什么是 DORA？

自 2025 年 1 月 17 日起，欧盟 (EU) 金融实体以及一经欧洲监管机构指定为“关键”的 ICT 第三方服务提供商，必须做好遵守《欧盟数字运营韧性法案》（条例 (EU) 2022/2554 -“DORA”）的准备。 DORA 规范了金融实体在金融服务行业和欧盟成员国中报告网络安全事件、测试其数字运营韧性以及管理 ICT 第三方风险的方式。

除了对 ICT 提供商的角色设定明确的期望外，DORA 还赋予欧洲监管机构 (ESA) 对指定关键 ICT 提供商的直接监管权。 Microsoft 已做好被指定为符合 DORA 适用规定的“关键 ICT 第三方服务提供商”的准备，并将帮助受监管的金融机构满足它们自己的要求。

DORA 旨在通过确保公司能够抵御并适应包括网络攻击、IT 故障和其他运营风险在内的各种威胁和中断，为金融服务行业 (FSI) 实现“高水平的数字运营韧性”提供协调一致的方法。 DORA 适用于广泛的 FSI 实体，包括银行、保险机构、证券交易所和交易平台。

要点

1. DORA 的目的：DORA 旨在通过确 FSI 实体采取有效措施来管理和减轻运营风险（包括网络风险），提升 FSI 行业的韧性和稳定性。 其目的是保护消费者、投资者和更广泛的 FSI 体系免受该行业内重大中断或故障可能带来的严重后果。
2. 适用范围：DORA 适用于在欧盟运营的 FSI 实体及其在欧盟提供服务的 ICT 第三方提供商（不考虑这些运营商的运营地点）。 它还适用于由 ESA 指定的关键第三方提供商 (CTPP)，这些提供商接受三大 ESA（即 EBA、EIOPA 或 ESMA）的日常监督。
3. 关键规定：DORA 主要包括三项要求：
   1. 适用于 FSI 实体的要求，涉及领域包括 ICT 风险管理、重大 ICT 事件通知以及运营韧性测试（如威胁导向型渗透测试）。
   2. 关于指定 ICT 第三方服务提供商与 FSI 实体之间达成的合同安排的要求
   3. 为关键 ICT 第三方提供商 (CTPP) 在向 FSI 实体提供服务时制定和实施监督框架的规则。
4. 合规性：Microsoft 在提供服务时遵守所有适用的法律和法规，满足作为 CTPP 适用的要求和 Microsoft 在为 FSI 实体提供正常保障与关键 ICT 服务时应履行的 DORA 要求。 已经通过合同安排使用 Microsoft 在线服务来运行其关键或重要职能的 FSI，仍需负责遵守 DORA 中的全部责任以及适用的金融服务监管要求。 Microsoft 支持 FSI 实体履行其合规义务并遵守其适用的要求。
5. 云服务和提供商：DORA 旨在保持技术中立，DORA 中的要求不仅适用于 FSI 实体，还适用于 ICT 服务的第三方提供商。
6. 合同承诺：DORA 规定了 ICT 第三方服务提供商与 FSI 实体之间的特定合同要求。 Microsoft 确保其合同条款在适当情况下符合 DORA 的相关要求。 此外，Microsoft 已符合 EBA、ESMA 和 EIOPA 指南中提出的要求，而这些指南本身构成了 DORA 要求的基础框架。
7. 监督：DORA 未免除 FSI 实体对技术提供商的监督责任，包括在必要时进行审计。 Microsoft 向客户提供丰富的保证信息（如第三方认证、性能数据、事件信息以及年度和季度报告），帮助评估 Microsoft 作为技术提供商的能力。 Microsoft Cloud 合规性计划 (CPMC) 是一项高级支持服务，能帮助应对成员可能面临的更具体更复杂的情况。 如有需要，Microsoft 在执行审计及提供一定程度的透明度和保障以持续监督和监视其云服务方面拥有丰富的客户支持经验。

DORA 旨在增强 FSI 行业的运营韧性，强化风险管理，使公司能够抵御并适应各种威胁和中断。 Microsoft 遵守其在提供云服务时所适用的所有法律和法规，符合其作为 CTPP 所适用的相关要求。 已经通过合同安排来使用 ICT 第三方服务的 FSI，仍需负责遵守 DORA 中的全部责任以及适用的金融服务监管要求，Microsoft 将根据要求为此提供支持。

DORA 中需要客户重点关注的主要领域

ICT 风险管理框架

《数字运营韧性法案》(DORA) 建立了一个全面的 ICT 风险管理机制，金融实体需遵守该机制，包括识别、防护与预防、检测、响应和恢复相关风险。 金融实体必须建立 ICT 风险管理的内部治理和控制框架，并持续监控 ICT 风险。 这些 ICT 风险管理和监控要求同样适用于第三方提供商提供的 ICT 服务的使用。

此 ICT 风险管理框架的要素大体包括：

• ICT 风险管理的内部治理和控制框架：融实体必须建立内部治理和控制框架，确保对 ICT 风险进行有效且审慎的管理。
• ICT 风险管理框架的组成部分和要求：ICT 风险管理框架必须包括保护和确保 ICT 系统、信息资产和数据具有韧性、连续性和可用性所需的战略、政策、程序、ICT 协议和工具。
• ICT 系统、协议和工具规格：金融实体必须使用并维护适当、可靠、有韧性且能够处理其活动和服务所需数据的最新 ICT 系统、协议和工具。 同时，金融实体还需实施 ICT 安全策略、程序、协议和工具，保障网络和数据安全，防止 ICT 相关事件发生。
• 识别 ICT 风险的来源和依赖关系：金融实体必须识别、分类并记录所有由 ICT 支持的业务功能、信息资产和 ICT 资产，以及它们在 ICT 风险中的角色和依赖关系。 此外，还必须识别 ICT 风险的所有来源、网络威胁和 ICT 漏洞，并评估 ICT 中断的潜在影响。
• 检测与 ICT 相关的事件和异常：金融实体必须具备即时检测异常活动、ICT 网络性能问题及 ICT 相关事件的机制，以及识别潜在单点故障的机制。 还必须定义触发并启动与 ICT 相关的事件响应流程的警报阈值和条件。
• 响应与 ICT 相关的事件并恢复：金融实体必须制定全面的 ICT 业务连续性政策以及相关的 ICT 响应和恢复计划，旨在确保关键或重要职能的连续性，快速有效地解决 ICT 相关事件，并最大限度地减少损害和损失。 还必须定期测试、审查和更新其计划和措施，并按要求向主管部门报告。

Microsoft 如何帮助进行风险管理

Microsoft 目前在我们的服务中提供了一套广泛的内置 ICT 风险管理功能，包括：

• Microsoft Defender for Cloud
• Microsoft 365 服务运行状况仪表板
• Microsoft 安全功能分数
• Azure 服务运行状况
• Microsoft Purview
• Microsoft Purview 合规性管理器

CPMC 还提供风险评估支持，帮助成员将其控制框架和要求映射到 Microsoft 的实施方案中。

Microsoft 还为金融实体提供其他解决方案，以更全面地支持风险管理，包括：

• Microsoft Enta 提供具有增强保护功能的集成身份、访问和授权管理，并为 Microsoft Cloud 服务提供支持。 请务必查看我们针对 Microsoft Entra 的详细 DORA 指南。
• Microsoft Defender 在多云、电子邮件、协作平台、身份和终结点之间提供集成的跨域威胁检测、保护和响应。
• Microsoft 365 Purview 提供一套全面的数据安全与合规解决方案，包括数据丢失防护、信息保护、信息屏障、内部风险管理、通信合规、电子数据展示、数据生命周期和记录管理。
• Microsoft Intune 跨 Windows、Android、macOS、iOS 和 Linux 操作系统管理并保护云连接的终结点。
• Microsoft Copilot for Securiy 利用生成式 AI 支持的辅助，以 AI 的速度大规模保护和应对威胁。
• Microsoft Purview 和 Azure Arc 帮助你跨本地、Azure 及多云环境治理、保护和管理数据资产。 此外，它还进一步将数据治理无缝扩展到 Microsoft 365 服务型软件。
• Azure 备份、Azure Site Recovery 和 Azure 业务连续性中心为部署的 Azure 资源提供业务连续性和恢复的专用解决方案。 Microsoft 365 备份是非结构化数据的备份。

