Freigeben über


Australian Prudential Regulation Authority (APRA)

Übersicht über APRA

Die Australian Prudential Regulation Authority (APRA) beaufsichtigt Banken, Kreditgenossenschaften, Versicherungsunternehmen und andere Finanzdienstleistungsinstitute in Australien. Angesichts der Dynamik in Richtung Cloud Computing hat APRA regulierte Entitäten aufgefordert, eine durchdachte Cloudeinführungsstrategie mit effektiver Governance, gründlicher Risikobewertung und regelmäßigen Zuverlässigkeitsprozessen zu implementieren. Regulierte Institute müssen den APRA Prudential Standard CPS 231 Outsourcing einhalten, wenn sie eine wesentliche Geschäftstätigkeit auslagern – jede Aktivität, die das Potenzial hat, wenn sie unterbrochen wird, einen erheblichen Einfluss auf die Geschäftstätigkeit des Finanzinstituts oder die Fähigkeit, seine Risiken effektiv zu verwalten. Basierend auf der Überprüfung von Outsourcing-Vereinbarungen mit Cloud Computing-Diensten, die an APRA übermittelt wurden, veröffentlichte APRA spezifische, detaillierte Anleitungen in ihrem Informationspapier Outsourcing mit Cloud Computing-Diensten , um regulierten Unternehmen dabei zu helfen, Cloudanbieter und -dienste effektiver zu bewerten und sie durch die regulatorischen Fragen der Auslagerung in die Cloud zu führen. Bei der Auslagerung, einschließlich an einen Clouddienst, müssen regulierte Institute auch ihre fortlaufende Einhaltung des APRA Prudential Standard CPS 234 Information Security überprüfen und berücksichtigen.

Microsoft und APRA

Für Finanzinstitute in Australien, die Cloudanbieter und deren Dienste bewerten, hat Microsoft Folgendes veröffentlicht:

Zusammen zeigen sie, wie Finanzunternehmen Daten und Workloads in Microsoft Azure verschieben können, mit der Gewissheit, dass sie die Vorschriften und Richtlinien der australischen Aufsichtsaufsichtsbehörde (Australian Prudential Regulation Authority, APRA) einhalten.

Informationen zu den Vorteilen von APRA-konformen Finanzdienstleistungen in Azure finden Sie im Artikel Regtech meets FinTech: Unbefristet und Microsoft transformieren den Finanzsektor .

Antwort von Microsoft auf das APRA-Informationspapier zur Cloud

Dieses Microsoft-Dokument enthält detaillierte Anleitungen für Finanzdienstleistungen mit einer detaillierten Antwort auf jedes Problem, das im APRA Information Paper Outsourcing mit Cloud Computing-Diensten angesprochen wird. Die APRA-Richtlinien identifizieren drei Risikokategorien, in die die Cloudnutzung in der Regel fällt – niedriges, erhöhtes und extremes inhärentes Risiko – und heben wichtige Aspekte hervor, die regulierte Entitäten bei ihrer Risikobewertung berücksichtigen müssen.

Die Antwort von Microsoft konzentriert sich auf die beiden höchsten Risikokategorien. Obwohl Clouddienste von keiner Risikokategorie verboten sind, erwartet APRA, dass Sie ein entsprechend höheres Maß an Sorgfalt walten lassen, und Sie sollten mit einer zunehmenden APRA-Prüfung rechnen, wenn Sie die Risikokategorien nach oben verschieben. APRA listet eine Reihe von Faktoren auf, die in der Regel auf ein hohes oder extremes inhärentes Risiko für cloudbasiertes Outsourcing hinweisen. Microsoft befasst sich eingehend mit diesen Faktoren und stellt Informationen und Tools bereit, die Ihnen helfen, das Risiko der Verlagerung Ihrer Daten und Workloads in Azure zu bewerten und zu verwalten.

Microsoft behandelt auch alle Aspekte des APRA-Risikomanagements: Strategie, Governance, Lösungsauswahlprozess, APRA-Zugriff und Handlungsfähigkeit, Übergangsansatz, Risikobewertungen und Sicherheit, laufende Aufsicht, Geschäftsunterbrechungen sowie Audit und Zuverlässigkeit. Punkt für Punkt bieten wir Ratschläge und Tools, mit denen Sie bei der Bereitstellung von Azure auf jedes Problem reagieren können.

Erhalten Sie praktische Unterstützung für das Verschieben von Daten und Workloads in Azure in Übereinstimmung mit den APRA-Vorschriften: Laden Sie die Microsoft-Antwort auf das APRA-Informationspapier zur Cloud herunter.

