Kiểm toán SWIFT CSCF

Hiệp hội Viễn thông Tài chính Liên ngân hàng Toàn cầu (SWIFT) đã đưa ra một khuôn khổ bảo mật trong Chương trình Bảo mật Khách hàng, tức là SWIFT CSP cho tất cả người dùng nhằm giải quyết nhu cầu ngày càng tăng về bảo mật và tính minh bạch với tư cách là một cộng đồng nhằm chống lại sự gia tăng gian lận trên mạng.

SWIFT

Chương trình SWIFT CSP nhằm mục đích phát hiện và ngăn chặn hoạt động gian lận bằng một bộ biện pháp kiểm soát bảo mật bắt buộc được xác định theo Khung kiểm soát dịch vụ khách hàng SWIFT (CSCF) và sáng kiến chia sẻ thông tin trên toàn cộng đồng. Khung này xác định các Mục tiêu, Nguyên tắc và Biện pháp kiểm soát được thiết lập, được sửa đổi và xem xét hàng năm. Bất kỳ tổ chức nào sử dụng mạng nhắn tin liên ngân hàng của Hiệp hội Viễn thông Tài chính Liên ngân hàng Toàn cầu (SWIFT) đều cần phải tuân thủ các tiêu chuẩn an ninh mạng mới - cũng như "khuôn khổ đảm bảo" liên quan. Tổ chức yêu cầu đủ điều kiện về SWIFT cần phải trải qua quá trình kiểm tra các bước sau: -

  1. - Tự đánh giá theo Khung kiểm soát bảo mật khách hàng SWIFT (CSCF): Đánh giá hàng năm về môi trường địa phương dựa trên 23 biện pháp kiểm soát bắt buộc và 9 biện pháp kiểm soát mang tính tư vấn theo thông lệ tốt nhất.
  2. - Tự chứng thực theo Chính sách kiểm soát bảo mật khách hàng của SWIFT: Mỗi người dùng được yêu cầu gửi bản tự chứng thực về việc tuân thủ các biện pháp kiểm soát được xác định dựa trên kết quả đánh giá trước thời hạn hàng năm.
  3. - CSCF v2022 đến CSCF v2023.

Hơn nữa, để nâng cao tính toàn vẹn tổng thể của các chứng thực đối với tất cả khách hàng, tất cả các chứng thực đã gửi cho CSCF v2023 phải được hỗ trợ bởi Đánh giá độc lập - nội bộ, bởi tuyến phòng thủ thứ hai hoặc thứ ba (ví dụ: rủi ro, tuân thủ hoặc kiểm toán nội bộ) hoặc bên ngoài , bởi một bên thứ ba.

Tất cả Khách hàng của SWIFT đều được yêu cầu thực hiện “Đánh giá độc lập” theo yêu cầu tự chứng thực hàng năm của họ. Với tư cách là Nhà cung cấp dịch vụ đánh giá SWIFT được phê duyệt, QRC sẽ giúp bạn xác thực việc điều chỉnh thành công các biện pháp kiểm soát theo hướng dẫn của SWIFT CSP và hoạt động cùng với chức năng kiểm toán nội bộ của bạn. Kiến thức chuyên môn sâu rộng về SWIFT CSP của chúng tôi sẽ đảm bảo rằng tất cả các yêu cầu của bạn đều được đáp ứng trước khi có đánh giá độc lập bắt buộc của SWIFT.

Phương pháp kiểm toán: Chúng tôi tuân theo cách tiếp cận được ghi chép rõ ràng để làm việc cùng với khách hàng của chúng tôi nhằm hỗ trợ họ đạt được các mục tiêu tuân thủ. Điều này đòi hỏi một kế hoạch thực hiện được ghi chép đầy đủ cùng với các mốc quan trọng được xác định.

Hiểu biết về doanh nghiệp: Đánh giá quy trình và môi trường kinh doanh để hiểu các yếu tố trong phạm vi.

Hoàn thiện phạm vi kiểm toán: Bảng câu hỏi chi tiết được chia sẻ với nhóm của bạn để hỗ trợ xác định phạm vi, lập kế hoạch và chuẩn bị cho cuộc kiểm toán và mục tiêu.

