通过

什么是 DORA?

  • 项目

自 2025 年 1 月 17 日起,欧盟 (欧盟) 金融实体和被欧洲监管机构指定为“关键”的 ICT 第三方服务提供商必须准备遵守欧盟 数字运营复原法案 (条例 (欧盟) 2022/2554 - “DORA”) 。 DORA 标准化金融实体报告网络安全事件的方式,测试其数字运营复原能力,以及管理整个金融服务部门和欧盟成员国的 ICT 第三方风险。

除了对信通技术提供商的作用设定明确的期望外,DORA还向欧洲监督机构 (ESA) 提供对指定关键信通技术提供商的直接监督权。 Microsoft正准备被指定为“关键的 ICT 第三方服务提供商”,并将遵守 DORA 的适用条款,并帮助受监管的金融机构满足自己的要求。

监管框架

DORA 旨在通过确保公司能够抵御和适应各种威胁和中断(包括网络攻击、IT 故障和其他运营风险),提供一种统一的方法, (FSI) 实现金融服务行业的“高水平的数字运营复原能力”。 DORA 适用于广泛的 FSI 实体,包括银行、保险机构、证券交易所和交易平台。 它还将首次通过向FSI实体提供关键服务来指定“关键信息通信技术第三方服务提供商”或认为对金融体系至关重要的CTPP,从而对此类指定公司进行直接监管。

要点

  1. DORA 的目的:DORA 寻求通过确保 FSI 实体已采取有效措施管理和缓解运营风险(包括网络风险),提高 FSI 部门的复原能力和稳定性。 它旨在保护消费者、投资者和更广泛的 FSI 系统免受该行业内部重大中断或故障的潜在严重后果的影响
  2. 范围: DORA 适用于在欧盟运营的 FSI 实体及其在欧盟提供服务的 ICT 第三方提供商,无论后者从何处运营。 它还适用于由 ESA 指定的 (CTPP) 的关键第三方提供商,这些提供商委托对 EBA、EIOPA 或 ESMA 三个 EA 之一进行日常监督。
  3. 主要规定:DORA 主要包括三项要求: (i 适用于 FSI 实体) 要求, (包括 ICT 风险管理领域、重大 ICT 事件通知和运营复原能力测试 (即威胁主导渗透测试) ) , (ii) 与指定 ICT 服务提供商与 FSI 实体之间达成的合同安排的要求, 和 (iii) 有关在向 FSI 实体提供服务时 (CTPP) 的关键 ICT 第三方提供商监督框架的建立和行为规则。
  4. 合规性:Microsoft在提供服务时将遵守适用于其的所有法律和法规,但须遵守其作为 CTPP 适用的要求。 已就使用Microsoft联机服务履行其关键或重要职能作出合同安排的 FSI 实体仍应对遵守 DORA 和适用的金融服务监管要求下的所有义务负责。 Microsoft将支持 FSI 实体实现其合规性义务并遵守适用的要求。
  5. 云服务和提供商:DORA 是技术中立的,DORA 的要求不仅适用于 FSI 实体,也适用于被指定为 CTTP 的 ICT 服务的第三方提供商。 例如,某些Microsoft Azure 云服务 (IAAS) 和某些 Microsoft 365 服务(如 Exchange 和 Teams)可能包含在 DORA 中,但尚未确定。
  6. 合同承诺:DORA 要求 ICT 第三方服务提供商与 FSI 实体之间的某些合同要求。 Microsoft将确保其合同条款符合 DORA 的要求,视情况而定。 此外,Microsoft已经符合 EBA、ESMA 和 EIOPA 指南下发布的要求,此类指南本身是 DORA 要求的基线框架。
  7. 监督:DORA 不会减轻 FSI 实体对技术提供商(包括审计)的监督。 Microsoft在支持客户执行审核以及为其云服务的持续监督和监视提供一定程度的透明度和保证方面拥有丰富的经验。

DORA 旨在加强 FSI 部门的运营复原能力,并寻求加强风险管理,使公司能够抵御和适应各种威胁和中断。 Microsoft将遵守适用于其云服务的所有法律和法规,但需遵守其作为 CTTP 适用的要求。 已就使用 ICT 第三方服务作出合同安排的 FSI 实体仍应对遵守 DORA 下的所有义务和适用的金融服务监管要求负责,Microsoft将根据需要支持这些义务。

DORA 下客户考虑的主要领域

ICT 风险管理框架

DORA) (《数字运营复原法》建立了一个信息通信技术风险的综合管理机制,要求金融实体遵守这些风险,包括识别、保护和预防、检测、响应和恢复此类风险的范围。 金融实体必须建立信通技术风险管理的内部治理和控制框架,并持续监测信通技术风险。 这些 ICT 风险管理和监视要求延伸到使用第三方提供商提供的 ICT 服务。

此 ICT 风险管理框架的要素大致包括:

