常见问题
存的客户网络安全计划是什么?
客户网络安全计划(“计划”)是一项信息风险管理验证工作,旨在确保存系统重要性金融市场效用(SIFMU)服务的成员和参与者使用行业认可的网络安全风险管理框架来治理和管理其网络安全计划.
该计划包括以下存子公司的成员/参与者:
- 存托信托公司
- 固定收益结算公司(FICC)
- 政府证券科(政府统计处)
- 按揭证券科(MBSD)
- 国家证券结算公司
存制定了客户网络安全计划,以确保成员/参与者使用行业认可的网络安全框架来管理其网络安全风险管理计划. 它利用了当前的监管或标准制定机构框架. 它没有设定任何新的控制标准.
金融机构在哪里可以找到规则文件?
每个存市场公用事业批准的SEC规则文件可通过以下链接以PDF格式下载:
直接转矩 (sr - 直接转矩 - 2019 - 008)
FICC (sr - ficc - 2019 - 005)
NSCC (sr - nscc - 2019 - 003)
我的组织是否需要使用网络安全框架?
是的. 直接转矩/FICC/NSCC服务的成员/参与者和新申请人必须证明他们使用了行业认可的网络风险管理框架. 业界认可的架构包括:
- 中国国际广播电台配置文件 – 网络风险研究所简介(前FSSCC简介)
- NIST脑脊液 - 国家标准与技术研究院网络安全框架
- ISO27001/27002 - 国际标准化组织27001/27002
- FFIEC猫 - 联邦金融机构考试委员会网络安全评估工具
- CSC 20 - 关键安全控制前20名
- SOC 2 - 系统和组织控制
- 〇网络安全SOC 网络安全的系统和组织控制
- COBIT - 信息及相关技术控制目标
- OSFI - 金融机构监督办公室网络安全自我评估指南
- JASDEC - 日本证券存托中心. 《vns6060威尼斯城官网》和《vns6060威尼斯城官网》
- 美国金融业监管局- - - - - - FINRA小型公司网络安全清单
- SEC OCIE - 美国.S. 美国证券交易委员会合规检查和考试办公室网络安全检查倡议
各商号应如何通知电讯中心其指定的管制人员?
控制官是一名高级管理人员,负责监督其组织内的网络安全计划.
我们责成贵公司指定合适的控制人员. 控制官员通常是首席信息安全官、董事会成员或安全经理.
要更新您的管制人员信息,请发送电子邮件 (电子邮件保护).
什么是确认表格?
确认表是一份通过DocuSign发送的电子表格,指定的控制官员必须填写并签署该表格,以证明贵公司拥有根据行业已知网络安全框架构建的书面网络安全计划,并定期进行审查,并根据风险评估进行更新, 技术和法规要求.
我们公司正在使用第三方直接与存进行交易. 我们还需要完成网络安全确认吗?
是的. 作为直接转矩的成员/参与者, FICC和/或NSCC, 你的公司必须有自己的书面网络安全计划和政策,以符合美国证券交易委员会的规定.
本公司是一家网络安全服务提供商的会员,并使用网络安全应用程序和软件. 我们还需要书面的网络安全计划吗?
是的. 拥有经风险委员会或董事会批准的书面网络安全计划是SEC规则的要求之一.
我们可以打印、签名、传真或电子邮件确认表格,而不是通过DocuSign签署吗?
存只接受通过DocuSign以数字方式填写并签署的确认表格. 完成后,存批准的形式, 管制人员将收到一份pdf格式的表格.
提交确认表格后是否可以编辑/更新?
成员/参与者将无法编辑或更新已提交的表单. 公司在提交之前应确保表格上的信息完整准确.
如果我对这个项目有任何疑问,我可以联系谁?
您可以联系您的客户关系经理,询问有关该计划或电子邮件的任何问题或疑虑 (电子邮件保护) .