomatisasi alur kerja kepatuhan yang terkait dengan dengan menggunakan CPS 234. 35 kerangka kerja dan peraturan utama Ini menawarkan produk khusus CPS 234 yang menyederhanakan kepatuhan melalui berbagai fitur, terutama: 
 
 
 
 
 
 
 Pre-configured document templates and policies 
 
 Continuous visibility of your CPS 234 compliance status 
 
 Automation and integration options for evidence collection and controls monitoring through  over [integrations_count] integrations 
 
 Access to a network of accredited auditors for support and remediation throughout the compliance process Karena manajemen risiko pihak ketiga adalah bagian penting dari kepatuhan CPS 234, Vanta juga menawarkan untuk membantu Anda terus mengawasi sikap keamanan pihak ketiga Anda dan memastikan kepatuhan terhadap CPS 234. Solusi Manajemen Risiko Vendor Selain produk khusus untuk aspek utama kepatuhan CPS 234, Vanta memberikan dukungan profesional yang berkelanjutan di setiap tahap proses untuk menghilangkan teka-teki dan meminimalkan risiko pelanggaran. dari produk CPS 234 Vanta untuk mempelajari bagaimana membantu Anda mencapai dan mempertahankan kepatuhan. Menggunakan Custom Demo

Audio ini diproduksi dalam bahasa asli cerita!

Panduan Implementasi CPS 234

About Author

KOMENTAR

HANG TAG

ARTIKEL INI DISAJIKAN PADA

Related Stories

And In The Open Air

A Beginner’s Guide to Blockchain Programming

THE BEGINNING OF THE SEARCH FOR THE KEY AND THE COAT.

The Magic Shop

And In The Open Air

A Beginner’s Guide to Blockchain Programming

THE BEGINNING OF THE SEARCH FOR THE KEY AND THE COAT.

The Magic Shop

Light-Mode

Classic

Newspaper

Minty

Dark-Mode

Neon Noir

Minty

HN StartUps