  • ICT 风险管理的内部治理和控制框架:金融实体必须具有内部治理和控制框架,以确保有效和谨慎地管理 ICT 风险。
  • ICT 风险管理框架组件和要求:ICT 风险管理框架必须包括保护 ICT 系统、信息资产和数据复原能力、连续性和可用性所必需的策略、策略、程序、ICT 协议和工具。
  • ICT 系统、协议和工具规范:金融实体必须使用和维护更新的 ICT 系统、协议和工具,这些系统、协议和工具适当、可靠、可复原,并且能够处理其活动和服务所需的数据。 它们还必须实施 ICT 安全策略、程序、协议和工具,以确保网络和数据的安全性,并防止与 ICT 相关的事件。
  • 识别 ICT 风险源和依赖项:金融实体必须识别、分类和记录所有 ICT 支持的业务职能、信息资产和 ICT 资产,以及它们与 ICT 风险相关的角色和依赖关系。 它们还必须确定 ICT 风险、网络威胁和 ICT 漏洞的所有来源,并评估 ICT 中断的潜在影响。
  • 检测与 ICT 相关的事件和异常:金融实体必须具有机制来及时检测异常活动、ICT 网络性能问题和与 ICT 相关的事件,并确定潜在的单一故障点。 它们还必须定义警报阈值和条件,以触发和启动与 ICT 相关的事件响应过程。
  • 与 ICT 相关的事件的响应和恢复:金融实体必须制定全面的 ICT 业务连续性政策以及相关的 ICT 响应和恢复计划,以确保关键或重要职能的连续性,快速有效地解决与 ICT 相关的事件,并尽量减少损害和损失。 他们还必须定期测试、审查和更新其计划和措施,并根据需要向主管部门报告。

Microsoft如何帮助进行风险管理

Microsoft在当今的服务中已经提供了一系列广泛的内置 ICT 风险管理功能。 例如,这包括:Microsoft Defender for CloudMicrosoft 365 服务运行状况仪表板Microsoft安全功能分数Azure 服务运行状况Microsoft PurviewMicrosoft Purview 合规性管理器

ICT - 相关事件管理、分类和报告

欧盟金融实体在 ICT 事件管理、分类和报告方面规定了一系列要求,其中包括:

  • 与 ICT 相关的事件管理过程:财务实体必须有一个流程来检测、管理和通知与 ICT 相关的事件,并根据其优先级和严重性对其进行记录。
  • 与信息通信技术相关的事件和网络威胁的分类:金融实体必须根据受影响的客户数量、持续时间、地理分布、数据丢失、服务的重要性和经济影响等标准对信息通信技术相关事件和网络威胁进行分类。
  • 报告与信通技术相关的重大事件和自愿通知重大网络威胁:金融实体必须使用标准表格和模板向相关主管部门报告与信息通信技术相关的重大事件,并告知其客户有关事件和缓解措施。 金融实体还可以自愿向相关主管部门通报重大网络威胁。
  • 统一报告内容和模板:ESA应通过联合委员会,并与 ENISA 和 ECB 协商,制定共同的法规草案和实施技术标准,以具体规定与 ICT 相关事件和网络威胁的报告和通知的内容、时限和格式。
  • 集中报告与信通技术相关的重大事件:经济、环境评估机构应通过联合委员会,并与欧洲央行和ENISA协商,编写一份联合报告,评估通过为金融实体报告重大信通技术相关事件建立单一欧盟中心来进一步集中报告事件的可行性。

数字操作复原能力测试

DORA 引入了数字操作测试,应通过威胁主导的渗透测试 (TLPT) ,每年到三年一次对关键 ICT 系统和应用程序进行一次。 这种新的测试方法增强了财务实体的测试功能,从而促进及时恢复和业务连续性。 Microsoft已经使客户能够通过我们的渗透测试计划执行此操作。 详细了解 Microsoft云渗透测试参与规则Bug 赏金 计划。 Microsoft将进一步完成并支持测试要求,以满足 DORA 要求下此测试制度的要求,这符合确保Microsoft云的安全、完整性、安全性和操作复原能力的原则。

Microsoft如何帮助进行操作复原能力测试

Microsoft定期进行内部和第三方渗透测试,以确定提供联机服务的系统中的潜在漏洞。 可在服务信任门户上下载适用Microsoft Online Services 的第三方渗透测试报告

除了漏洞测试,Microsoft至少每年 测试其联机服务的复原能力 。 Microsoft在服务信任门户上提供业务连续性和灾难恢复计划验证报告,其中描述了所选联机服务的 BCDR 计划的验证和维护。

对 ICT 第三方风险进行良好管理的关键原则

预计金融实体将管理信通技术第三方风险,作为其信通技术风险管理框架的一部分,采取有关使用支持关键或重要职能的信通技术服务的战略和政策,并保留与信通技术第三方服务提供商的所有合同安排的信息登记册。

  • 签订合同前的初步评估:金融实体应评估与关键 ICT 第三方服务提供商签订合同的风险。
  • 关键合同规定:金融实体应确保合同安排包括,除其他事项外,包括职能和服务的说明、数据处理和存储的位置、管理和监督支持提供关键服务的主要分包商、数据保护和安全措施、服务级别说明和性能目标、终止权利和退出策略, 以及金融实体和主管部门的访问、检查和审计权。

Microsoft如何帮助第三方风险管理

Microsoft已经提供了大量合同承诺,这些承诺符合各自ESA的指导,并符合《DORA》第30条的规定。 Microsoft产品和服务数据保护附录产品条款 和金融服务修正案涵盖这些关键要素。 我们将与客户合作,继续满足将来的进一步客户需求。

Microsoft承诺在 DORA 下实现合规性

Microsoft准备满足 DORA 下的要求(如适用),以及它为使用其云服务执行关键或重要职能的金融实体提供的关键服务。 十多年来,Microsoft在帮助金融机构在使用Microsoft云服务时履行其监管义务方面投入了大量资金,从我们根据有关外包的 ESA 准则提供的商业合同,到通过服务信任门户和其他资源提供云服务的透明度和保证,到云服务中的大量内置安全功能。 加上我们提供的多种功能,可帮助客户持续管理风险并监督云服务的使用,DORA 的要素是保持运营复原能力并自信地使用Microsoft云服务的自然步骤。 我们还与英国等司法管辖区的其他监管机构合作,这些监管机构正在实施与 DORA 类似的措施,并准备满足这些要求。