ICT 第三方风险有效管理的关键原则

金融实体应将 ICT 第三方风险管理纳入其 ICT 风险管理框架进行管理，采用为关键或重要职能提供支持的 ICT 服务的使用策略和政策，并维护与 ICT 第三方服务提供商的所有合同安排的信息登记册。

• 签订合同前的初步评估：金融实体应评估与关键 ICT 第三方服务提供商签订合同的风险。
• 关键合同条款：金融实体应确保合同安排包括但不限于职能和服务的描述、数据处理和存储的位置、支持关键服务供应的关键分包商的管理和监督、数据保护和安全措施、服务水平描述和绩效目标、终止权利和退出策略，以及金融实体和主管部门的访问、检查和审计权利。

作为该行业的 ICT 第三方服务提供商，Microsoft 支持客户满足这些要求。

Microsoft 如何帮助进行第三方风险管理

Microsoft 提供了大量与 ESA 指导一致且符合 DORA 条款（包括第 30 条）的合同承诺。 你与我们签订的合同协议可能包括《企业协议》、《Microsoft 产品和服务数据保护附加条款 (DPA)》、《产品条款》的适用部分，以及《金融服务修正案》（针对受监管金融实体），涵盖了 DORA 要求的关键要素。 我们已做出调整，帮助客户满足 DORA 的要求。 我们的 DORA 映射文档可在你的 Microsoft 联系人发出请求时提供，该文档阐明了我们的合同承诺如何与 DORA 保持一致。 我们将继续与客户合作，满足他们的需求，以确保持续合规。

DORA 中的 ICT 第三方风险管理不仅限于 Microsoft，还从金融实体的角度涵盖了其他第三方。 我们提供的几种解决方案有助于更广泛地应对第三方风险，包括：

• Microsoft Defender for Cloud Apps 提供针对第三方应用和服务的全面的可见性、控制和评估功能，缓解与外部 ICT 提供商相关的风险。 云应用发现可以发现正在使用的第三方应用（影子 IT），并提供风险评估报告。
• Microsoft Purview 有助于实现 Microsoft 云解决方案之外的统一数据治理。 你还可以治理、保护和管理第三方云中的数据资产。
• Microsoft Purview 合规性管理器依照 300 多项标准、准则和法规，协助进行第三方风险评估和供应商合规管理，提供见解和措施，帮助识别差距并降低 Microsoft 云及混合环境和多云环境的风险。 它还提供了适用于其他云供应商的评估模板。

Microsoft 还在服务信任门户上为寻求特定地区和国家指导的金融服务行业客户提供了清单。

ICT - 相关事件管理、分类和报告

欧盟金融实体在 ICT 事件管理、分类和报告方面必须满足一系列要求，包括：

• ICT 相关事件管理流程：金融实体必须具备检测、管理和通知 ICT 相关事件，并根据其优先级和严重性进行记录的流程。
• ICT 相关事件和网络威胁分类：金融实体必须根据受影响客户数量、持续时间、地理范围、数据丢失、服务关键性和经济影响等标准，对 ICT 相关事件和网络威胁进行分类。
• 报告重大 ICT 相关事件和自愿通知重大网络威胁：金融实体必须使用标准表格和模板向相关主管部门报告重大 ICT 相关事件，并向客户告知相关事件和缓解措施。 金融实体也可自愿向相关主管部门通报重大网络威胁。
• 统一报告内容和模板：ESA 应通过联合委员会，并与 ENISA 和 ECB 协商，制定共同监管草案和实施技术标准，明确 ICT 相关事件和网络威胁报告与通报的内容、时限和格式。
• 集中报告重大 ICT 相关事件：ESA 应通过联合委员会，并与 ECB 和 ENISA 协商，编制联合报告，评估通过建立供金融实体报告重大 ICT 相关事件的单一欧盟中心来进一步集中报告事件的可行性。

