什么是 DORA？

自 2025 年 1 月 17 日起，欧盟 (欧盟) 金融实体，一经指定，被欧洲监管机构指定为“关键”的 ICT 第三方服务提供商必须准备遵守 欧盟数字运营复原法 (条例 (欧盟) 2022/2554 - “DORA”) 。 DORA 标准化金融实体报告网络安全事件的方式，测试其数字运营复原能力，以及管理整个金融服务部门和欧盟成员国的 ICT 第三方风险。

除了对信通技术提供商的作用设定明确的期望外，DORA还向欧洲监督机构 (ESA) 提供对指定关键信通技术提供商的直接监督权。 Microsoft准备被指定为符合 DORA 适用条款的“关键 ICT 第三方服务提供商”，并将帮助受监管的金融机构满足自己的要求。

DORA 旨在通过确保公司能够抵御和适应各种威胁和中断（包括网络攻击、IT 故障和其他运营风险），提供一种统一的方法， (FSI) 实现金融服务行业的“高水平的数字运营复原能力”。 DORA 适用于广泛的 FSI 实体，包括银行、保险机构、证券交易所和交易平台。

要点

1. DORA 的目的：DORA 寻求通过确保 FSI 实体已采取有效措施管理和缓解运营风险（包括网络风险），提高 FSI 部门的复原能力和稳定性。 它旨在保护消费者、投资者和更广泛的 FSI 系统免受该行业内部重大中断或故障的潜在严重后果的影响。
2. 范围： DORA 适用于在欧盟运营的 FSI 实体及其在欧盟提供服务的 ICT 第三方提供商，无论后者从何处运营。 它还适用于由 ESA 指定的 (CTPP) 的关键第三方提供商，这些提供商委托对 EBA、EIOPA 或 ESMA 三个 EA 之一进行日常监督。
3. 关键规定：DORA 主要包括三项要求：
   1. 适用于 FSI 实体的要求，包括 ICT 风险管理、重大 ICT 事件通知和运营复原能力测试（如威胁主导的渗透测试）等领域的要求。
   2. 有关指定 ICT 第三方服务提供商与 FSI 实体之间达成的合同安排的要求
   3. 关键 ICT 第三方提供商监督框架的建立和行为规则 (CTPP 在向 FSI 实体提供服务时) 。
4. 合规性：Microsoft在提供服务时遵守适用于其的所有法律和法规，但须遵守 CTPP 适用的要求以及 DORA 要求，Microsoft预计以正常和关键 ICT 服务为 FSI 实体提供服务。 已就使用Microsoft联机服务履行其关键或重要职能作出合同安排的 FSI 实体仍应对遵守 DORA 和适用的金融服务监管要求下的所有义务负责。 Microsoft支持 FSI 实体实现其合规性义务并遵守适用的要求。
5. 云服务和提供商：DORA 旨在实现技术中立，DORA 的要求不仅适用于 FSI 实体，也适用于 ICT 服务的第三方提供商。
6. 合同承诺：DORA 要求 ICT 第三方服务提供商与 FSI 实体之间的某些合同要求。 Microsoft确保其合同条款符合 DORA 的要求（视情况而定）。 此外，Microsoft已经符合 EBA、ESMA 和 EIOPA 指南下发布的要求，而这种指导本身是 DORA 下要求的基线框架。
7. 监督：DORA 不会减轻 FSI 实体对技术提供商的监督，包括审核（如果被视为一项要求）。 Microsoft为客户提供了大量保证信息，例如第三方证明、性能数据、事件信息、年度和季度报告，可帮助评估作为技术提供商Microsoft。 MICROSOFT CLOUD 合规性计划 (CPMC) 是一种高级支持服务，可帮助解决成员可能面临的更具体和更复杂的情况。 如有必要，Microsoft在支持客户执行审核以及提供一定程度的透明度和保证以持续监督和监视其云服务方面具有丰富的经验。

