AWS发布《数字运营弹性法案（DORA）》用户指南

Amazon最近发布了《AWS数字运营弹性法案（DORA）用户指南》，该文档详细介绍了AWS服务如何支持金融实体（FEs）遵守DORA的运营弹性要求，包括ICT风险管理、事件报告、测试和第三方风险管理。

背景与目的

DORA是欧洲引入的一项新法规，旨在实现高水平的数字运营弹性。该法规于2023年1月16日生效，并要求在2025年1月17日前全面合规。随着金融行业对技术和云服务的依赖日益增加，DORA为金融实体和ICT第三方服务提供商（包括主要云服务提供商）设定了新的监管要求。

AWS指南内容

该指南为金融实体提供了一系列建议，帮助他们满足DORA的监管期望。它解释了金融实体如何利用AWS服务和文档来证明其合规性。指南还描述了AWS及其客户在管理运营弹性中的角色，AWS共享责任模型、合规框架、AWS服务和功能，以及客户在采用AWS时评估其合规性的措施。

关键要求

DORA涵盖了以下关键领域：

• ICT风险管理要求
• 报告重大ICT相关事件和网络威胁
• 数字运营弹性测试
• 网络威胁和漏洞信息共享
  此外，DORA还包括管理ICT第三方风险的措施，适用于20种不同类型的金融实体和ICT第三方服务提供商。

AWS的立场

AWS强调，虽然法规不限制云服务的采用和使用，但它提倡基于原则的ICT风险管理方法，赋予金融实体灵活使用不同管理模型的自由，只要这些模型能够解决识别、保护、检测、响应、恢复和通信等关键功能。

单云提供商的依赖问题

一个争议话题是对单一云提供商的依赖。尽管DORA技术上不禁止使用独家云提供商，但它要求银行在发生中断事件时具备监控、缓解和恢复策略，以确保能够立即切换且不丢失数据。

其他云服务提供商的行动

AWS并非唯一关注DORA合规的云服务提供商。Google、Microsoft、IBM和Oracle OCI也提供了相关资源，帮助金融实体简化DORA合规流程，增强运营弹性并降低集中风险。

总结

AWS发布的《DORA用户指南》为金融实体提供了详细的合规路径，强调AWS服务在帮助客户满足DORA要求方面的作用。随着DORA合规期限的临近，各大云服务提供商纷纷采取措施，帮助金融行业应对这一新的监管挑战。