您應該了解有關GLBA標準的FTC更新,以保護客戶信息規則

該博客是由我的同事芭比·霍米(Barbie Housewright)撰寫的,即網絡安全經理。

修訂了保障客戶信息標準(保障規則),納入了金融機構的五個關鍵合規性更改。新規則為現有信息安全計劃標準提供了更多詳細信息,增加了計劃報告的問責製,擴展了金融機構的定義,包含了其他術語定義,並為較小的機構提供了豁免。

維持不到五千消費者的金融機構免於新標準;但是,隨著2022年1月10日的適用性日期,以及2022年12月9日生效的一些要求,許多機構發現自己評估了他們的信息安全計劃並尋求合規資源和協助。

信息安全計劃

新規則可能要求機構擴展其信息安全計劃,以合並修訂中特定確定的所需元素。規則中定義的信息安全計劃的目的是保護客戶信息免受未經授權的披露,濫用,更改,破壞或妥協的影響。

元素

合格的個人

盡管該規則不禁止任務和責任委派給多個個人,但該修正案確實要求任命一個負責計劃監督,實施和執法的單一合格個人。指定的個人應保持適合機構信息係統規模和複雜性的資格。該機構有責任評估信息安全需求並保持適當合格的個人。

合格的個人可以是該機構,會員或第三方提供商的雇員。當外包人訂婚時,該機構將保留對合規性的責任,必須指定高級管理人員的成員,以確保合格的個人維護符合保障措施規則要求的信息安全計劃。

風險評估

風險評估是製定全麵信息安全計劃的基礎。評估應確定敏感信息的機密性,完整性和可用性的可預見的內部和外部安全風險。風險評估還應評估適當的保障措施以控製已確定的風險。新規則添加了以前不存在的形式元素。必須記錄風險評估,並且必須符合定義的方法標準。還需要定期重新審查,通常建議使用年度最低頻率。此外,新規則列出了應將其納入風險評估和計劃中的關鍵標準,包括:

  • 商業資產管理標準和實踐
  • 客戶信息的加密
  • 確保發展標準和實踐
  • 多因素身份驗證
  • 確保處置標準和實踐
  • 改變管理標準和實踐
  • 監視和伐木標準和實踐
  • 職責的隔離

控件

實施控製措施以降低風險評估過程中確定的風險是計劃開發方法中的下一階段。修訂之前的保障措施規則中存在的某些控件包括防止未經授權訪問客戶信息的技術和物理控製,以及對密鑰控製有效性的常規測試和監視。新規則進一步詳細介紹了實時,連續監視的必要性。在沒有持續監測的情況下,年度滲透測試和兩年一次的脆弱性評估可以提供補償控製。該規則進一步需要在具有新脆弱性風險升高的係統中進行更頻繁的脆弱性評估。補償控製措施必須由合格的個人進行審查和批準。

訓練

確保機構工作人員和第三方提供商有能力執行安全標準和程序,因此必須采取強大的安全意識培訓計劃。此外,至關重要的是要確保安全人員有資格管理安全風險並管理信息安全計劃。關鍵信息安全人員必須接受持續的培訓,以保持對不斷變化的威脅和控製的認識。該修正案納入了一項要求,要求培訓相關且全麵地解決已確定的安全風險。

第三方風險管理

以前,“保障規則”隻需要在入職階段對服務提供商的保障措施進行評估。新語言明確對正在進行的服務提供商進行監控,以確保保障措施足以保護其訪問或擁有的客戶信息。

事件響應

委員會認為,事件響應的創建有助於機構專注於對安全事件的迅速和適當響應,並緩解信息係統中的弱點。新規則定義了有效事件響應計劃的要求。這些要求包括正式的事件響應計劃和有記錄的計劃,以響應和從具有重大影響的任何安全事件中恢複。記錄的計劃應建立機構內部的響應目標,恢複過程以及職責,職責和決策權。該計劃應定期測試,然後進行修複確定的弱點。應開發資源以正式報告安全事件和相關的響應活動。最後,應該通過從測試和實際事件中學到的經驗教訓來更新計劃,以更好地為機構準備類似事件。

年度報告

對保障措施規則的最終更新是合格個人開發和交付計劃狀態的書麵報告的要求。該報告應提供決策基礎的記錄,以支持未來的決策。該報告必須包含整體狀態以及與信息安全計劃相關的任何材料事項。提供此修正案是為了確保董事會或同等理事機構參與並了解信息安全計劃。此要求還確保合格的個人對該計劃負責。

CLA如何幫助?

分析您的信息安全計劃以合規,並在2022年12月截止日期之前實施必要的更改似乎很複雜且費力。CLA的外包信息安全顧問可以幫助您評估和增強計劃,以準備適用性日期。我們的顧問不僅知識淵博,而且在信息安全和金融行業合規方麵也經驗豐富,並配備了資源,以全麵而有效的方式幫助製定您的計劃。

分享

  • 410-308-8153

布列塔尼擁有十二年多的經驗,並專門為金融機構提供審計和會計服務。除了計劃,管理和執行對從1000萬美元到500億美元總資產的機構進行的財務報表審核外,她還進行了旨在測試貸款文件和儲備金的充分性,遵守內部控製政策,外包內部審計和遵守貸款文件的活動,以及谘詢各種合規要求。

發表評論

您的電子郵件地址不會被公開。

*

*

通過電子郵件接收CLA的金融機構博客

*表示需要

Baidu
map