什么是《数字运行复原力法案》(DORA)?
概述
数字运营弹性法案》(DORA)是欧盟的一项综合性法规,旨在加强金融行业的数字运营弹性。DORA 于 2023 年 1 月颁布,为金融机构管理信息和通信技术 (ICT) 风险、事故报告和第三方服务提供商关系建立了统一框架。这项具有里程碑意义的立法代表了欧盟对金融服务日益数字化以及对强大网络安全措施需求的回应。
了解 CMDB、IT 服务管理 (ITSM) 和可观察性解决方案如何促进 DORA 合规性。
数字业务复原力法
了解 DORA 的范围和应用
DORA 适用于在欧盟境内运营的各种金融实体。银行和信贷机构(包括传统机构和数字机构)是受监管实体的核心。但 DORA 的适用范围非常广泛,不仅包括传统的银行和信贷机构,还包括:
- 支付机构,包括根据指令 (EU) 2015/2366 豁免的支付机构
- 账户信息服务提供商
- 电子货币机构,包括根据第 2009/110/EC 号指令获得豁免的电子货币机构
- 投资公司
- 根据欧洲议会和理事会关于加密资产市场的条例,以及对第 1093/2010 号条例(欧盟)和第 1095/2010 号条例(欧盟)和第 2013/36/EU 号指令和第 2019/1937 号指令("关于加密资产市场的条例")的修订而授权的加密资产服务提供商,以及资产参考代币的发行商
- 中央证券存管机构
- 中央对手方
- 交易场所
- 贸易资料库
- 另类投资基金经理
- 管理公司
- 数据报告服务提供商
- 保险和再保险业务
- 保险中介机构、再保险中介机构和辅助保险中介机构
- 职业退休制度
- 信用评级机构
- 关键基准的管理者
- 众筹服务提供商
- 证券化存储库
- 信息和通信技术第三方服务提供商
遵守 DORA 的核心内容是什么?
信息和通信技术风险管理
金融实体必须实施全面的信息和通信技术风险管理框架,其中包括多层次的安全和监督。这些框架要求有专门针对数字复原力的详细战略和政策,包括预防和应对网络威胁的具体措施。各组织必须定期进行风险评估,以确定其数字基础设施当前和新出现的漏洞。
安全措施必须包括管理用户权限和维护数据完整性的复杂访问控制,以及保护敏感财务信息的最先进加密协议。该框架要求持续监控系统能够实时洞察潜在的安全威胁和系统性能。必须建立明确的治理结构,指定具体的角色和责任,以确保风险管理程序的问责制。
事件管理和报告
DORA 规定了复杂的事件管理和报告程序,超越了基本的网络安全协议。各组织必须开发和维护强大的检测系统,能够识别明显和微妙的信息和通信技术相关事件。这一要求包括实施多层分类系统,根据预定义的标准和对金融业务的潜在影响准确评估事件的严重性。
必须保存详细的事件日志,全面记录应对程序、解决步骤和结果分析。重大事故需要通过既定渠道及时向有关当局报告,并规定初始通知和后续报告的具体时限。组织必须制定并定期更新针对不同利益相关者群体的沟通计划,包括客户、合作伙伴、监管机构以及必要时的媒体。
数字运行复原力测试
DORA 要求通过多种方法对数字复原力进行系统测试。必须使用先进的测试工具和方法定期进行漏洞评估,以确定信息和通信技术系统的潜在弱点。独立方必须进行渗透测试,以确保对安全措施进行公正的评估,并确定潜在的违规点。基于情景的测试应模拟真实世界的网络威胁和业务中断,以评估应对能力和系统复原力。
必须对安全措施进行定期验证,以确保其持续有效地应对不断变化的威胁。所有测试活动都需要详细的文档记录,包括使用的方法、发现的问题和采取的补救措施。
第三方风险管理
DORA 强调通过结构化监督和文件记录全面管理与信息和通信技术服务供应商的关系。各组织必须对第三方供应商进行彻底的风险评估,评价其技术能力、安全措施和业务连续性计划。服务协议需要定期审查,以确保符合当前的监管要求和业务需求。
各组织必须保留一份详细的提供商登记册,记录所有关键和非关键服务安排,包括所提供的具体服务、数据访问级别和安全措施。必须向监管机构报告关键服务安排,并在发生重大变化时提供更新。合同义务必须明确涉及合规要求,包括安全措施、事件报告和审计权。
OpenText IT 运营解决方案如何帮助遵守 DORA?
OpenText IT 运营解决方案通过满足关键监管要求的技术平台,帮助金融机构实现并维护 DORA 合规性。
OpenText™ Universal Discovery and CMDB通过提供对企业 ICT 基础设施的深度可视性,成为 DORA 合规性的基础要素。该解决方案具有无代理和基于代理的发现功能,可创建 IT 环境的全面视图,包括通过安全 VPN 或间歇性互联网连接的设备。它对多云环境执行基于事件的更新,确保金融机构对其内部和云中的整个基础设施保持准确、实时的了解。它的服务映射功能使企业能够在实施前预测变化可能对关键金融服务产生的影响,从而直接满足 DORA 的风险管理和运营弹性要求。
OpenText™ Service Management该解决方案整合了基本的 ITSM 和 IT 资产管理功能,以建立服务、应用程序和支持 ICT 设备的明确所有权和管理。该解决方案包括经 ITIL 认证的最佳实践模板,涵盖事件、问题、变更、发布和配置管理--所有这些都是 DORA 合规性的关键要素。这些模板可帮助企业建立自动响应链,最大限度地减少服务中断,确保一致地处理 ICT 相关事件,满足 DORA 对事件管理和报告的要求。
OpenText™ Core Infrastructure Observability通过提供多云和内部部署资源的端到端可视性,满足 DORA 的监控要求。人工智能驱动的异常检测功能使金融机构能够在潜在问题影响服务交付之前将其识别出来。各机构还可以建立机制,快速检测异常活动(包括网络性能问题和信息与通信技术相关事件),并识别可能影响运营恢复能力的潜在单点故障。
OpenText™ Core Application Observability通过重点关注应用程序性能和服务交付,对基础设施监控进行了补充。该解决方案可帮助企业确保关键金融服务应用程序保持最佳性能和可用性。它能够对事件进行全面的根本原因分析和记录,支持 DORA 对事件处理和解决的要求。综合监控和跟进功能可确保企业在满足监管报告要求的同时,保持服务质量的一致性。
DORA 准备就绪:行动起来
DORA 代表着金融机构在数字运营和风险管理方面的重大转变。成功合规 DORA 需要一个综合战略,将强大的技术解决方案、清晰的流程和对数字复原力的持续承诺结合起来。各机构必须在 2025 年 1 月截止日期之前尽早开始合规之旅,以确保满足所有要求并保持数字时代必要的运营弹性。利用OpenText的 IT 运营解决方案,金融机构可以为 DORA 合规性奠定坚实的基础,同时提高整体 IT 运营效率和安全态势。
