DORA requirements in BCMLogic
CHAPTER II
ICT RISK MANAGEMENT
Article 5
Governance and organisation
Regulation:
Ust. 2. The management body of the financial entity shall define, approve, oversee and be responsible for the implementation of all arrangements related to the ICT risk management framework referred to in Article 6(1).
BCMLogic:
In addition to technological means, to supervise and control such an advanced process, a system solution is necessary to collect information, perform analyzes and management reports, and enable control activities. The tool should offer support for all aspects required by the regulation.
For example: risk assessment based on objectively assessed impacts of ICT incidents and resilience tests.
Conclusion of a contract consists of steps such as: initial classification of the service provider, verification of the completeness of key contractual arrangements, assessment of concentration risk, assessment of other risks related to the contract.
Resilience tests should be planned, their results recorded and assessed in terms of the impact of the tested scenario on ICT risk.
ICT service providers should be audited regularly, in accordance with the adopted schedule and on an ad hoc basis, and the course and results of these activities should be recorded in the register.
The BCMLogic platform is a system supporting the implementation of activities resulting from security and risk management processes. It includes modules enabling the management of: Risk (including ICT), Suppliers and contracts, Business Continuity
Regulation:
Financial entities, other than microenterprises, shall establish a role in order to monitor the arrangements concluded with ICT third-party service providers on the use of ICT services, or shall designate a member of senior management as responsible for overseeing the related risk exposure and relevant documentation.
BCMLogic:
The contract register combined with the Risk and Audit modules enables regular risk assessment and monitoring of contractual arrangements with external ICT service providers.
Article 6
ICT risk management framework
Regulation:
Ust. 1. Financial entities shall have a sound, comprehensive and well-documented ICT risk management framework as part of their overall risk management system, which enables them to address ICT risk quickly, efficiently and comprehensively and to ensure a high level of digital operational resilience.
Ust. 4. Financial entities, other than microenterprises, shall assign the responsibility for managing and overseeing ICT risk to a control function and ensure an appropriate level of independence of such control function in order to avoid conflicts of interest. Financial entities shall ensure appropriate segregation and independence of ICT risk management functions, control functions, and internal audit functions, according to the three lines of defence model, or an internal risk management and control model.
BCMLogic:
BCMLogic allows you to build an efficient and safe information security management system, allowing for sharing information between individual areas of responsibility.
Regulation:
Ust. 6. The ICT risk management framework of financial entities, other than microenterprises, shall be subject to internal audit by auditors on a regular basis in line with the financial entities’ audit plan. Those auditors shall possess sufficient knowledge, skills and expertise in ICT risk, as well as appropriate independence. The frequency and focus of ICT audits shall be commensurate to the ICT risk of the financial entity.
BCMLogic:
The Audit Management Module allows you to plan an audit across the entire organization and in a selected period. The audit is supported by self-assessment surveys, sent and completed by people responsible for the areas examined. The module allows you to use standard action lists with the option of customizing them. The auditor records the audit process, collects observations, and generates a draft version with a proposal for corrective actions.
Regulation:
Ust. 7. Based on the conclusions from the internal audit review, financial entities shall establish a formal follow-up process, including rules for the timely verification and remediation of critical ICT audit findings.
BCMLogic:
The agreed recommendations/substitute actions are entered into the system and are monitored for their implementation. Their implementation follows the agreed control flow, supported by notifications and reminders. Analytical and synthetic reporting via the reporting module.
Regulation:
Ust. 8. The ICT risk management framework shall include a digital operational resilience strategy setting out how the framework shall be implemented. To that end, the digital operational resilience strategy shall include methods to address ICT risk and attain specific ICT objectives, by:
(a) explaining how the ICT risk management framework supports the financial entity’s business strategy and objectives;
BCMLogic:
BCMLogic is a platform that is based on its own data sets and information from other sources. First of all, the application "knows" services, business processes and information assets - that is, what constitutes the subject of the organization's activities and what should be protected against lack of access and loss of confidentiality. These key elements are mapped to resources (equipment, systems, suppliers, locations, etc.) that are used during process execution and data processing. This ensures that the risk management framework is aligned with the financial entity's business strategy and objectives.
Regulation:
Ust. 8.