DORA 旨在加强 FSI 部门的运营复原能力，并寻求加强风险管理，使公司能够抵御和适应各种威胁和中断。 Microsoft遵守适用于其提供云服务的所有法律和法规，但需遵守其作为 CTPP 适用的要求。 已就使用 ICT 第三方服务作出合同安排的 FSI 实体仍应对遵守 DORA 下的所有义务和适用的金融服务监管要求负责，Microsoft将根据需要支持这些义务。

DORA 下客户考虑的主要领域

ICT 风险管理框架

DORA (《数字运营复原法》) 建立了一个信息通信技术风险的综合管理机制，要求金融实体遵守这些风险，包括识别、保护和预防、检测、响应和恢复此类风险的范围。 金融实体必须建立信通技术风险管理的内部治理和控制框架，并持续监测信通技术风险。 这些 ICT 风险管理和监视要求延伸到使用第三方提供商提供的 ICT 服务。

此 ICT 风险管理框架的要素大致包括：

• ICT 风险管理的内部治理和控制框架：金融实体必须具有内部治理和控制框架，以确保有效和谨慎地管理 ICT 风险。
• ICT 风险管理框架组件和要求：ICT 风险管理框架必须包括保护 ICT 系统、信息资产和数据复原能力、连续性和可用性所需的策略、策略、程序、ICT 协议和工具。
• ICT 系统、协议和工具规范：金融实体必须使用和维护更新的 ICT 系统、协议和工具，这些系统、协议和工具适当、可靠、可复原，并且能够处理其活动和服务所需的数据。 它们还必须实施 ICT 安全策略、程序、协议和工具，以确保网络和数据的安全性，并防止与 ICT 相关的事件。
• 识别 ICT 风险源和依赖项：金融实体必须识别、分类和记录所有 ICT 支持的业务职能、信息资产和 ICT 资产，以及它们与 ICT 风险相关的角色和依赖关系。 它们还必须确定 ICT 风险、网络威胁和 ICT 漏洞的所有来源，并评估 ICT 中断的潜在影响。
• 检测与 ICT 相关的事件和异常：金融实体必须具有机制来及时检测异常活动、ICT 网络性能问题和与 ICT 相关的事件，并确定潜在的单一故障点。 它们还必须定义警报阈值和条件，以触发和启动与 ICT 相关的事件响应过程。
• 与 ICT 相关的事件的响应和恢复：金融实体必须制定全面的 ICT 业务连续性政策以及相关的 ICT 响应和恢复计划，以确保关键或重要职能的连续性，快速有效地解决与 ICT 相关的事件，并尽量减少损害和损失。 他们还必须定期测试、审查和更新其计划和措施，并根据需要向主管部门报告。

Microsoft如何帮助进行风险管理

Microsoft目前已在我们的服务中提供了广泛的内置 ICT 风险管理功能，包括：

• Microsoft Defender for Cloud
• Microsoft 365 服务运行状况仪表板
• Microsoft 安全功能分数
• Azure 服务运行状况
• Microsoft Purview
• Microsoft Purview 合规性管理器

CPMC 还提供对风险评估的支持，帮助成员将其控制框架和要求映射到Microsoft的实现。

Microsoft为金融实体提供了其他解决方案，以更广泛地帮助风险管理，包括：

• Microsoft Entra通过增强的保护功能提供集成的标识、访问和授权管理，并支撑Microsoft云服务。 请务必检查我们针对Microsoft Entra的详细 DORA 指南。
• Microsoft Defender跨多云、电子邮件、协作平台、标识和终结点提供集成的跨域威胁检测、保护和响应。
• Microsoft 365 Purview 提供了一组全面的数据安全性和合规性解决方案，包括数据丢失防护、信息保护、信息屏障、内部风险管理、通信合规性、电子数据展示、数据生命周期和记录管理。
• Microsoft Intune跨 Windows、Android、macOS、iOS 和 Linux作系统管理和保护云连接的终结点。
• Microsoft Copilot for Security 利用由 AI 提供支持的生成式协助，以 AI 的速度大规模保护和响应威胁。
• Microsoft Purview 和 Azure Arc 可帮助你跨本地、Azure 和多云环境治理、保护和管理数据资产。 此外，它还进一步将数据治理无缝扩展到 Microsoft 365 SaaS。
• Azure 备份、Azure Site Recovery和Azure 业务连续性中心针对部署的 Azure 资源提供业务连续性和恢复的特定解决方案。 Microsoft 365 备份是非结构化数据的备份。

对 ICT 第三方风险进行良好管理的关键原则

预计金融实体将管理信通技术第三方风险，作为其信通技术风险管理框架的一部分，采取有关使用支持关键或重要职能的信通技术服务的战略和政策，并保留与信通技术第三方服务提供商的所有合同安排的信息登记册。

• 签订合同前的初步评估：金融实体应评估与关键 ICT 第三方服务提供商签订合同的风险。
• 关键合同规定：金融实体应确保合同安排包括，除其他事项外，包括职能和服务的说明、数据处理和存储的位置、管理和监督支持提供关键服务的主要分包商、数据保护和安全措施、服务级别说明和性能目标、终止权利和退出策略， 以及金融实体和主管部门的访问、检查和审计权。

Microsoft作为该行业的 ICT 第三方服务提供商，支持客户满足这些要求。

Microsoft如何帮助第三方风险管理

Microsoft提供了大量合同承诺，这些承诺符合ESA的指导，并符合《DORA》的规定，包括第30条。 您与我们签订的合同协议，可能包括我们的企业协议、 Microsoft产品和服务数据保护附录 (DPA) 、 我们产品条款 的适用部分，以及针对受监管金融实体的金融服务修正案，涵盖了 DORA 要求的关键要素。 已做出调整，以帮助客户满足 DORA 的要求。 我们的 DORA 映射文档（应您的Microsoft联系人的要求提供）阐明了我们的合同承诺与 DORA 的一致性。 我们将继续与客户合作，以满足他们的需求，以确保持续合规。

DORA 下的 ICT 第三方风险管理超越了Microsoft，也从金融实体的角度涵盖了其他第三方。 我们提供的一些解决方案有助于更广泛地解决第三方风险，包括：

• Microsoft Defender for Cloud Apps为第三方应用和服务提供全面的可见性、控制和评估功能，缓解与外部 ICT 提供商相关的风险。 云应用发现可以发现正在使用 (影子 IT) 的第三方应用，并提供风险评估报告。
• Microsoft Purview 有助于实现Microsoft云解决方案之外的统一数据治理。 还可以在第 三方云中治理、保护和管理数据资产。
• Microsoft Purview 合规性管理器 根据 300 多个标准、准则和法规协助进行第三方风险评估和供应商合规性管理，提供见解和作，以识别Microsoft云以及混合和多云环境存在的差距并缓解风险。 它还为 其他云供应商提供评估模板。

Microsoft还会在服务信任门户中提供清单，供寻求区域和国家/地区特定指导的金融服务行业客户使用。

ICT - 相关事件管理、分类和报告

欧盟金融实体在 ICT 事件管理、分类和报告方面规定了一系列要求，其中包括：

• 与 ICT 相关的事件管理过程：财务实体必须有一个流程来检测、管理和通知与 ICT 相关的事件，并根据其优先级和严重性对其进行记录。
• 与信息通信技术相关的事件和网络威胁的分类：金融实体必须根据受影响的客户数量、持续时间、地理分布、数据丢失、服务的重要性和经济影响等标准对信息通信技术相关事件和网络威胁进行分类。
• 报告与信通技术相关的重大事件和自愿通知重大网络威胁：金融实体必须使用标准表格和模板向相关主管部门报告与信息通信技术相关的重大事件，并告知其客户有关事件和缓解措施。 金融实体还可以自愿向相关主管部门通报重大网络威胁。
• 统一报告内容和模板：ESA应通过联合委员会，并与 ENISA 和 ECB 协商，制定共同的法规草案和实施技术标准，以具体规定与 ICT 相关事件和网络威胁的报告和通知的内容、时限和格式。
• 集中报告与信通技术相关的重大事件：经济、环境评估机构应通过联合委员会，并与欧洲央行和ENISA协商，编写一份联合报告，评估通过为金融实体报告重大信通技术相关事件建立单一欧盟中心来进一步集中报告事件的可行性。

