共用方式為

什麼是 DORA?

  • 發行項

自 2025 年 1 月 17 日起,歐盟 (歐盟) 金融實體,而且一經指定,由歐洲監管機關指定為「關鍵」的 ICT 第三方服務提供者就必須準備好遵守 歐盟數位營運復原法 (法規 (歐盟) 2022/2554 - 'DORA') 。 DORA 會標準化金融實體如何報告網路安全性事件、測試其數位營運復原能力,以及管理整個金融服務部門和歐盟成員的ICT第三方風險。

除了建立ICT提供者角色的明確期望之外,DORA還提供歐洲監督機關 (ESA) ,並直接監督指定的重要ICT提供者。 Microsoft準備指定為符合 DORA 適用條款的「重要 ICT 第三方服務提供者」,並可協助受規範的金融機構符合自己的需求。

DORA 旨在藉由確保公司能夠承受並適應各種威脅和中斷,包括網路攻擊、IT 失敗和其他作業風險,提供統一的方法,以達成金融服務產業 (FSI) 的「高階數位營運復原能力」。 DORA 適用於各種 FSI 實體,包括銀行、保險機構、股票交易和交易平臺。

要點

  1. DORA 的用途:D ORA 會確保 FSI 實體已備妥有效措施來管理和降低作業風險,包括網路風險,藉此增強 FSI 部門的復原能力和穩定性。 其目標是保護取用者、投資人和更廣泛的 FSI 系統,避免部門內發生重大中斷或失敗的潛在嚴重後果。
  2. 範圍: DORA 適用於在歐盟運作的 FSI 實體,以及在歐盟提供服務的 ICT 第三方提供者,不論後者的運作來源為何。 它也適用於 ESA 指定的重要第三方提供者 (CTPP) ,這三個 EAS 的其中一個每日監督,也就是 EBA、EIOPA 或 ESMA。
  3. 主要布建:D ORA主要包含三個需求:
    1. 適用於 FSI 實體的需求,包括 ICT 風險管理、重大 ICT 事件的通知,以及作復原測試,例如威脅導向滲透測試。
    2. 與指定的ICT第三方服務提供者與 FSI 實體之間所達成的合約安排相關的需求
    3. 為 FSI 實體提供服務時,建立和執行重要 ICT 第三方提供者之監督架構的規則 (CTP) 。
  4. 合規性:Microsoft在其服務布建時遵守適用於它的所有法律和法規,但須遵守 CTPP 套用的需求,以及 DORA 需求Microsoft預期可透過一般和重要的 ICT 服務來履行為 FSI 實體提供服務。 使用Microsoft 線上服務 來執行其重要或重要功能的 FSI 實體,對於符合 DORA 下的所有義務和適用的金融服務法規需求,仍須負責。 Microsoft支援 FSI 實體來啟用其合規性義務,並符合適用的需求。
  5. 雲端服務和提供者:D ORA設計為技術中性,DORA 下的需求不只適用於 FSI 實體,也適用於ICT服務的第三方提供者。
  6. 合約承諾:D ORA 會要求ICT第三方服務提供者與FSI實體之間有特定的合約需求。 Microsoft確保其合約布建適當地符合 DORA 下的需求。 此外,Microsoft已符合 EBA、ESMA 和 EIOPA 指引下所發出的需求,而這類指引本身可作為 DORA 下需求的基準架構。
  7. 監督:D ORA 不會減輕技術提供者監督的 FSI 實體,包括視為需求的稽核。 Microsoft提供豐富的保證資訊給客戶,例如第三方證明、效能數據、事件資訊、年度和每季報告,可協助評估Microsoft為技術提供者。 Microsoft Cloud 合規性計畫 (CPMC) 是進階支援服務,可協助解決成員可能面臨的更具體且複雜的案例。 如有必要,Microsoft支援客戶執行稽核,並提供一層透明度和保證,以持續監督和監視其雲端服務。

DORA 旨在強化 FSI 部門的營運復原能力,並尋求強化風險管理,讓公司能夠承受並適應各種威脅和中斷。 Microsoft遵守其提供其雲端服務適用的所有法律和法規,但須遵守 CTPP 所套用的需求。 已就使用ICT第三方服務的合約安排的FSI實體,必須負責符合DORA和適用金融服務法規需求下的所有義務,Microsoft視需要支持這些需求。

DORA 下的客戶考慮主要區域

ICT 風險管理架構

數字營運復原法案 (DORA) 建立 ICT 風險的完整管理機制,需要財務實體遵守這些風險,包括識別、保護和預防、偵測、回應,以及在範圍內復原這類風險。 財務實體必須建立ICT風險管理的內部治理和控制架構,並持續監視ICT風險。 這些ICT風險管理和監視需求延伸到使用第三方提供者所提供的ICT服務。

此 ICT 風險管理架構的元素廣泛包含:

  • ICT 風險管理的內部治理和控制架構:財務實體必須具有內部治理和控制架構,以確保有效且審慎地管理 ICT 風險。
  • ICT 風險管理架構元件和需求:ICT 風險管理架構必須包含策略、原則、程式、ICT 通訊協定,以及保護及確保ICT系統、資訊資產和數據的復原能力、持續性和可用性所需的工具。
  • ICT 系統、通訊協定和工具規格:財務實體必須使用及維護更新的ICT系統、通訊協定和工具,這些系統、通訊協定和工具是適當、可靠、可復原且能夠處理其活動和服務所需的數據。 它們也必須實作ICT安全策略、程式、通訊協定和工具,以確保網路和資料的安全性,並防止ICT相關事件。
  • 識別ICT風險來源和相依性:財務實體必須識別、分類及記錄所有ICT支援的商務功能、資訊資產和ICT資產,以及其與ICT風險相關的角色和相依性。 它們也必須識別ICT風險、網路威脅和ICT弱點的所有來源,並評估ICT中斷的潛在影響。
  • 偵測 ICT 相關事件和異常:財務實體必須具有機制,以立即偵測異常活動、ICT 網路效能問題和 ICT 相關事件,以及識別潛在的單一失敗點。 它們也必須定義警示閾值和準則,以觸發和起始與ICT相關的事件回應程式。
  • 從ICT相關事件回應和復原:財務實體必須具有完整的ICT商務持續性原則和相關聯的ICT回應和復原計劃,其目標是確保重要或重要功能的持續性、快速且有效地解決ICT相關事件,以及將損害和損失降到最低。 他們也必須定期測試、檢閱及更新其計劃和措施,並視需要向主管機關報告。

Microsoft如何協助管理風險

Microsoft目前已在我們的服務中提供一組廣泛的內建 ICT 風險管理功能,包括:

CPMC 也提供風險評估的支持,協助成員將其控制架構和需求對應至Microsoft的實作。

Microsoft提供其他解決方案給財務實體,以更廣泛地協助管理風險,包括:

  • Microsoft Entra 提供整合式身分識別、存取和授權管理,具有增強的保護功能,並支援Microsoft雲端服務。 請務必查看我們詳細的 DORA 指引以取得 Microsoft Entra
  • Microsoft Defender 提供跨多重雲端、電子郵件、共同作業平臺、身分識別和端點的整合式跨網域威脅偵測、保護和回應。
  • Microsoft 365 Purview 提供一組完整的數據安全性與合規性解決方案,包括數據外洩防護、資訊保護、資訊屏障、測試人員風險管理、通訊合規性、電子檔探索、數據生命週期和記錄管理。
  • Microsoft Intune 管理及保護 Windows、Android、macOS、iOS 和 Linux作系統的雲端連線端點。
  • Microsoft Copilot 安全性會利用由 AI 支援的世代協助,大規模且以 AI 的速度保護和響應威脅。
  • Microsoft PurviewAzure Arc 可協助您管理、保護及管理內部部署、Azure 和多重雲端環境中的數據資產。 此外,還可將數據控管順暢地延伸至Microsoft 365 SaaS。
  • Azure 備份Azure Site RecoveryAzure 營運持續性中心 提供特定解決方案,以針對已部署的 Azure 資源提供商務持續性和復原。 Microsoft 365 備份 是非結構化數據的備份。

健全管理ICT第三方風險的重要原則

財務實體應在其ICT風險管理架構中管理ICT第三方風險、採用支援重要或重要功能的ICT服務使用策略和原則,以及向ICT第三方服務提供者維護所有合約安排的相關信息緩存器。

  • 在輸入合約之前進行初步評估:財務實體應評估與重要ICT第三方服務提供者進行合約的風險。
  • 金鑰合約條款:財務實體應確保合約安排包括函式和服務的描述、數據處理和儲存體的位置、支援重要服務佈建之關鍵轉包商的管理和監督、數據保護和安全性措施、服務等級描述和效能目標、終止許可權和結束策略、 以及財務實體和主管機關的存取、檢查和稽核許可權。

Microsoft作為產業的 ICT 第三方服務提供者,支援客戶解決這些需求。

Microsoft如何協助第三方風險管理

Microsoft提供符合 ESA 指引的大量合約承諾,並符合 DORA 下條款的一致性,包括第 30 條。 您與我們的合約合約可能包括我們的 Enterprise 合約、 Microsoft產品和服務數據保護增補 (DPA) 、我們 產品條款 的適用區段,以及針對受規範的財務實體,我們的金融服務增修條款,涵蓋 DORA 下所需的重要元素。 已進行調整,以協助客戶符合 DORA 的需求。 我們的 DORA 對應檔可透過您的Microsoft連絡人要求取得,說明我們的合約承諾如何與 DORA 一致。 我們會繼續與客戶合作,以解決其確保持續合規性的需求。

DORA 下的ICT第三方風險管理延伸到Microsoft之外,也涵蓋財務實體的觀點中的其他第三方。 我們提供的一些解決方案可協助更廣泛地解決第三方風險,包括:

Microsoft也會在服務信任入口網站上為尋求地區和國家特定指引的金融服務產業客戶提供檢查清單。

ICT - 相關事件管理、分類和報告

針對歐盟財務實體在 ICT 事件管理、分類和報告方面規定了一系列的需求,包括下列各項:

  • ICT 相關事件管理程式:財務實體必須有一個程式來偵測、管理及通知 ICT 相關事件,並根據其優先順序和嚴重性加以記錄。
  • ICT 相關事件和網路威脅的分類:財務實體必須根據諸如受影響的用戶端數目、持續時間、地理分散、數據損失、服務重要性及經濟影響等準則來分類 ICT 相關事件和網路威脅。
  • 報告主要ICT相關事件和重大網路威脅的自願性通知:財務實體必須使用標準表單和範本,向相關主管機關回報主要的ICT相關事件,並通知其客戶有關事件和風險降低措施。 財務實體也可能會以自願為基礎,向相關的主管機關通知重大網路威脅。
  • 報告內容和範本的整合:ESA 會透過聯合委員會,並在與 ENISA 和 MODERATOR 諮詢時,開發一般法規草稿並實作技術標準,以指定內容、時間限制,以及 ICT 相關事件和網路威脅的報告和通知格式。
  • 集中報告主要ICT相關事件:ESA會透過聯合委員會,並與審訊和ENISA諮詢時,準備一份聯合報告,評估透過針對財務實體的主要ICT相關事件報告建立單一 EU 中樞,進一步集中處理事件報告的可行性。

Microsoft有助於建立完整的 ICT 風險管理架構,以識別、保護、偵測、回應和從 ICT 相關的中斷中復原:

針對Microsoft的在線服務,您可以監視健康情況,並在服務內直接中斷時設定通知:

  • Microsoft 365 服務健康狀態儀錶板:您可以在 Microsoft 365 系統管理中心 的 [服務健康情況] 頁面上檢視Microsoft服務的健康情況,包括 Office 網頁版、Microsoft Teams、Exchange Online 和 Microsoft Dynamics 365。
  • Azure 服務健康狀態:Azure 提供一套體驗,讓您隨時掌握雲端資源的健康情況。 此資訊包括目前和即將發生的問題,例如影響服務的事件、計劃性維護,以及可能會影響可用性的其他變更。

數位作復原測試

DORA 引進數位作測試,應透過威脅導向的滲透測試,每年對三年對三年,在重要的ICT系統和應用程式上進行, (TLPT) 。 這個新的測試方法強化了財務實體的測試功能,促進及時復原和商務持續性。 Microsoft已經可讓客戶透過我們的滲透測試計畫來執行這項作。 深入了解 參與Microsoft雲端滲透測試規則Bug 賞金 計劃。 Microsoft會進一步努力並支持測試需求,以符合 DORA 下此測試基礎的需求,並符合確保Microsoft雲端安全性、完整性、安全性和作恢復性的原則。

Microsoft如何協助作復原測試

Microsoft會定期進行內部和第三方滲透測試,以識別提供我們 線上服務 之系統中的潛在弱點。 適用於在線服務的第三方滲透測試報告可在服務信任入口網站上下載Microsoft。

除了弱點測試之外,Microsoft至少每年 測試其在線服務的復原 能力。 Microsoft在服務信任入口網站上提供商務持續性和災害復原計劃驗證報告,描述所選取 線上服務 的 BCDR 方案驗證和維護。

Microsoft承諾在 DORA 下啟用合規性

Microsoft準備符合 DORA 下的需求,適用於 DORA,以及它為使用其雲端服務來執行重要或重要功能的財務實體提供的重要服務。 Microsoft在使用Microsoft雲端服務時,已投入大量投資來協助金融機構履行其法規義務 - 從我們提供的商務合約與關於外包的 ESA 指導方針一致,到透過 服務信任 入口網站和其他資源的雲端服務透明度和保證,到雲端服務中各式各樣的內建安全性功能。 結合我們提供的各種功能,協助客戶持續管理風險及監督雲端服務的使用,DORA 的元素是維持營運復原能力並放心使用Microsoft雲端服務的自然步驟。 我們也正與英國等管轄區中的其他監管者合作,這些監管者正在實作與 DORA 類似的措施,並準備也符合這些需求。

強化作業復原能力是一個廣泛的主題,其擴充範圍不只是確保 DORA 合規性,或解決廠商和集中風險,而且需要策略和願景來連結風險管理,以瞭解如何部署技術,並以復原能力將程式優化。 我們相信,AI 等雲端技術和創新在此方面扮演著重要的角色,因為它是協助加強防範非預期中斷、提高服務和作業整體可靠性,以及加強網路安全性的關鍵。 在下一個步驟中,請考慮檢閱Microsoft 的數位營運復原法案 (DORA) 電子書 ,其中描述您可以採取的六個步驟來建立作業復原能力。