信息來源:安全牛
網(wǎng)絡(luò)安全防御體系包含的工具���、方法����、應(yīng)用、場景和流程極為復(fù)雜����,對于金融企業(yè)來說,有哪些是需要賦予更高優(yōu)先級的重點(diǎn)工作呢�����?
近日美國證券交易委員會(SEC)發(fā)布了面向金融證券機(jī)構(gòu)的《網(wǎng)絡(luò)安全與風(fēng)險管理觀察與建議》(以下簡稱《建議》)���,匯總了金融市場參與者的意見�����,這些意見雖然沒有法律約束力�����,但卻是投資公司�,證券發(fā)行人和其他機(jī)構(gòu)的指南。
SEC的合規(guī)監(jiān)察辦公室(OCIE)撰寫的《建議》概述了改善網(wǎng)絡(luò)安全狀況并防御全球公司面臨的不斷發(fā)展的網(wǎng)絡(luò)安全威脅的關(guān)鍵措施和步驟���。
OCIE負(fù)責(zé)運(yùn)營SEC的國家考試計劃——一個風(fēng)險檢查計劃�,旨在保護(hù)投資者并確保市場完整性���。OCIE收集和分析有關(guān)市場參與者已采取的各種網(wǎng)絡(luò)安全和風(fēng)險管理措施的信息�����,并提煉出七個重點(diǎn):
01����、治理與風(fēng)險管理
02�����、訪問權(quán)限與控制
03�����、數(shù)據(jù)防泄漏
04���、移動安全
05���、事件響應(yīng)與恢復(fù)
06、供應(yīng)商管理
07���、培訓(xùn)與安全意識項目
《建議》強(qiáng)調(diào)了移動安全性���、事件響應(yīng)恢復(fù)、供應(yīng)商管理以及培訓(xùn)和意識的重要性�。
《建議》還給出了美國金融市場參與者為保護(hù)敏感數(shù)據(jù)而采取的政策和實踐的特定示例。SEC指出���,有效的網(wǎng)絡(luò)安全計劃應(yīng)當(dāng)基于通盤考慮的風(fēng)險管理計劃�����,包括實施漏洞掃描并監(jiān)控網(wǎng)絡(luò)流量并快速檢測安全威脅���。
SEC還發(fā)現(xiàn)�����,有效的網(wǎng)絡(luò)安全項目通常具備移動設(shè)備管理和針對數(shù)據(jù)泄露進(jìn)行風(fēng)險評估的事件響應(yīng)計劃���。最后,OCIE指出:沒有“一刀切”的網(wǎng)絡(luò)安全方法���。