(b) establishing the risk tolerance level for ICT risk, in accordance with the risk appetite of the financial entity, and analysing the impact tolerance for ICT disruptions;
(c) setting out clear information security objectives, including key performance indicators and key risk metrics;
(d) explaining the ICT reference architecture and any changes needed to reach specific business objectives;
(e) outlining the different mechanisms put in place to detect ICT-related incidents, prevent their impact and provide protection from it;
(f) evidencing the current digital operational resilience situation on the basis of the number of major ICT-related incidents reported and the effectiveness of preventive measures;
(g) implementing digital operational resilience testing, in accordance with Chapter IV of this Regulation;
(h) outlining a communication strategy in the event of ICT-related incidents the disclosure of which is required in accordance with Article 14.
BCMLogic:
Service within individual modules: Risk Management Module, Information Security Management Modules. Test Module, Supplier Module, Core Module.
Article 8
Identyfikacja
Regulation:
Ust. 1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe identyfikują, klasyfikują i odpowiednio dokumentują wszystkie wspierane przez ICT funkcje biznesowe, zadania i obowiązki, zasoby informacyjne i zasoby ICT wspierające te funkcje oraz ich zadania i zależności w odniesieniu do ryzyka związanego z ICT. Podmioty finansowe dokonują w miarę potrzeb, a co najmniej raz w roku, przeglądu adekwatności tej klasyfikacji i wszelkiej stosownej dokumentacji.
BCMLogic:
Moduł BCM, w szczególności funkcja „Analiza dla IT” oraz Moduł Bezpieczeństwa Informacji zapewniają rejestry oraz mechanizmy aktualizacji w zakresie realizowanych funkcji i procesów biznesowych, zasobów informacyjnych, pozostałych zasobów oraz ich wzajemne powiązania w tym zakres i poziom powiązania z ICT.
Regulation:
Ust. 2. Podmioty finansowe na bieżąco identyfikują wszystkie źródła ryzyka związanego z ICT, w szczególności ekspozycję na ryzyko w odniesieniu do innych podmiotów finansowych i pochodzące od tych podmiotów, oraz oceniają cyberzagrożenia i podatności w obszarze ICT istotne dla ich funkcji biznesowych wspieranych przez ICT, zasobów informacyjnych i zasobów ICT. Podmioty finansowe dokonują regularnie, a co najmniej raz w roku, przeglądu scenariuszy ryzyka, które mają na nie wpływ.
BCMLogic:
BCMLogic dostarcza Moduł Zarządzania Ryzykiem, który pozwala identyfikować, oceniać, ograniczać i monitorować ryzyka związane z różnymi obszarami i wektorami zagrożenia. Poza tym ryzyka mogą być konsolidowane i raportowane na poziom zarządczy organizacji.
Regulation:
Ust. 3. Podmioty finansowe inne niż mikroprzedsiębiorstwa przeprowadzają ocenę ryzyka przy każdej większej zmianie w infrastrukturze sieci i systemów informatycznych, w procesach lub procedurach mających wpływ na ich funkcje biznesowe wspierane przez ICT, zasoby informacyjne lub zasoby ICT.
BCMLogic:
Standardowa funkcja Modułu Zarządzania Ryzykiem, korzystającego z rejestrów procesów, procedur i zasobów informacyjnych.
Regulation:
Ust. 4. Podmioty finansowe wskazują wszystkie zasoby informacyjne i zasoby ICT, w tym zasoby zdalne, zasoby sieciowe i sprzęt komputerowy, oraz ewidencjonują te z nich, które są uznawane za krytyczne. Podmioty finansowe ewidencjonują konfigurację zasobów informacyjnych i zasobów ICT oraz powiązania i współzależności między poszczególnymi zasobami informacyjnymi i zasobami ICT.
BCMLogic:
Funkcja „Analiza dla IT” będąca elementem Modułu BCM, współpracuje z systemami typu „CMDB” i pozwala zamapować krytyczne funkcje biznesowe na procesy wewnętrzne ICT oraz zasoby technologiczne. Wynikiem przeprowadzonej analizy jest faktyczne wskazanie, które zasoby i procesy ICT są krytyczne ze względu na wspierane funkcje biznesowe.
Regulation:
Ust. 5. Podmioty finansowe wskazują i dokumentują wszystkie procesy, które zależą od zewnętrznych dostawców usług ICT, oraz wskazują wzajemne powiązania z zewnętrznymi dostawcami usług ICT, którzy świadczą usługi wspierające krytyczne lub istotne funkcje.
