数字运营复原力法案》（DORA）是欧盟的一项综合性法规，旨在加强金融部门的数字运营复原力。DORA 于 2023 年 1 月颁布，为金融机构管理信息和通信技术 (ICT) 风险、事件报告和第三方服务提供商关系建立了统一框架。这项具有里程碑意义的立法代表了欧盟对金融服务日益数字化以及对强大网络安全措施需求的回应。

了解 CMDB、IT 服务管理 (ITSM) 和可观察性解决方案如何促进 DORA 合规性。

阅读白皮书

数字业务复原力法

了解 DORA 的范围和应用

DORA 适用于在欧盟境内运营的各种金融实体。银行和信贷机构（包括传统机构和数字机构）是受监管实体的核心。但 DORA 的影响范围非常深远，超出了传统银行和信贷机构的范畴：

支付机构，包括根据指令 (EU) 2015/2366 豁免的支付机构
账户信息服务提供商
电子货币机构，包括根据第 2009/110/EC 号指令获得豁免的电子货币机构
投资公司
根据欧洲议会和理事会关于加密资产市场的条例，以及对第 1093/2010 号条例（欧盟）和第 1095/2010 号条例（欧盟）和第 2013/36/EU 号指令和第 2019/1937 号指令（"关于加密资产市场的条例"）的修订而授权的加密资产服务提供商，以及资产参考代币的发行商
中央证券保存机构
中央对手方
交易场所
贸易资料库
另类投资基金经理
管理公司
数据报告服务提供商
保险和再保险业务
保险中介机构、再保险中介机构和辅助保险中介机构
职业退休制度
信用评级机构
关键基准的管理者
众筹服务提供商
证券化存储库
信息和通信技术第三方服务提供商

遵守 DORA 的核心内容是什么？

信息和通信技术风险管理

金融实体必须实施全面的信息和通信技术风险管理框架，其中包括多层次的安全和监督。这些框架要求制定专门针对数字复原力的详细战略和政策，包括预防和应对网络威胁的具体措施。各组织必须定期进行风险评估，以确定其数字基础设施当前和新出现的漏洞。

安全措施必须包括先进的访问控制，以管理用户权限和维护数据完整性，同时采用最先进的加密协议来保护敏感的财务信息。该框架要求持续监控系统能够实时洞察潜在的安全威胁和系统性能。必须建立明确的治理结构，指定具体的角色和责任，以确保风险管理程序的问责制。

事件管理和报告

DORA 规定了复杂的事件管理和报告程序，超出了基本的网络安全协议。各组织必须开发和维护强大的检测系统，能够识别与信息和通信技术有关的明显和微妙事件。这一要求包括实施多级分类系统，根据预定义标准和对财务运作的潜在影响准确评估事件的严重性。

必须保存详细的事件日志，全面记录响应程序、解决步骤和结果分析。重大事件需要通过既定渠道及时向有关当局报告，并规定初步通知和后续报告的具体时限。各组织必须制定并定期更新针对不同利益相关者群体的沟通计划，包括客户、合作伙伴、监管机构以及必要时的媒体。

数字运行复原力测试

DORA 要求通过多种方法对数字复原力进行系统测试。必须使用先进的测试工具和方法定期进行脆弱性评估，以确定信息和通信技术系统的潜在弱点。独立方必须进行渗透测试，以确保对安全措施进行公正的评估，并确定潜在的违规点。基于场景的测试应模拟真实世界的网络威胁和运行中断，以评估响应能力和系统恢复能力。

必须对安全措施进行定期验证，以确保其持续有效地应对不断变化的威胁。所有测试活动都需要详细的文档记录，包括使用的方法、结果和采取的补救措施。

第三方风险管理

人力资源管理局强调通过结构化监督和文件记录全面管理与信息和通信技术服务提供商的关系。各组织必须对第三方提供商进行全面的风险评估，评估其技术能力、安全措施和业务连续性计划。服务协议需要定期审查，以确保符合当前的监管要求和业务需求。

各组织必须保留一份详细的提供商登记册，记录所有关键和非关键服务安排，包括所提供的具体服务、数据访问级别和安全措施。必须向监管机构报告关键服务安排，并在发生重大变化时提供最新信息。合同义务必须明确涉及合规要求，包括安全措施、事件报告和审计权利。

OpenText IT 运营解决方案如何帮助实现 DORA 合规性？

OpenText IT 运营解决方案通过满足关键监管要求的技术平台，帮助金融机构实现并保持 DORA 合规性。

OpenText™ Universal Discovery and CMDB 可深入了解企业的 ICT 基础设施，是 DORA 合规性的基础要素。该解决方案具有无代理和基于代理的发现功能，可创建 IT 环境的全面视图，包括通过安全 VPN 或间歇性互联网连接的设备。它对多云环境执行基于事件的更新，确保金融机构对其内部和云中的整个基础设施保持准确、实时的了解。它的服务映射功能使企业能够在实施前预测变化可能对关键金融服务产生的影响，从而直接满足 DORA 的风险管理和运营弹性要求。

OpenText™ Service Management集成了基本的 ITSM 和 IT 资产管理功能，可对服务、应用程序和支持 ICT 的设备建立明确的所有权和管理。该解决方案包括 ITIL 认证的最佳实践模板，涵盖事件、问题、变更、发布和配置管理--所有这些都是 DORA 合规性的关键要素。这些模板可帮助组织建立自动响应链，最大限度地减少服务中断，并确保一致地处理信息和通信技术相关事件，从而满足 DORA 对事件管理和报告的要求。

OpenText™ Core Infrastructure Observability通过提供多云和内部部署资源的端到端可视性，满足了 DORA 的监控要求。人工智能驱动的异常检测功能使金融机构能够在潜在问题影响服务交付之前将其识别出来。各组织还可以建立机制，快速发现异常活动，包括网络性能问题和与信息和通信技术相关的事件，并识别可能影响业务恢复能力的潜在单点故障。

OpenText™ Core Application Observability专注于应用程序性能和服务交付，是对基础架构监控的补充。该解决方案可帮助企业确保关键金融服务应用程序保持最佳性能和可用性。它能够对事故进行全面的根本原因分析和记录，支持 DORA 对事故处理和解决的要求。综合监控和后续跟进功能可确保各组织在满足监管报告要求的同时，保持服务质量的一致性。

DORA 准备就绪：行动起来

DORA 标志着金融机构必须在数字运营和风险管理方式上的重大转变。要成功遵守 DORA，就必须制定一项综合战略，将强大的技术解决方案、清晰的流程和对数字复原力的持续承诺结合起来。各组织必须在 2025 年 1 月截止日期之前尽早开始合规之旅，以确保满足所有要求，并保持数字时代必要的运营弹性。借助OpenText 的 IT 运营解决方案，金融机构可以为 DORA 合规性奠定坚实的基础，同时提高其整体 IT 运营效率和安全态势。