网络威胁正在迅速演变,而且速度还在加快. 同时, 随着存和更广泛的金融市场共同寻求改进流程和技术,运营和业务弹性的重要性与日俱增. 在存,创新必须以目的为导向,创造价值并降低风险. 正是通过这一视角,存认为自己的角色至关重要, 弹性和前瞻性的基础设施提供效率, 减轻利益相关者的风险,减少不断变化的金融行业的系统性风险.
对关键金融基础设施的大规模网络攻击是一个主要威胁, 有可能对金融部门和整体经济造成重大损害和破坏. vnsr威尼斯城官网登入业的复杂性, 金融公司与其所处市场的相互联系, 新技术和创新技术的引入进一步增加了大规模网络攻击的风险.
说到网络安全, 存遵循已被证明有效的核心原则:补丁管理, 脆弱性管理, 有效监察基建, 身份管理, 网络隔离, 职责隔离和网络访问, 举几个例子.
为了履行减少风险以及为全球金融体系提供确定性和可靠性的承诺, 存的客户网络安全计划(CCSP)是存与其客户之间的一项合作努力,旨在确保公司采用适当的框架来防范网络风险.
这一点至关重要,因为对一家或多家机构或关键基础设施的攻击可能会在整个金融体系中产生传染效应, 尤其是随着互联性的不断增强. 提高单个公司的网络弹性可以使整个vnsr威尼斯城官网登入生态系统更安全、更可靠.
此外,网络威胁信息共享是弹性网络防御计划的基石. 一家公司从同行那里学到的东西可以用来在攻击来袭之前加强防御,或者限制其影响并更快地恢复. 存与特定部门和政府机构合作,加强威胁情报共享和全球金融生态系统的弹性.
指导也被采纳, 是适用的, 来自多个公认的信息安全标准, 包括:
- 国际公认标准“ISO/IEC 27001:2013 -信息技术-安全技术-信息安全管理系统-要求”.
- FFIEC信息技术考试手册, 它由几本小册子组成,涵盖各种技术和与技术相关的风险管理指导,供金融机构和审查员使用.
- NIST网络安全框架(NIST CSF)由标准组成, 的指导方针, 以及促进关键基础设施保护的做法.
- 网络风险研究所网络安全概况, 哪一种评估是可扩展的、可扩展的,所有类型的金融机构都可以将其用于网络风险管理评估,并作为一种证明遵守各种监管框架的机制.
-
金融行业的后量子安全考虑 这一短期风险成为金融业关注的焦点, 确定金融机构可以采取的初步步骤, 并引发一场更有意的对话,讨论该行业现在如何采取行动,以抵御后量子风险.
存维护一个操作风险管理程序,使识别成为可能, 评估, 管理, 监测和报告在日常业务中遇到的风险. 该方案建立了存识别内部和外部风险来源的总体方法, 评估影响, 确定优先次序并制定计划来处理这些风险,以便在切实可行的范围内加以补救.
每个业务单位都按照结算机构操作风险管理框架实施操作风险管理计划和相关要素.
确定如何处理这些风险, 管理层定期进行操作风险评估, 其中包括对存业务功能的全面分析,以及这些风险类别如何影响业务运营. 收集到的数据为组织的业务规划提供了信息,并有助于指导有关可能进一步降低风险或重新调整风险承受能力的额外投资需求的决策. 此外, 加强目前的风险框架, 存具有流程,使企业能够识别和考虑可能对存业务产生重大影响的未来场景,这些场景可能会威胁到业务/组织的日常生存能力. 这些活动允许组织识别跨企业的关键功能和关键外部依赖关系中的可能漏洞.
在人力资本和人员风险方面, 存根据市场数据和内部公平,明确岗位职责,招聘合格人才,并给予有竞争力的薪酬. 员工可以使用一系列的内部, 支持风险管理能力的在线和外部学习vnsr威尼斯城官网登入和程序, 专业/领导力发展和业务/职能知识. 存定期跟踪自愿离职情况,进行离职面谈,并采取适当措施
采取措施减轻人员流失的影响. 继任和替换计划到位,以解决董事总经理和其他关键职位的关键人员风险.
与供应商合作
业务连续性(BC)关注的是主动和被动措施的治理和实现,这些措施确保企业和业务功能具有持续的弹性和恢复能力, 是否会发生严重事件. This is done through the (i) integration and alignment with the various risk functions throughout the organization and sector; (ii) development of guidance and standards relating to business continuity, crisis 管理 and location; (iii) 监控 compliance; and (iv) promotion of awareness and education. 存的全球业务连续性政策建立了存如何实施和维护控制的要求,以解决定义的威胁, 如果没有其他实现, 是否会对企业运营的连续性造成高度风险. 该策略定义了治理结构, 存 BC流程的高级角色和职责以及框架.
鉴于重大商业破坏性事件的性质和广度, BC将其控件与全局对齐, 区域, 网站, 服务, 业务和支持级别. 业务流程的相对重要性取决于它们为金融部门提供的服务. 部署合理和平衡控制的能力, 以及分诊恢复工作, 是基于这种相对重要性. BC计划使存能够评估中断的影响, 组织沟通和决策, 有效、高效地协调公司的响应工作.
全球安全管理利用全面的安全评估方法作为旨在开发和维护一致的整体计划的一部分, 结构化和集成的识别方法, 监控, 管理和报告整个组织的物理站点和位置的安全风险.
这个过程由几个部分组成, which include (i) a Security Vulnerability Assessment checklist which is risk-specific and facilitates the analysis and 报告 of risk information using a common language; and (ii) quantitative information, 包括内部盗窃事件和安全漏洞, 区域威胁分析(从联邦和地方的角度)和当地犯罪统计,以确定当前安全控制结构的有效性.
没有一个相关的国际组织, 国家或行业级别的物理安全标准,可单独作为指导. 因此,从一些适用的vns6060威尼斯城官网中选取指导.
以及其他金融行业组织, 存是关键基础设施保护和国土安全vnsr威尼斯城官网登入部门协调委员会(FSCC)的积极参与者, 这是一个私营部门组织,负责与美国政府进行交流.S. 财政部和金融银行信息基础设施委员会vns6060威尼斯城官网基础设施保护问题. FSSCC致力于协调vnsr威尼斯城官网登入行业的举措,以保护关键的vnsr威尼斯城官网登入基础设施. 目标是确保这些努力集中在互补的目标上,并有助于实现整个行业弹性的最高水平.
存员工积极参与全行业业务连续性测试. 其中包括FEMA流行病,网络安全和备份站点测试.
存是该分析的成员 & 系统风险恢复中心(ARC). ARC是一个跨部门组织,旨在减轻现有和新出现的威胁对国家最关键基础设施的系统性风险.
存也是避风港湾的成员. 庇护港是一项自愿的行业倡议,由美国政府发起.S. 增强vnsr威尼斯城官网登入业的弹性, 并为消费者账户信息提供额外的保护. 它的目标是扩展行业的能力,以便在失去操作能力的情况下安全地保存和恢复帐户数据.