BCMLogic:
Standardowe działanie Modułu BCM, funkcje „Analiza BIA” oraz „Rejestr dostawców”.
Article 9
Ochrona i zapobieganie
Regulation:
Ust. 1. Na potrzeby odpowiedniej ochrony systemów ICT oraz w celu organizacji środków reagowania podmioty finansowe stale monitorują i kontrolują bezpieczeństwo i funkcjonowanie systemów i narzędzi ICT oraz minimalizują wpływ ryzyka związanego z ICT na systemy ICT, wdrażając odpowiednie narzędzia, polityki i procedury w zakresie bezpieczeństwa ICT.
Ust. 2. Podmioty finansowe opracowują, pozyskują i wdrażają polityki, procedury, protokoły i narzędzia w zakresie bezpieczeństwa ICT, których celem jest zapewnienie odporności, ciągłości działania i dostępności systemów ICT, w szczególności tych, które wspierają krytyczne lub istotne funkcje, oraz utrzymanie wysokich standardów dostępności, autentyczności, integralności i poufności danych, zarówno gdy są przechowywane, jak i wykorzystywane lub przesyłane.
BCMLogic:
W Platformie BCMLogic, dostawcy są jednym z rodzajów zasobów pomocniczych. Dostawcy podlegają analizie ryzyka, w tym także w formie samooceny ryzyka, w której poziom ryzyka Wcześniejsze powiązanie danego dostawcy z procesami biznesowymi i aktywami informacyjnymi, ułatwia określenie rodzaju i poziomu wpływu poszczególnych ryzyk i zagrożeń.BCMLogic oferuje również możliwość kompleksowej oceny początkowej/okresowej umów dotyczących usług świadczonych na rzecz realizacji funkcji biznesowych.Monitorowanie dostawców i umów odbywa się w ramach Modułu Zarządzania Audytem.Wymiana informacji organizacja-dostawca może być realizowana przez VendorHUB, który umożliwia bezpieczną współpracę z dostawcami w zakresie analizy ryzyka, wymiany informacji czy monitorowanie sytuacji finansowej, zmian właścicielskich i w reprezentacji i inne tego typu elementy.
Article 10
Wykrywanie
Regulation:
Ust. 1. Podmioty finansowe dysponują mechanizmami pozwalającymi na szybkie wykrywanie nietypowych działań, zgodnie z art. 17, w tym problemów związanych z wydajnością sieci ICT i incydentów związanych z ICT, oraz na identyfikację potencjalnych istotnych pojedynczych punktów awarii.
Wszystkie mechanizmy wykrywania, o których mowa w akapicie pierwszym, są regularnie testowane zgodnie z art. 25.
Ust. 2. Mechanizmy wykrywania, o których mowa w ust. 1, umożliwiają wielopoziomową kontrolę, określają progi alarmowe i kryteria uruchamiania i inicjowania procesów reagowania na incydenty związane z ICT, łącznie z automatycznymi mechanizmami ostrzegawczymi dla odpowiednich pracowników odpowiedzialnych za reagowanie na incydenty związane z ICT.
BCMLogic:
BCMLogic umożliwia integrację informacji pochodzących z systemów wykrywających nieprawidłowe działanie, korelację tych danych i wzbogacenie ich o określenie wpływu danej nieprawidłowości na funkcje i cele biznesowe organizacje. W zależności od charakteru zdarzenia i oceny jego wpływu, może być przekazane do obsługi w Module Zarządzania Incydentami Bezpieczeństwa w tym do Centrum Zarządzania Sytuacją.
Patrząc w drugą stronę, informacje o zdarzeniach dają możliwość sprzężenia zwrotnego z Modułem Zarządzania Ryzyka, zarówno na etapie oceny ryzyka jak i podczas późniejszej aktualizacji analizy.
Moduł testów pozwala na planowanie, rejestrowanie oraz raportowanie wyników testów. Co istotne, umożliwia prowadzenie i monitorowanie rekomendacji po testach.
Article 11
Reagowanie i przywracanie gotowości do pracy
Regulation:
Ust. 1. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, oraz w oparciu o wymogi dotyczące identyfikacji określone w art. 8, podmioty finansowe wprowadzają kompleksową strategię na rzecz ciągłości działania w zakresie ICT, która może zostać przyjęta jako specjalna odrębna strategia stanowiąca integralną część ogólnej strategii na rzecz operacyjnej ciągłości działania podmiotu finansowego.
