从最新的SEC风险预警中，我们能借鉴什么？

美国证券交易委员会（SEC）合规检查和考核办公室最近发布了风险预警，该预警为金融服务公司进一步提供了网络安全指导，着重关注证券公司和投资顾问客户信息的保护。从中我们能借鉴到什么？

Mike Chapple：美国证券交易委员会最近公布了其最新的网络安全检查计划，该计划是为了解决大量针对金融服务公司的数据泄露和网络攻击。根据SEC的说法，该举措旨在“构建OCIE之前的考核”，且更为着重网络安全防范。

基于网络安全考核的结果，SEC通知监管的金融服务公司在即将到来的考核中其将关注六个关键领域。接受OCIE考核的金融服务公司应该重新审视其在这六个领域的实践，以在将来的考核中更有可能拿到有利的结果。这六个关键领域分别是：

· 治理和风险评估
· 访问权限和控制
· 数据丢失预防
· 供应商管理
· 培训
· 事件响应

这六个领域是即将到来的考核的重点，不过也只是项目审计中的一小部分需求。接受这些评估的公司仍旧应该重新阅读完整的SEC风险预警：OCIE 2015网络安全考核计划。

我们一直都在努力坚持原创.......请不要一声不吭，就悄悄拿走。

我原创，你原创，我们的内容世界才会更加精彩！

【所有原创内容版权均属TechTarget，欢迎大家转发分享。但未经授权，严禁任何媒体（平面媒体、网络媒体、自媒体等）以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget

官方微博

TechTarget中国

Mike Chapple, CISSP，University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿，是《信息安全》杂志的技术编辑。

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革，负责安全网站与网络网站的内容规划、组稿、原创和编辑。