更新GLBA金融机构安全要求

最后更新于2023年12月1日(星期五)19:51:54 GMT

领导金融机构:联邦贸易委员会(FTC) announced 这是自2003年以来首次对《ladbrokes立博官网》(GLBA)保障规则进行网络安全更新. The new rule 加强对客户信息的必要安全保护. 这包括正式的风险评估, access controls, 定期渗透测试和漏洞扫描, 事件响应能力, 除此之外.

其中一些变化将于2022年11月生效, 为组织提供时间为合规做准备. 下面，我们将详细介绍与前一个规则相比的变化.

保障措施规则的背景

GLBA requires, 除此之外, 广泛的“金融机构”保护客户信息. GLBA的执行由几个不同的联邦机构负责, 联邦贸易委员会的管辖权涵盖保障规则中的非银行金融机构. Previously, 《ladbrokes立博中文版》将信息安全计划的几个方面的实施细节留给了金融机构, 基于其风险评估.

保障措施规则范围广泛 definition “金融机构” includes 提供金融产品或服务的非银行企业，如零售商, automobile dealers, mortgage brokers, non-bank lenders, 房地产估价师, tax preparers, and others. “客户信息”的定义也很宽泛, 包括由金融机构或代表金融机构处理或维护的包含有关客户的非公开个人身份信息的任何记录.

保障措施规则的更新

许多其他更新涉及加强对金融机构必须如何实施其安全计划方面的要求. 下面是对这些变化的简短总结. 在适用的情况下，我们引用了更新后的规则(从第123页开始)和 previous rule (美国联邦法典第16卷第314条)，以便比较.

整体安全方案

• Current rule: 金融机构必须保持全面, 与行政部门一起编写信息安全程序, technical, 并进行物理防护，确保安全, confidentiality, 以及客户信息的完整性. 16 CFR 314.3(a)-(b).
• Updated rule: 更新后的规则现在要求信息安全计划包括以下列出的流程和保障措施.e.、风险评估、安全保障等.). 16 CFR 314.3(a).
• Approx. effective date: November 2022

Risk assessment

• Current rule: 金融机构必须识别内部和外部的安全风险, confidentiality, 以及客户信息的完整性. 风险评估必须包括员工培训, 信息系统的风险, 检测和响应安全事件和事件. 16 CFR 314.4(b).
• Updated rule: 这次更新包括了风险评估必须包括的更具体的标准. 这包括对安全风险和威胁进行评估和分类的标准, 以及评估安全保障是否充分的标准. 风险评估必须描述如何减轻或接受已识别的风险. 风险评估必须是书面的. 16 CFR 314.4(b).
• Approx. effective date: November 2022

安全保障措施

• Current rule: 金融机构必须实施防范措施，对通过风险评估发现的风险进行控制. 16 CFR 314.4(c). 金融机构必须要求服务提供商维护保护客户信息的保障措施. 16 CFR 314.4(d).
• Updated rule: 更新后的规则要求保障措施必须包括
  -访问控制，包括提供最低权限;
  -数据、设备和系统的清单和分类;
  -对内部网络中静止和传输的客户信息进行加密;
  -内部软件和应用程序的安全开发实践;
  -多因素认证;
  -安全的数据处理;
  - Change management procedures; and
  -监控未经授权用户的活动，检测未经授权的访问或使用客户信息. 16 CFR 314.4(c)(1)-(8).
• Approx. effective date: November 2022

测试与评估

• Current rule: 金融机构必须定期测试或监测安全保障措施的有效性, 并根据测试结果进行调整. 16 CFR 314.4(c), (e).
• Updated rule: 保障措施的定期测试现在必须包括连续监测或定期渗透测试(每年一次)和脆弱性评估(每半年一次)。. 16 CFR 314.4(d).
• Approx. effective date: November 2022

Incident response

• Current rule: 金融机构必须将网络安全事件检测和响应纳入其风险评估, 并有应对这些风险的保障措施. 16 CFR 314.4(b)(3)-(c).
• Updated rule: 金融机构必须制定书面计划，以应对任何重大影响保密的安全事件, integrity, 或者客户信息的可用性. 16 CFR 314.4(h).
• Approx. effective date: November 2022

劳动力和人员

• Current rule: 金融机构必须指定一名员工来协调信息安全计划. 16 CFR 314.4(a). 金融机构必须选择能够维护安全的服务提供商，并要求服务提供商实施安全措施. 16 CFR 314.4(d).
• Updated rule: 该规定现在要求指定一名“合格个人”负责安全计划. 这可以是第三方承包商. 16 CFR 314.4(a). 金融机构现在必须向员工提供安全意识培训和更新. 16 CFR 314.4(e). 该规则现在还要求定期向董事会或管理机构报告与信息安全计划有关的所有重大事项. 16 CFR 314.4(i).
• Approx. effective date: November 2022

Scope of coverage

• Updated rule: 联邦贸易委员会的更新扩大了“金融机构”的定义，要求“发现者”——撮合买卖双方的公司——遵守保障规则. 16 CFR 314.2(h)(1). However, 金融机构维护的客户信息不超过5个,000名消费者免于书面风险评估的要求, 持续监控或定期渗透测试和/或漏洞扫描, 事件响应计划, 以及向董事会提交的年度报告. 16 CFR 314.6.
• Approx. effective date: 2021年11月(与许多其他更新不同，该项目不会延迟一年)

下一事件报告?

除上述外，公平贸易委员会也 considering 要求金融机构向联邦贸易委员会报告网络安全事件. 类似的要求也适用于 网络安全监管 在纽约金融服务部工作. 如果联邦贸易委员会推进这些事件报告要求, 金融机构可以预期，这些要求将在2022年晚些时候或2023年初实施.

拥有强大安全程序的金融机构将已经在执行其中的许多实践. For them, 修订后的《ladbrokes立博中文版》并不代表内部安全行动发生重大变化. However, 通过使这些安全实践成为正式的法规要求, 更新后的保障措施将使问责制和遵守更加重要.