Ust. 2. Podmioty finansowe realizują strategię na rzecz ciągłości działania w zakresie ICT poprzez specjalne, odpowiednie i udokumentowane ustalenia, plany, procedury i mechanizmy, których celem jest:
a) zapewnienie ciągłości pełnienia przez podmiot finansowy jego krytycznych lub istotnych funkcji;
b) szybkie, właściwe i skuteczne reagowanie na wszystkie incydenty związane z ICT i ich rozwiązywanie w sposób ograniczający szkody i nadający priorytet wznowieniu działań i działaniom mającym na celu przywrócenie systemów;
c) bezzwłoczne uruchamianie specjalnych planów umożliwiających zastosowanie środków, procesów i technologii ograniczających rozprzestrzenianie się, dostosowanych do każdego rodzaju incydentu związanego z ICT i zapobiegających dalszym szkodom, jak również dostosowanych do potrzeb procedur reagowania i przywracania sprawności, które to procedury zostały ustanowione zgodnie z art. 12;
d) szacowanie wstępnych skutków, szkód i strat;
e) określanie działań w zakresie komunikacji i zarządzania kryzysowego, które zapewniają przekazywanie aktualnych informacji wszystkim odpowiednim pracownikom wewnętrznym i zewnętrznym interesariuszom zgodnie z art. 14 i zgłaszanie ich właściwym organom zgodnie z art. 19.
BCMLogic:
Moduł Zarządzania Ciągłością Działania (BCM) wspiera i organizuje pełny cykl działań. Inwentaryzacja procesów i zasobów, analiza wpływu na biznes, identyfikacja ryzyk i ocena skutków ich materializacji. W zakresie przygotowania umożliwia opracowanie i zarządzania planami i procedurami postępowania w sytuacji awaryjnej. Natomiast moduł testów pozwala zaplanować i nadzorować testy.
Regulation:
Ust. 3. W kontekście ram zarządzania ryzykiem związanym z ICT, o których mowa w art. 6 ust. 1, podmioty finansowe wdrażają powiązane z ich działalnością plany reagowania i przywracania sprawności ICT, które w przypadku podmiotów finansowych innych niż mikroprzedsiębiorstwa podlegają niezależnym wewnętrznym przeglądom audytowym.
BCMLogic:
Połączenie danych Modułu BCM z Modułem Audytu skutkuje dodatkowymi możliwościami w zakresie planowania czynności kontrolnych, proponowania, akceptacji i monitorowania rekomendacji i zaleceń pokontrolnych.
Regulation:
Ust. 4. Podmioty finansowe wprowadzają, utrzymują i okresowo testują odpowiednie plany ciągłości działania w zakresie ICT, w szczególności w odniesieniu do krytycznych lub istotnych funkcji zlecanych w drodze outsourcingu zewnętrznym dostawcom usług ICT lub będących przedmiotem ustaleń z tymi dostawcami.
BCMLogic:
Moduł BCM, funkcja „Testy: harmonogramowanie, plany testów, gotowe kroki testu wygenerowane na podstawie zdefiniowanych procedur, rejestracja/dokumentacja przebiegu testów, zalecenia i rekomendacje, raportowanie.
Regulation:
Ust. 7. Podmioty finansowe inne niż mikroprzedsiębiorstwa posiadają funkcję zarządzania w sytuacji kryzysowej, w której – w przypadku uruchomienia ich planów ciągłości działania w zakresie ICT lub planów reagowania i przywracania sprawności ICT – określono między innymi. jasne procedury zarządzania wewnętrznymi i zewnętrznymi działaniami informacyjnymi na wypadek wystąpienia sytuacji kryzysowej zgodnie z art. 14.
BCMLogic:
W tym zakresie Platforma BCMLogic oferuje Moduł Zarządzania Incydentami Bezpieczeństwa wraz z Centrum Zarządzania Sytuacją.
