信息來(lái)源:安全牛
網(wǎng)絡(luò)安全防御體系包含的工具、方法、應(yīng)用、場(chǎng)景和流程極為復(fù)雜,對(duì)于金融企業(yè)來(lái)說(shuō),有哪些是需要賦予更高優(yōu)先級(jí)的重點(diǎn)工作呢?
近日美國(guó)證券交易委員會(huì)(SEC)發(fā)布了面向金融證券機(jī)構(gòu)的《網(wǎng)絡(luò)安全與風(fēng)險(xiǎn)管理觀察與建議》(以下簡(jiǎn)稱《建議》),匯總了金融市場(chǎng)參與者的意見,這些意見雖然沒有法律約束力,但卻是投資公司,證券發(fā)行人和其他機(jī)構(gòu)的指南。
SEC的合規(guī)監(jiān)察辦公室(OCIE)撰寫的《建議》概述了改善網(wǎng)絡(luò)安全狀況并防御全球公司面臨的不斷發(fā)展的網(wǎng)絡(luò)安全威脅的關(guān)鍵措施和步驟。
OCIE負(fù)責(zé)運(yùn)營(yíng)SEC的國(guó)家考試計(jì)劃——一個(gè)風(fēng)險(xiǎn)檢查計(jì)劃,旨在保護(hù)投資者并確保市場(chǎng)完整性。OCIE收集和分析有關(guān)市場(chǎng)參與者已采取的各種網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理措施的信息,并提煉出七個(gè)重點(diǎn):
01、治理與風(fēng)險(xiǎn)管理
02、訪問權(quán)限與控制
03、數(shù)據(jù)防泄漏
04、移動(dòng)安全
05、事件響應(yīng)與恢復(fù)
06、供應(yīng)商管理
07、培訓(xùn)與安全意識(shí)項(xiàng)目
《建議》強(qiáng)調(diào)了移動(dòng)安全性、事件響應(yīng)恢復(fù)、供應(yīng)商管理以及培訓(xùn)和意識(shí)的重要性。
《建議》還給出了美國(guó)金融市場(chǎng)參與者為保護(hù)敏感數(shù)據(jù)而采取的政策和實(shí)踐的特定示例。SEC指出,有效的網(wǎng)絡(luò)安全計(jì)劃應(yīng)當(dāng)基于通盤考慮的風(fēng)險(xiǎn)管理計(jì)劃,包括實(shí)施漏洞掃描并監(jiān)控網(wǎng)絡(luò)流量并快速檢測(cè)安全威脅。
SEC還發(fā)現(xiàn),有效的網(wǎng)絡(luò)安全項(xiàng)目通常具備移動(dòng)設(shè)備管理和針對(duì)數(shù)據(jù)泄露進(jìn)行風(fēng)險(xiǎn)評(píng)估的事件響應(yīng)計(jì)劃。最后,OCIE指出:沒有“一刀切”的網(wǎng)絡(luò)安全方法。