网络安全防御体系包含的工具、方法、应用、场景和流程极为复杂,对于金融企业来说,有哪些是需要赋予更高优先级的重点工作呢?
近日美国证券交易委员会(SEC)发布了面向金融证券机构的《网络安全与风险管理观察与建议》(以下简称《建议》),汇总了金融市场参与者的意见,这些意见虽然没有法律约束力,但却是投资公司,证券发行人和其他机构的指南。
SEC的合规监察办公室(OCIE)撰写的《建议》概述了改善网络安全状况并防御全球公司面临的不断发展的网络安全威胁的关键措施和步骤。
OCIE负责运营SEC的国家考试计划——一个风险检查计划,旨在保护投资者并确保市场完整性。OCIE收集和分析有关市场参与者已采取的各种网络安全和风险管理措施的信息,并提炼出七个重点:
01、治理与风险管理
02、访问权限与控制
03、数据防泄漏
04、移动安全
05、事件响应与恢复
06、供应商管理
07、培训与安全意识项目
《建议》强调了移动安全性、事件响应恢复、供应商管理以及培训和意识的重要性。
《建议》还给出了美国金融市场参与者为保护敏感数据而采取的政策和实践的特定示例。SEC指出,有效的网络安全计划应当基于通盘考虑的风险管理计划,包括实施漏洞扫描并监控网络流量并快速检测安全威胁。
SEC还发现,有效的网络安全项目通常具备移动设备管理和针对数据泄露进行风险评估的事件响应计划。最后,OCIE指出:没有“一刀切”的网络安全方法。