網(wǎng)絡安全防御體系包含的工具、方法、應用、場景和流程極為復雜,對于金融企業(yè)來說,有哪些是需要賦予更高優(yōu)先級的重點工作呢?
近日美國證券交易委員會(SEC)發(fā)布了面向金融證券機構的《網(wǎng)絡安全與風險管理觀察與建議》(以下簡稱《建議》),匯總了金融市場參與者的意見,這些意見雖然沒有法律約束力,但卻是投資公司,證券發(fā)行人和其他機構的指南。
SEC的合規(guī)監(jiān)察辦公室(OCIE)撰寫的《建議》概述了改善網(wǎng)絡安全狀況并防御全球公司面臨的不斷發(fā)展的網(wǎng)絡安全威脅的關鍵措施和步驟。
OCIE負責運營SEC的國家考試計劃——一個風險檢查計劃,旨在保護投資者并確保市場完整性。OCIE收集和分析有關市場參與者已采取的各種網(wǎng)絡安全和風險管理措施的信息,并提煉出七個重點:
01、治理與風險管理
02、訪問權限與控制
03、數(shù)據(jù)防泄漏
04、移動安全
05、事件響應與恢復
06、供應商管理
07、培訓與安全意識項目
《建議》強調(diào)了移動安全性、事件響應恢復、供應商管理以及培訓和意識的重要性。
《建議》還給出了美國金融市場參與者為保護敏感數(shù)據(jù)而采取的政策和實踐的特定示例。SEC指出,有效的網(wǎng)絡安全計劃應當基于通盤考慮的風險管理計劃,包括實施漏洞掃描并監(jiān)控網(wǎng)絡流量并快速檢測安全威脅。
SEC還發(fā)現(xiàn),有效的網(wǎng)絡安全項目通常具備移動設備管理和針對數(shù)據(jù)泄露進行風險評估的事件響應計劃。最后,OCIE指出:沒有“一刀切”的網(wǎng)絡安全方法。