Digital Operational Resilience Act (DORA) 合規報告
這Digital Operational Resilience Act (DORA)是歐盟頒布的一項法規,旨在增強金融部門的數位營運彈性。
Digital Operational Resilience Act (DORA) 目標
主要目標DORA 是為了確保金融實體和ICT (資訊和通訊技術)第三方服務提供者可以承受、回應和恢復所有類型的ICT相關的干擾和威脅。
合規要求
組織必須遵守實施的國家法律DORA 截至 2025 年 1 月 17 日。
欲了解更多信息Digital Operational Resilience Act (DORA),請造訪法規 - 2022/2554 - EN -DORA - 歐元-Lex
有關保護 Web 應用程式安全的更多信息,請訪問HCLAppScan :進階應用程式安全測試
法規的章節
| ID | 名稱 |
|---|---|
| 第 7 條 a 節 | 為了解決和管理ICT 風險,金融實體應使用並保持更新ICT 根據第 4 條所述的比例原則,適合支援其活動所進行的業務規模的系統、協議和工具。 |
| 第九條第一節 | 為了充分保護ICT 系統,並為了組織應對措施,金融實體應持續監控和控制系統的安全和運作ICT 系統和工具,並應盡量減少影響ICT 風險ICT 透過部署適當的系統ICT 安全工具、政策和程序。 |
| 第九條第二款 | 金融實體應設計、採購和實施ICT 旨在確保彈性、連續性和可用性的安全政策、程序、協議和工具ICT 系統,特別是那些支援關鍵或重要功能的系統,並保持資料的可用性、真實性、完整性和機密性的高標準,無論是靜態的、使用中的還是傳輸中的。 |
| 第 9 條第 3.a 節 | 為了實現第 2 款所述的目標,金融實體應使用ICT 根據第 4 條採取適當的解決方案和流程。那些ICT 解決方案和流程應確保資料傳輸方式的安全。 |
| 第 9 條第 3.b 節 | 為了實現第 2 款所述的目標,金融實體應使用ICT 根據第 4 條採取適當的解決方案和流程。那些ICT 解決方案和流程應最大限度地減少可能阻礙業務活動的資料損壞或遺失、未經授權的存取和技術缺陷的風險。 |
| 第 9 條第 3.c 節 | 為了實現第 2 款所述的目標,金融實體應使用ICT 根據第 4 條採取適當的解決方案和流程。那些ICT 解決方案和流程應防止可用性不足、真實性和完整性受損、機密性外洩和資料遺失。 |
| 第 9 條第 4.c 節 | 作為ICT 第 6 條第(1)款提到的風險管理框架,金融實體應實施限制資訊資產的實體或邏輯存取的政策,ICT 資產僅用於合法和經批准的職能和活動所需的資源,並為此制定一套政策、程序和控制措施,以解決存取權問題並確保對其進行健全的管理。 |
| 第 9 條第 4.d 節 | 作為ICT 第 6 條第(1)款提到的風險管理框架,金融實體應根據相關標準和專用控制系統實施強認證機制的政策和協議,以及根據批准的資料分類結果對資料進行加密的金鑰保護措施和ICT 風險評估流程。 |
| 第 9 條第 4.f 節 | 作為ICT 根據第 6 條第(1)款所述的風險管理框架,金融實體應制定適當且全面的修補程式和更新文件化政策。 |