Microsoft 可以帮助建立全面的 ICT 风险管理框架，以识别、保护、检测和响应 ICT 相关中断并从该中断恢复：

• Microsoft Sentinel 是一种云原生 SIEM 系统，可实现对安全威胁的实时分析、检测和响应，有助于遵守事件报告要求。
• Microsoft Defender XDR 可帮助优先处理、管理和响应事件。
• Microsoft Purview 内部风险管理提供端到端平台，通过策略、触发器和用户风险行为警报来覆盖内部风险行为。

对于 Microsoft 的在线服务，你可以直接在服务内部监视运行状况并设置中断通知：

• Microsoft 365 服务运行状况仪表板：可以在 Microsoft 365 管理中心的“服务运行状况”页面上查看 Microsoft 服务的运行状况，这些服务包括 Office 网页版、Microsoft Teams、Exchange Online 和 Microsoft Dynamics 365。
• Azure 服务运行状况：Azure 提供了一套体验，帮助你随时了解云资源的运行状况。 这些信息包括当前和即将发生的问题，例如影响服务的事件、计划内维护及可能影响可用性的其他变更。

数字运营韧性测试

DORA 引入了数字运营测试，应通过威胁主导型渗透测试 (TLPT) 每 1 至 3 年对关键 ICT 系统和应用程序执行该测试。 这种新测试方法可增强金融实体的测试能力，有助于及时恢复和业务连续性。 Microsoft 已通过我们的渗透测试计划支持客户执行此类测试。 详细了解 Microsoft Cloud 渗透测试参与规则和我们的漏洞赏金计划。 Microsoft 将进一步达到和支持测试要求，以满足 DORA 中规定的测试制度要求，从而符合确保 Microsoft Cloud 的安全性、完整性、保密性和运营韧性的准则。

Microsoft 如何帮助进行运营韧性测试

Microsoft 会定期进行内部和第三方渗透测试，在提供在线服务的系统中找出潜在漏洞。 适用 Microsoft 在线服务的第三方渗透测试报告可在服务信任门户下载。

除了漏洞测试，Microsoft 至还少每年测试一次其在线服务的韧性。 Microsoft 在服务信任门户提供业务连续性和灾难恢复计划验证报告，该报告描述所选在线服务的 BCDR 计划的验证和维护情况。

Microsoft 致力于支持 DORA 合规

Microsoft 正在做好准备，以满足其自身及其为使用云服务执行关键或重要职能的金融实体提供的关键服务所适用的 DORA 要求。 十多年来，Microsoft 投入了大量资金来帮助金融机构在使用 Microsoft 云服务时履行其监管义务 - 从我们提供的符合 ESA 外包指南的商业合同，到通过服务信任门户和其他资源提供的云服务的透明度和保证，再到我们云服务中内置的无数安全功能。 结合我们提供的帮助客户持续管理风险和监督云服务使用情况的多种功能，DORA 的各项要素是维护运营韧性和安心使用 Microsoft 云服务的自然进阶。 我们还与英国等司法管辖区的其他监管机构合作，这些地区正在实施类似 DORA 的措施，并且也正在准备以满足这些要求。

增强运营韧性是一个广泛议题，它不仅仅是确保 DORA 合规或解决供应商风险和集中风险，还需要以提高韧性为目标，将风险管理与技术部署及流程优化相结合的策略和愿景。 我们相信，诸如 AI 等云技术和创新在这方面发挥着重要作用，因为它们是帮助加强防范意外中断、提升服务和运营整体可靠性及强化网络安全的关键。 下一步，请考虑查看 Microsoft 的《数字运营韧性法案》(DORA) 电子书，其中介绍了构建运营韧性的六个步骤。