Microsoft-Antwort auf APRA CPS 234 on Information Security

APRA Prudential Standard CPS 234 Information Security verlangt von regulierten Instituten Folgendes:

  • klare Definition der Rollen und Zuständigkeiten im Zusammenhang mit der Informationssicherheit;
  • Aufrechterhaltung einer Informationssicherheitsfunktion, die der Größe und dem Ausmaß der Bedrohungen für ihre Informationsressourcen entspricht;
  • Durchführung von Kontrollen zum Schutz von Informationsressourcen und regelmäßige Tests und Gewährleistung der Wirksamkeit der Kontrollen; Und
  • Benachrichtigen Sie APRA unverzüglich über wesentliche Vorfälle zur Informationssicherheit.

CPS 234 spiegelt das kerne Microsoft-Sicherheitsframework genau wieder: Schützen, Erkennen und Reagieren.

Microsoft-Clouddienste: Compliance mit APRA Prudential Standard CPS 234 Information Security legt jede der relevanten gesetzlichen CPS 234-Verpflichtungen fest und ordnet ihr die Kontrollen, Funktionen, Funktionen, Vertragsverpflichtungen und unterstützenden Informationen von Microsoft cloud service zu, damit Ihr von APRA reguliertes Unternehmen seine gesetzlichen Verpflichtungen gemäß CPS 234 erfüllt.

Diese Microsoft-Checkliste enthält gesetzliche APRA-Anforderungen, die Finanzunternehmen beim Umstieg in die Cloud erfüllen müssen. Es ordnet Azure nicht nur dem Prudential Standard CPS 231 Outsourcing zu, sondern auch anderen relevanten APRA-Standards, z. B. für Geschäftskontinuität und Risikomanagement. Das Ausfüllen dieser Checkliste hilft Ihren Finanzinstituten bei der Einführung von Azure mit der Gewissheit, dass es die relevanten APRA-Anforderungen erfüllt.

Indem wir uns auf unseren umfassenden Ansatz zur Risikosicherheit in der Cloud verlassen, sind wir zuversichtlich, dass australische Finanzdienstleistungsunternehmen auf eine Weise zu Microsoft-Clouddiensten wechseln können, die nicht nur mit den APRA-Richtlinien in Einklang steht, sondern Kunden ein komplexeres Sicherheitsrisikomanagementprofil als lokale oder andere gehostete Lösungen bieten können.

Erhalten Sie praktische Unterstützung für das Verschieben von Daten und Workloads in Azure in Übereinstimmung mit den APRA-Vorschriften: Herunterladen von Microsoft-Clouddiensten: eine Compliance-Checkliste für Finanzinstitute in Australien.

Zu Microsoft gehörende Cloudplattformen und -dienste

Office 365 und APRA

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Exchange Online Protection, Exchange Online, Office 365-Kundenportal, Office Online, Office Services-Infrastruktur, OneDrive for Business, SharePoint Online, Skype for Business

Häufig gestellte Fragen

Benötigen Finanzinstitute eine APRA-Genehmigung, bevor sie wesentliche Geschäftsaktivitäten auslagern?

Nein Die meisten regulierten Finanzorganisationen müssen jedoch APRA benachrichtigen, nachdem sie Vereinbarungen getroffen haben, um wesentliche Geschäftsaktivitäten innerhalb Australiens auszulagern oder sich mit APRA beraten zu lassen, bevor sie diese Aktivitäten außerhalb Australiens auslagern.

Wenn die Clouddienste darüber hinaus als "erhöhtes oder extremes inhärentes Risiko" wie im APRA-Informationspapier zu Clouds beschrieben gelten, wird das Finanzinstitut ermutigt (aber nicht erforderlich), sich mit APRA zu beraten, unabhängig davon, ob der Dienst innerhalb oder außerhalb Australiens bereitgestellt wird.

Sind Datenübertragungen außerhalb Australiens zulässig?

Ja. Allgemeine Datenschutzbestimmungen (die für alle Sektoren gelten, nicht nur für Finanzinstitute) erlauben Unter bestimmten Bedingungen Übertragungen außerhalb Australiens. Microsoft stimmt den Vertragsbedingungen im Einklang mit den australischen Datenschutzprinzipien zu, sodass Datenübertragungen von Daten außerhalb Australiens zulässig sind, wenn Sie Microsoft-Clouddienste verwenden. Viele unserer australischen Finanzdienstleistungskunden nutzen jedoch die Von unseren australischen Rechenzentren verfügbaren Clouddienste, für die wir bestimmte vertragliche Verpflichtungen zum Speichern von Kategorien ruhender Daten in der australischen Geografie eingehen. Diese Verpflichtungen werden weiter in der Compliance-Checkliste beschrieben.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen