【下载】美联邦金融机构检查委员会发布金融网络安全评估工具

联邦金融机构检查委员会 (FFIEC)，发出一份网络安全评估工具，该工具用于评估银行业金融机构来所面临的风险，以及其网络安全的就绪情况。FFIEC是美国五个主要的银行业监管机构。

FFIEC代表其成员发出网络安全评估工具 （评估），以便各金融机构可以使用它来评估其风险和网络安全防范水平。美国货币监理署将其逐步纳入国家银行、 联邦储蓄协会和联邦部门和机构 （集体，银行） 的所有大小考试评估。

FFIEC是做什么的

FFIEC，全称Federal Final InstitutionsExamination Council (FFIEC) 美国联邦金融机构检查委员会，成立于 1979 年 3 月 10 日，该机构成立依据金融机构监管和 1978 年 (FIRA)第十部分，公法 95年 630 利率控制法。1989 年，依据1989 年 (FIRREA) 》 第十一部分金融机构改革、 恢复和执法行为，在安理会内部建立评价小组委员会 (ASC) 的考试。

美国联邦金融机构检查委员会 (the Federal Financial Institutions Examination Council's (FFIEC)) 是美国金融业的协调机关，其主要职责是协助以下各监管机构遵守统一的监管原则及执行统一的标准：

1. 美国联邦储备局 (FRB, Federal Reserve Board) - 负责监管州成员银行 ( 属联储局成员的州法银行；州法银行是依照各州法律登记的银行 ) 、银行控股公司及其子公司、海外金融机构，及联储局特许国际银行公司。除了监管金融机构以外，联储局也有制定财政政策的重要职务。
2. 美国联邦存款保险公司 (FDIC, Federal Deposit Insurance Corporation) - 负责监管州非成员银行（不属于联储局的州法银行），及具存款保险的海外银行。同时，该公司也是提供存款保障的机构，为存户在银行倒闭时，提供最高 $100000 美元的存款保障。
3. 美国信用合作社管理局 (NCUA, National Credit Union Administration) - 负责监管信用合作社（信用合作社是非牟利的金融机构，由合作社成员成立及经营）。
4. 美国财政部金融局 (OCC, Office of the Comptroller of the Currency) - 负责监管国法银行（依照联邦法律登记的银行）、联邦注册银行及海外银行的代理公司。
5. 美国储蓄机构监理局 (OTS, Office of Thrift Supervision) - 负责监管储蓄银行、储蓄及借贷协会。

网络安全评估工具

针对传统的增多和复杂的网络威胁，联邦金融机构检查委员会 (FFIEC) 研制网络安全评估工具 （评估），以帮助机构识别其风险并确定其网络安全防备。评估提供一个可重复的、 可衡量的过程，为金融机构，随着时间的推移衡量其网络安全防备。

以下资源可以帮助管理和金融机构负责人了解监督的期望、 增加对网络安全风险的认识和评估和减轻其机构面临的风险。

Process Flow for Institutions:

1. Step 1: Read Overview for Chief Executive Officers and Boards of Directors to gain insights on the benefits to institutions of using the Assessment, the roles of the CEO and Board of Directors, a high-level explanation of the Assessment, and how to support implementation of the Assessment.
2. Step 2: Read the User's Guide to understand all of the different aspects of the Assessment, how the inherent risk profile and cybersecurity maturity relate, and the process for conducting the Assessment.
3. Step 3: Complete Part 1: Inherent Risk Profile of the Cybersecurity Assessment Tool to understand how each activity, service, and product contribute to the institution’s inherent risk and determine the institution’s overall inherent risk profile and whether a specific category poses additional risk.
4. Step 4: Complete Part 2: Cybersecurity Maturity of the Cybersecurity Assessment Tool to determine the institution’s cybersecurity maturity levels across each of the five domains.
5. Step 5: Interpret and Analyze Assessment Results to understand whether the institution’s inherent risk profile is appropriate in relation to its cybersecurity maturity and whether specific areas are not aligned. If management determines that the institution’s maturity levels are not appropriate in relation to the inherent risk profile, management should consider reducing inherent risk or developing a strategy to improve the maturity levels.

网络安全评估工具可以帮助银行评估其网络安全成熟度

评估可以帮助银行和考官确定一家银行的固有风险配置文件和网络安全防范水平。审查结果，将会确定银行网络安全成熟度级别是否与银行的固有风险配置文件相匹配。除了评估之外， FFIEC 也开放了一些可用的资源，包括执行概述、 用户指南、 解释的评估，一份附录，以便对照评估基准项目 FFIEC 信息技术 (IT) 考试手册和美国国家标准和技术的在线演示 (NIST) 网络安全框架。

评估、 固有风险配置文件和网络安全成熟的两个部分阐述如下︰

1. 固有风险简介 ︰ 第一部分标识向一家银行给出的方法、 数量和银行技术、 供货渠道、 产品和服务、 组织特征和其他外来威胁的复杂性的内在风险。此外评估了该银行的风险减轻控件。
2. 网络安全成熟 ︰ 银行的成熟时，网络安全是在多个域，每个都有五个成熟度包括基线，不断发展、 创新、 中间、 先进分等级进行评价。银行网络安全成熟本质上取决于其风险配置文件。

网络安全评估工具下载

点击图片下载全文（123页）