查询 商标-SEC发布网络安全检查风险预警

2020-11-20 采集侠 网络整理
浏览

SEC发布网络安全检查风险预警

9月15日,美国证券交易委员会(SEC)合规检查与审查办公室(OCIE)发布了一份风险警报,再次强调将对经纪交易商和投资顾问的数据安全做法进行仔细审查,并描述了特别感兴趣的领域。1这些领域包括:(i)治理和风险评估;(ii)访问权限和控制;(iii)数据丢失预防;(iv)供应商管理;(v)培训;(vi)事件响应。据OCIE称,遗嘱公证的费用,办公证,风险预警应能使公司评估是否有必要加强其监管、合规和风险管理流程。该警告的附录包括注册公司可能面临的信息请求的相当具体的列表,2借鉴了美国国家标准与技术研究所(NIST)于2014年发布的改善关键基础设施网络安全的框架。3企业应仔细审查附录,并将其用作自我评估向导。这个风险预警是美国证券交易委员会(SEC)和美国金融监管局(FINRA)对网络安全高度关注的最新举措。2014年4月,OCIE发布了一份风险警报,宣布采取措施评估50多家注册经纪交易商和投资顾问的网络安全准备情况。2014年,FINRA还进行了定向扫荡。2015年2月3日,SEC和FINRA都发布了报告,总结了其网络安全扫描的结果。42015风险警报重点领域OCIE的风险警报中确定的六个特别关注的领域如下:治理和风险评估:审查人员可以评估一家公司是否有量身定制的网络安全治理和风险评估框架。审查人员还可以评估公司的网络安全计划是否包括定期评估网络安全风险,并聘请公司的高级管理层和董事会董事。进入权限和控制:审查员可以评估公司的用户访问和系统授权控制(包括与远程访问相关的控制,声明书公证,客户登录、密码、解决客户登录问题的公司协议、网络分段和分层访问)。数据丢失预防:检查人员可以评估公司的流程,以监控潜在的未经授权的数据传输。此外,审查员可以评估公司的资金转移请求认证程序。供应商管理:审查员可以评估公司的供应商选择和管理实践(包括在供应商选择、监督和监督供应商期间进行的尽职调查水平,以及合同条款)在公司正在进行的风险评估过程中。培训:考官可以评估网络安全培训是否针对特定的工作职能,包括网络事件响应程序,旨在鼓励负责任的员工和供应商行为。事件回应:审查者可以评估公司是否有一个框架(包括政策;系统脆弱性评估;以及评估关键数据、资产和服务)以应对可能的未来事件风险警示强调,这些因素并非详尽无遗,个人专利申报,专项专利,不会为免责提供潜在的安全港。OCIE可能会扩大考试的重点必要的含义《风险警报》举例说明,美国证券交易委员会如何继续审查其现有的权力如何在网络安全领域使用,以及如何扩大和加强这一权力。5它还强调,技术控制只是问题的一部分。包括治理、培训和供应商监督在内的组织和行政努力也至关重要。1 2015年风险警报。2美国证券交易委员会投资管理部也于2015年4月发布了网络安全指南。3 NIST网络安全框架。4 FINRA报告;SEC报告;WilmerHale先前对SEC和FINRA报告的警告。5 SEC和FINRA加强了对受监管公司网络安全的审查;这是SEC在网络安全执法行动中的两个主要理论