最后更新于2023年12月1日(星期五)19:51:54 GMT
领导金融机构:联邦贸易委员会(FTC) 宣布 这是自2003年以来首次对《pg电子》(GLBA)保障规则进行网络安全更新. 的 新规则 加强对客户信息的必要安全保护. 这包括正式的风险评估, 访问控制, 定期渗透测试和漏洞扫描, 事件响应能力, 除此之外.
其中一些变化将于2022年11月生效, 为组织提供时间为合规做准备. 下面,我们将详细介绍与前一个规则相比的变化.
保障措施规则的背景
GLBA需要, 除此之外, 广泛的“金融机构”保护客户信息. GLBA的执行由几个不同的联邦机构负责, 联邦贸易委员会的管辖权涵盖保障规则中的非银行金融机构. 以前, 《pg电子游戏试玩》将信息安全计划的几个方面的实施细节留给了金融机构, 基于其风险评估.
保障措施规则范围广泛 定义 “金融机构” 包括 提供金融产品或服务的非银行企业,如零售商, 汽车经销商, 抵押贷款经纪人, 非银行放贷机构, 房地产估价师, 编制税, 和其他人. “客户信息”的定义也很宽泛, 包括由金融机构或代表金融机构处理或维护的包含有关客户的非公开个人身份信息的任何记录.
保障措施规则的更新
许多其他更新涉及加强对金融机构必须如何实施其安全计划方面的要求. 下面是对这些变化的简短总结. 在适用的情况下,我们引用了更新后的规则(从第123页开始)和 以前的规则 (美国联邦法典第16卷第314条),以便比较.
整体安全方案
- 当前的规则: 金融机构必须保持全面, 与行政部门一起编写信息安全程序, 技术, 并进行物理防护,确保安全, 保密, 以及客户信息的完整性. 《pg电子游戏试玩》第16卷第314条.3(a)-(b).
- 更新规则: 更新后的规则现在要求信息安全计划包括以下列出的流程和保障措施.e.、风险评估、安全保障等.). 《pg电子游戏试玩》第16卷第314条.3(a).
- 约. 有效日期: 2022年11月
风险评估
- 当前的规则: 金融机构必须识别内部和外部的安全风险, 保密, 以及客户信息的完整性. 风险评估必须包括员工培训, 信息系统的风险, 检测和响应安全事件和事件. 《pg电子游戏试玩》第16卷第314条.4(b).
- 更新规则: 这次更新包括了风险评估必须包括的更具体的标准. 这包括对安全风险和威胁进行评估和分类的标准, 以及评估安全保障是否充分的标准. 风险评估必须描述如何减轻或接受已识别的风险. 风险评估必须是书面的. 《pg电子游戏试玩》第16卷第314条.4(b).
- 约. 有效日期: 2022年11月
安全保障措施
- 当前的规则: 金融机构必须实施防范措施,对通过风险评估发现的风险进行控制. 《pg电子游戏试玩》第16卷第314条.4(c). 金融机构必须要求服务提供商维护保护客户信息的保障措施. 《pg电子游戏试玩》第16卷第314条.4(d).
- 更新规则: 更新后的规则要求保障措施必须包括
-访问控制,包括提供最低权限;
-数据、设备和系统的清单和分类;
-对内部网络中静止和传输的客户信息进行加密;
-内部软件和应用程序的安全开发实践;
-多因素认证;
-安全的数据处理;
- Change management procedures; 和
-监控未经授权用户的活动,检测未经授权的访问或使用客户信息. 《pg电子游戏试玩》第16卷第314条.4(c)(1)-(8). - 约. 有效日期: 2022年11月
测试与评估
- 当前的规则: 金融机构必须定期测试或监测安全保障措施的有效性, 并根据测试结果进行调整. 《pg电子游戏试玩》第16卷第314条.4(c), (e).
- 更新规则: 保障措施的定期测试现在必须包括连续监测或定期渗透测试(每年一次)和脆弱性评估(每半年一次)。. 《pg电子游戏试玩》第16卷第314条.4(d).
- 约. 有效日期: 2022年11月
事件响应
- 当前的规则: 金融机构必须将网络安全事件检测和响应纳入其风险评估, 并有应对这些风险的保障措施. 《pg电子游戏试玩》第16卷第314条.4(b)(3)-(c).
- 更新规则: 金融机构必须制定书面计划,以应对任何重大影响保密的安全事件, 完整性, 或者客户信息的可用性. 《pg电子游戏试玩》第16卷第314条.4(h).
- 约. 有效日期: 2022年11月
劳动力和人员
- 当前的规则: 金融机构必须指定一名员工来协调信息安全计划. 《pg电子游戏试玩》第16卷第314条.4(a). 金融机构必须选择能够维护安全的服务提供商,并要求服务提供商实施安全措施. 《pg电子游戏试玩》第16卷第314条.4(d).
- 更新规则: 该规定现在要求指定一名“合格个人”负责安全计划. 这可以是第三方承包商. 《pg电子游戏试玩》第16卷第314条.4(a). 金融机构现在必须向员工提供安全意识培训和更新. 《pg电子游戏试玩》第16卷第314条.4(e). 该规则现在还要求定期向董事会或管理机构报告与信息安全计划有关的所有重大事项. 《pg电子游戏试玩》第16卷第314条.4(i).
- 约. 有效日期: 2022年11月
保险范围
- 更新规则: 联邦贸易委员会的更新扩大了“金融机构”的定义,要求“发现者”——撮合买卖双方的公司——遵守保障规则. 《pg电子游戏试玩》第16卷第314条.2(h)(1). 然而, 金融机构维护的客户信息不超过5个,000名消费者免于书面风险评估的要求, 持续监控或定期渗透测试和/或漏洞扫描, 事件响应计划, 以及向董事会提交的年度报告. 《pg电子游戏试玩》第16卷第314条.6.
- 约. 有效日期: 2021年11月(与许多其他更新不同,该项目不会延迟一年)
下一事件报告?
除上述外,公平贸易委员会也 考虑 要求金融机构向联邦贸易委员会报告网络安全事件. 类似的要求也适用于 网络安全监管 在纽约金融服务部工作. 如果联邦贸易委员会推进这些事件报告要求, 金融机构可以预期,这些要求将在2022年晚些时候或2023年初实施.
拥有强大安全程序的金融机构将已经在执行其中的许多实践. 为他们, 修订后的《pg电子》并不代表内部安全行动发生重大变化. 然而, 通过使这些安全实践成为正式的法规要求, 更新后的保障措施将使问责制和遵守更加重要.