- Đánh giá ban đầu/sự sẵn sàng: Theo khuôn khổ SWIFT CSCF, chúng tôi sẽ tiến hành đánh giá ban đầu để xác định và phân tích các rủi ro trong tình hình bảo mật thông tin.

Xác thực kiến trúc SWIFT: Hỗ trợ các tổ chức xác định và xác nhận kiến trúc, vùng và thành phần SWIFT theo yêu cầu đánh giá.

Xác thực kiểm soát: Thực hiện Xác thực Kiểm soát Bắt buộc & Tư vấn để hiểu khả năng áp dụng kiểm soát theo môi trường.

- Đánh giá luồng dữ liệu: Tiến hành phân tích hệ thống kỹ lưỡng để đánh giá luồng dữ liệu và các rò rỉ có thể xảy ra.

Hỗ trợ tài liệu: Tận dụng các mẫu để giảm bớt quy trình ghi chép trong quá trình đánh giá.

- Hỗ trợ khắc phục: Theo đánh giá, chúng tôi sẽ cung cấp hỗ trợ khắc phục để tuân thủ khuôn khổ An ninh mạng SWIFT.

- Quét và kiểm tra: Xác định các lỗ hổng nghiêm trọng trong hệ thống của bạn bằng phương pháp thử nghiệm mạnh mẽ.

Đánh giá bằng chứng: Xem xét các bằng chứng được thu thập để đánh giá mức độ hoàn thiện của chúng, phù hợp với việc tuân thủ.

- Báo cáo ngắn gọn: Nhóm của chúng tôi ghi lại một báo cáo toàn diện nêu chi tiết tất cả các phát hiện được đề cập trong chu trình đánh giá theo mẫu SWIFT.

Câu hỏi thường gặp

SWIFT CSP là gì?

Chương trình bảo mật khách hàng (CSP) của SWIFT nhằm mục đích ngăn chặn và phát hiện hoạt động gian lận thông qua một bộ kiểm soát bảo mật bắt buộc, sáng kiến chia sẻ thông tin trên toàn cộng đồng và các tính năng bảo mật nâng cao trên sản phẩm của họ.

Khi nào là Hạn chót để Tuân thủ SWIFT CSP?

SWIFT CSP yêu cầu người dùng phải nộp bản tự chứng thực hàng năm trước ngày 31 tháng 12. Cần có đánh giá độc lập cùng với chứng thực của khách hàng từ ngày 31 tháng 12 năm 2020 trở đi.

Đánh giá độc lập bắt buộc của SWIFT cần thực hiện theo hình thức nào?

Có hai hình thức để khách hàng SWIFT có thể đạt được đánh giá độc lập:
- Đánh giá nội bộ: Việc kiểm toán nội bộ cần được thực hiện theo chức năng kiểm toán nội bộ của khách hàng và độc lập với chức năng nộp chứng thực.
- Đánh giá bên ngoài : Đánh giá bên ngoài có thể được thực hiện bởi công ty kiểm toán, đánh giá đối với các biện pháp kiểm soát CSP.

Các kiểm soát SWIFT CSCF V2020 là gì?

CSCF V2020 của SWIFT bao gồm 3 Mục tiêu, 8 Nguyên tắc & 31 Biện pháp kiểm soát (21 Bắt buộc & 10 Tùy chọn). Các biện pháp kiểm soát bắt buộc của SWIFT tập trung vào việc bảo vệ môi trường của bạn, hiểu rõ và hạn chế quyền truy cập.

Điều gì sẽ xảy ra nếu bạn chứng thực sự không tuân thủ của SWIFT?

SWIFT báo cáo tất cả các trường hợp không tuân thủ và các thành viên chưa xác minh với cơ quan quản lý địa phương.

Điều gì sẽ xảy ra nếu tôi nghi ngờ tổ chức của mình đã bị nhắm mục tiêu hoặc vi phạm?

Trong mọi trường hợp, cần chia sẻ mọi thông tin liên quan và cho SWIFT biết có vấn đề càng sớm càng tốt, nhằm bảo vệ các tổ chức khác trong mạng lưới.