Microsoft有助于建立全面的 ICT 风险管理框架，以识别、保护、检测、响应 ICT 相关中断并从中恢复：

• Microsoft Sentinel是一种云原生 SIEM 系统，可实现对安全威胁的实时分析、检测和响应，从而促进符合事件报告要求。
• Microsoft Defender XDR有助于确定事件的优先级、管理和响应事件。
• Microsoft Purview 内部风险管理提供了一个端到端平台，通过针对用户风险行为的策略、触发器和警报来涵盖内部风险。

对于 Microsoft 的联机服务，可以监视运行状况，并在服务中直接中断时设置通知：

• Microsoft 365 服务运行状况仪表板：可以在Microsoft 365 管理中心的“服务运行状况”页上查看Microsoft服务的运行状况，包括Office web 版、Microsoft Teams、Exchange Online和Microsoft Dynamics 365。
• Azure 服务运行状况：Azure 提供了一套体验，让你随时了解云资源的运行状况。 此信息包括当前和即将发生的问题，例如影响服务的事件、计划内维护以及可能影响可用性的其他更改。

数字作复原能力测试

DORA 引入了数字作测试，应通过威胁主导的渗透测试 (TLPT) ，每年到三年一次对关键 ICT 系统和应用程序进行一次。 这种新的测试方法增强了财务实体的测试功能，从而促进及时恢复和业务连续性。 Microsoft已经使客户能够通过我们的渗透测试计划执行此作。 详细了解 Microsoft云渗透测试参与规则 和 Bug 赏金 计划。 Microsoft将进一步完成并支持测试要求，以满足 DORA 要求下此测试制度的要求，这符合确保Microsoft云的安全、完整性、安全性和作复原能力的原则。

Microsoft如何帮助进行作复原能力测试

Microsoft定期进行内部和第三方渗透测试，以确定提供联机服务的系统中的潜在漏洞。 可在服务信任门户上下载适用Microsoft Online Services 的第三方渗透测试报告。

除了漏洞测试，Microsoft至少每年 测试其联机服务的复原能力 。 Microsoft在服务信任门户上提供业务连续性和灾难恢复计划验证报告，其中描述了所选联机服务的 BCDR 计划的验证和维护。

Microsoft承诺在 DORA 下实现合规性

Microsoft准备满足 DORA 下的要求（如适用），以及它为使用其云服务执行关键或重要职能的金融实体提供的关键服务。 十多年来，Microsoft在帮助金融机构在使用Microsoft云服务时履行其监管义务方面投入了大量资金 - 从我们根据有关外包的 ESA 准则提供的商业合同，到通过 服务信任门户 和其他资源提供云服务的透明度和保证，到云服务中的大量内置安全功能。 加上我们提供的多种功能，可帮助客户持续管理风险并监督云服务的使用，DORA 的要素是保持运营复原能力并自信地使用Microsoft云服务的自然步骤。 我们还与英国等司法管辖区的其他监管机构合作，这些监管机构正在实施与 DORA 类似的措施，并准备满足这些要求。

增强运营复原能力是一个广泛的主题，它超越了简单地确保 DORA 合规性或解决供应商和集中风险，需要一个策略和愿景，将风险管理与如何部署技术和优化流程的视角联系在一起，同时考虑到复原能力。 我们相信，云技术和创新（如 AI）在这方面发挥着重要作用，因为它是帮助加强针对意外中断的保护、提高服务和作的整体可靠性以及加强网络安全的关键。 下一步，请考虑查看Microsoft的 《数字运营复原法案》 (DORA) 电子书 ，其中介绍了在构建运营复原能力时可以采取的六个步骤。