Digital Operational Resilience Act (DORA) 合规报告
这Digital Operational Resilience Act (DORA)是欧盟为加强金融部门数字化运营弹性而制定的一项法规。
Digital Operational Resilience Act (DORA) 目标
主要目标是DORA 是为了确保金融实体和ICT (信息和通信技术)第三方服务提供商能够承受、响应和恢复所有类型的ICT相关的破坏和威胁。
合规要求
组织必须遵守实施DORA 截至 2025 年 1 月 17 日。
如需更多信息Digital Operational Resilience Act (DORA),请访问法规 - 2022/2554 - EN -DORA - EUR-Lex
有关保护 Web 应用程序的更多信息,请访问HCLAppScan :高级应用安全测试
法规部分
| ID | 名称 |
|---|---|
| 第七条,第a节 | 为了解决和管理ICT 风险,金融实体应当使用并维护更新ICT 按照第四条所提及的比例原则,制定与支持其开展活动的行动规模相适应的系统、规程和工具。 |
| 第九条第一款 | 为了充分保护ICT 为组织应对措施,金融实体应持续监测和控制系统安全和运行情况。ICT 系统和工具,并应尽量减少ICT 风险ICT 通过部署适当的ICT 安全工具、政策和程序。 |
| 第九条第二款 | 金融机构应设计、采购和实施ICT 旨在确保系统的弹性、连续性和可用性的安全政策、程序、协议和工具ICT 系统,特别是支持关键或重要功能的系统,并保持数据的高可用性、真实性、完整性和机密性标准,无论是静止的、使用中的还是传输中的。 |
| 第九条第 3.a 款 | 为实现第 2 款所述目标,金融实体应使用ICT 按照第四条适当的解决方案和流程。那些ICT 解决方案和流程应确保数据传输方式的安全。 |
| 第九条第 3.b 款 | 为实现第 2 款所述目标,金融实体应使用ICT 按照第四条适当的解决方案和流程。那些ICT 解决方案和流程应最大限度地降低可能妨碍业务活动的数据损坏或丢失、未经授权的访问和技术缺陷的风险。 |
| 第九条第 3.c 款 | 为实现第 2 款所述目标,金融实体应使用ICT 按照第四条适当的解决方案和流程。那些ICT 解决方案和流程应防止可用性不足、真实性和完整性受损、保密性泄露和数据丢失。 |
| 第九条,第 4.c 节 | 作为ICT 第六条第(1)款所述的风险管理框架,金融实体应实施限制对信息资产的物理或逻辑访问的政策,并ICT 资产仅用于合法和经批准的功能和活动,并为此建立一套解决访问权限和确保健全管理的政策、程序和控制措施。 |
| 第九条,第四节d | 作为ICT 第六条第(1)款规定的风险管理框架,金融实体应根据相关标准和专用控制系统实施强身份验证机制的政策和协议,以及根据批准的数据分类结果对数据进行加密的密钥保护措施,并ICT 风险评估流程。 |
| 第九条,第 4.f 节 | 作为ICT 第六条第(1)款所述的风险管理框架,金融实体应制定适当、全面的文件化修补和更新政策。 |