ROZDZIAŁ III
ZARZĄDZANIE INCYDENTAMI ZWIĄZANYMI Z ICT, ICH KLASYFIKACJA I ZGŁASZANIE
Article 17
Proces zarządzania incydentami związanymi z ICT
Regulation:
Ust. 1. Podmioty finansowe określają, ustanawiają i wdrażają proces zarządzania incydentami związanymi z ICT w celu wykrywania incydentów związanych z ICT, zarządzania nimi i ich zgłaszania. Ust. 2. Podmioty finansowe rejestrują wszystkie incydenty związane z ICT i znaczące cyberzagrożenia. Podmioty finansowe ustanawiają odpowiednie procedury i procesy mające zapewnić spójne i zintegrowane monitorowanie incydentów związanych z ICT i obsługa takich incydentów oraz działania następcze w związku z takimi incydentami, aby zapewnić zidentyfikowanie, udokumentowanie i wyeliminowanie podstawowych przyczyn, co ma zapobiec występowaniu takich incydentów.
BCMLogic:
Moduł Zarządzania Incydentami Bezpieczeństwa oprócz standardowych elementów, wymienionych w dalszej części, umożliwia integrację informacji o zdarzeniach i incydentach z różnych źródeł, ich wzbogacenie o wpływ na funkcje biznesowe organizacji. Funkcja Wskaźników umożliwiaj definiowanie, zasilanie i śledzenie (w tym powiadomienia online) poziomu kluczowych wskaźników.
Regulation:
Ust. 3. Proces zarządzania incydentami związanymi z ICT, o którym mowa w ust. 1, obejmuje:
a) wprowadzenie wskaźników wczesnego ostrzegania;
b) ustanowienie procedur identyfikowania, śledzenia, rejestrowania, kategoryzowania i klasyfikowania incydentów związanych z ICT według ich priorytetu i dotkliwości oraz krytyczności usług, na które incydenty te mają wpływ, zgodnie z kryteriami określonymi w art. 18 ust. 1;
BCMLogic:
BCMLogic posiada informację o procesach biznesowych, zasobach informacyjnych, zasobach technologicznych i ich powiazaniach. Klasyfikacja i kategoryzacja incydentów na podstawie icj potencjalnego wpływu na funkcje biznesowe.
Regulation:
Ust. 3.
c) przydzielenie ról i obowiązków, które należy wprowadzić w przypadku różnych rodzajów incydentów związanych z ICT i odnośnych scenariuszy;
BCMLogic:
Moduł Core zapewnia określenie odpowiednich ról oraz dostęp do funkcji i danych w zależności od realizowanych obowiązków oraz procedur i scenariuszy, w których dana osoba bierze udział.
Regulation:
Ust. 3.
e) zapewnienie zgłaszania co najmniej poważnych incydentów związanych z ICT właściwej kadrze kierowniczej wyższego szczebla oraz informowanie organu zarządzającego co najmniej o poważnych incydentach związanych z ICT wraz z wyjaśnieniem wpływu, reakcji i dodatkowych kontroli, które należy ustanowić w wyniku takich incydentów związanych z ICT;
BCMLogic:
Ważną częścią Modułu Zarządzania Incydentami Bezpieczeństwa jest ocena zdarzenia po jego zakończeniu oraz kompleksowe raportowanie zarządcze.
Regulation:
Ust. 3.
f) ustanowienie procedur reagowania na incydenty związane z ICT w celu złagodzenia wpływu i zapewnienia przywrócenia operacyjności i bezpieczeństwa usług w rozsądnym terminie.
BCMLogic:
W zależności od rodzaju czy typu incydentu, Moduł Zarządzania Incydentami pozwala na uruchomienie wcześniej zdefiniowanych planów postępowanie (Akcje Incydentów), dostosowanych do danej sytuacji.
Article 18
Klasyfikacja incydentów związanych z ICT i cyberzagrożeń
Regulation:
Ust. 1. Podmioty finansowe dokonują klasyfikacji incydentów związanych z ICT i określają ich wpływ na podstawie następujących kryteriów:
a) liczba lub znaczenie klientów lub kontrahentów finansowych oraz, w stosownych przypadkach, kwota lub liczba transakcji, których dotyczy incydent związany z ICT, oraz to, czy taki incydent spowodował skutki reputacyjne;
b) czas trwania incydentu związanego z ICT, w tym przerwa w świadczeniu usług;
c) zasięg geograficzny incydentu związanego z ICT, w szczególności jeżeli dotyczy on więcej niż dwóch państw członkowskich;
d) utrata danych w wyniku incydentu związanego z ICT w kontekście dostępności, autentyczności, integralności lub poufności danych;
e) krytyczność usług, których dotyczy incydent związany z ICT, w tym transakcji i operacji podmiotu finansowego;
f) skutki gospodarcze incydentu związanego z ICT, w szczególności bezpośrednie i pośrednie koszty i straty, zarówno w kategoriach bezwzględnych, jak i względnych.
BCMLogic:
Wymienione wyżej elementy mogą być standardowo obsługiwane w Module Zarządzania Incydentami Bezpieczeństwa.
Article 19
Zgłaszanie poważnych incydentów związanych z ICT i dobrowolne powiadamianie o znaczących cyberzagrożeniach
Regulation:
Ust. 1. Podmioty finansowe zgłaszają poważne incydenty związane z ICT odpowiedniemu właściwemu organowi, o którym mowa w art. 46, zgodnie z ust. 4 niniejszego artykułu. (...)Wstępne powiadomienie i sprawozdania, o których mowa w ust. 4, zawierają wszystkie informacje niezbędne właściwemu organowi do określenia znaczenia poważnego incydentu związanego z ICT oraz do oceny ewentualnych skutków transgranicznych.
BCMLogic:
Dzięki temu, że wszystkie dane dotyczące wystapienia, przebiegu incydentu oraz ewentualne działania naprawcze, zrejestrowane są w aplikacji, Platforma BCMLogic daje możliwość wygenerowania gotowego zgłoszenia w formie dokumenty lub w uzgodnionym formacie elektronicznymi.
ROZDZIAŁ IV
TESTOWANIE OPERACYJNEJ ODPORNOŚCI CYFROWEJ
Article 25
Testowanie narzędzi i systemów ICT
Regulation:
Ust. 1. Program testowania operacyjnej odporności cyfrowej, o którym mowa w art. 24, przewiduje, zgodnie z kryteriami określonymi w art. 4 ust. 2, przeprowadzenie odpowiednich testów, takich jak oceny podatności i skanowanie pod tym kątem, analizy otwartego oprogramowania, oceny bezpieczeństwa sieci, analizy braków, fizycznych kontroli bezpieczeństwa, kwestionariusze i rozwiązania w zakresie oprogramowania skanującego, przeglądy kodu źródłowego, gdy jest to wykonalne, testy scenariuszowe, testy kompatybilności, testy wydajności, testy kompleksowe i testy penetracyjne.
BCMLogic:
Platforma BCMLogic pozwala na konfigurację różnego typu testów. Możliwość uzgodnienia centralnego harmonogramu testów, na podstawie testów cząstkowych z różnych działów, pozwala na równomierne rozłożenie obciążenia organizacji testami, a szczebel zarządzający ma pewność, że wszystkie obszary w założonym okresie zostaną przetestowane. Centralny rejestr testów zapewnia takie standardowe funkcje jak: powiadomienie o terminie rozpoczęcia, przypomnienia czy akceptacja wykonania testu.
Article 26
Zaawansowane testowanie narzędzi, systemów i procesów ICT z wykorzystaniem TLPT
Regulation:
Ust. 1. Podmioty finansowe inne niż podmioty, o których mowa w art. 16 ust. 1 akapit pierwszy, i inne niż mikroprzedsiębiorstwa, które określono zgodnie z ust. 8 akapit trzeci niniejszego artykułu, przeprowadzają nie rzadziej niż co trzy lata zaawansowane testy za pomocą TLPT. W oparciu o profil ryzyka danego podmiotu finansowego i z uwzględnieniem okoliczności operacyjnych właściwy organ może, w razie potrzeby, zwrócić się do tego podmiotu finansowego o zmniejszenie lub zwiększenie częstotliwości przeprowadzania tych testów.
BCMLogic:
Zaawansowane narzędzia i usługi testowe, dają bardzo dobre dane wejściowe o zagrożeniach i ryzykach. Po imporcie tych danych do BCMLogic i nałożeniu ich na dane o procesach biznesowych, aktywach informacyjnych, zasobach oraz połączeniu z rejestrem ryzyk - otrzymujemy informację o faktycznej wadze i istotności poszczególnych znalezisk i zagrożeń. Pozwala to na działania naprawcze, które są bardziej obiektywne, uporządkowane i zoptymalizowane pod kątem czasu i kosztu realizacji.
Regulation:
Ust. 2. Każdy test penetracyjny pod kątem wyszukiwania zagrożeń obejmuje kilka krytycznych lub istotnych funkcji podmiotu finansowego lub wszystkie te funkcje i jest przeprowadzany na działających systemach produkcyjnych wspierających takie funkcje.
Podmioty finansowe określają wszystkie istotne bazowe systemy, procesy i technologie ICT wspierające krytyczne lub istotne funkcje oraz wszystkie usługi ICT, w tym systemy, procesy i technologie ICT wspierające krytyczne lub istotne funkcje i usługi zlecone w drodze outsourcingu zewnętrznym dostawcom usług ICT lub będące przedmiotem umowy z takimi dostawcami.
BCMLogic:
Jak wspomniano wielokrotnie wcześniej, funkcja „Analiza dla IT” będąca elementem modułu BCM, współpracuje z systemami typu „CMDB” i pozwala zamapować krytyczne funkcje biznesowe na procesy wewnętrzne ICT oraz zasoby technologiczne. Wynikiem przeprowadzonej analizy jest faktyczne wskazanie, które zasoby i procesy ICT są krytyczne ze względu na wspierane funkcje biznesowe.
ROZDZIAŁ V
ZARZĄDZANIE RYZYKIEM ZE STRONY ZEWNĘTRZNYCH DOSTAWCÓW USŁUG ICT
Article 28
Zasady ogólne
Regulation:
Ust. 2. Jako część swoich ram zarządzania ryzykiem związanym z ICT podmioty finansowe inne niż podmioty, o których mowa w art. 16 ust. 1 akapit pierwszy, i inne niż mikroprzedsiębiorstwa przyjmują strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT i regularnie dokonują jej przeglądu, uwzględniając, stosownie do przypadku, strategię obejmującą wielu dostawców, o której mowa w art. 6 ust. 9. Strategia dotycząca ryzyka ze strony zewnętrznych dostawców usług ICT obejmuje politykę korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT i ma zastosowanie na zasadzie indywidualnej oraz, w stosownych przypadkach, na zasadzie subskonsolidowanej i skonsolidowanej. Na podstawie oceny ogólnego profilu ryzyka danego podmiotu finansowego oraz skali i stopnia złożoności usług biznesowych organ zarządzający regularnie dokonuje przeglądu ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dotyczących korzystania z usług ICT wspierających krytyczne lub istotne funkcje.
Ust. 3. W kontekście swoich ram zarządzania ryzykiem związanym z ICT podmioty finansowe utrzymują i aktualizują na poziomie podmiotu oraz na poziomie subskonsolidowanym i skonsolidowanym rejestr informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT.
Ustalenia umowne, o których mowa w akapicie pierwszym, są odpowiednio udokumentowane, z rozróżnieniem na ustalenia, które obejmują usługi ICT wspierające krytyczne lub istotne funkcje, oraz ustalenia, które takich funkcji nie wspierają. (…)
BCMLogic:
Wymagania realizowane w ramach modułu BCM, funkcja Rejestr Umów.
Regulation:
Ust. 4. Przed zawarciem ustalenia umownego dotyczącego korzystania z usług ICT podmioty finansowe:
a) oceniają, czy dane ustalenie umowne dotyczy korzystania z usług ICT wspierających krytyczną lub istotną funkcję;
b) oceniają, czy spełniono warunki nadzorcze dotyczące zawierania umów;
c) określają i oceniają wszystkie rodzaje istotnego ryzyka związane z ustaleniem umownym, w tym możliwość, że takie ustalenie umowne może przyczynić się do zwiększenia ryzyka koncentracji w obszarze ICT, o czym mowa w art. 29;
d) dokładają należytej staranności w stosunku do potencjalnych zewnętrznych dostawców usług ICT i zapewniają, aby w trakcie całego procesu wyboru i oceny zewnętrzny dostawca usług ICT był odpowiedni;
e) identyfikują i oceniają konflikty interesów, które mogą wynikać z ustalenia umownego.
BCMLogic:
Czynności weryfikacyjne określone w powyższym ustępie, realizowane są w ramach Modułu Zarządzania Ryzykiem, w powiązaniu z Rejestrem Umów oraz z opcjonalnym wykorzystaniem VendorHUB.