《客户信息保护标准》(亦称16 CFR Part 314)是由美国联邦贸易委员会(FTC)颁布的法规,旨在落实《格雷姆-里奇-比利雷法案》(GLBA)的核心条款。该法规明确了金融机构为保障客户非公开个人信息(NPI)的安全性、保密性和完整性所应遵循的标准。
由于法律要求服务提供商或关联方(如第三方)必须实施保护客户数据的信息安全计划,第三方风险管理团队应了解《保障规则》的条款内容,并做好报告其控制措施的准备。
本文探讨了《格雷姆-里奇-比利雷法案》安全保障规则的核心条款,并提出最佳实践建议,以确保第三方服务提供商能够维护贵组织客户数据的安全性、保密性和完整性。
《格雷姆-里奇-比利雷法案》保障规则与第三方风险管理
《格雷姆-里奇-比利雷法案》保障规则适用于联邦贸易委员会管辖下的所有金融机构。该规则旨在确保这些机构建立健全的客户信息保护体系。根据规则要求,金融机构必须制定、实施并持续维护全面的书面信息安全计划。 该计划须与机构规模、业务复杂度及所处理敏感客户信息的级别相匹配。此外,金融机构必须指定一名或多名员工负责协调信息安全计划,包括与第三方服务提供商的合作事宜。未达标者将面临处罚及整改措施。
总体而言,《保障规则》要求信息安全计划包含以下要素:
风险评估
金融机构必须在其业务的每个相关领域识别并评估客户信息所面临的风险
。它们必须评估现有安全措施在控制这些风险方面的有效性。
保障措施的设计与实施
根据风险评估结果,金融机构必须设计并实施保障措施以控制已识别的风险。这些保障措施应定期进行测试和监控,以确保其有效性。
监督服务提供商
金融机构必须采取合理措施,确保其服务提供商(例如第三方)对客户信息实施适当的保护措施。这包括通过合同要求服务提供商实施并维持此类保护措施。
调整计划
信息安全计划应根据持续风险评估、监控结果以及机构业务运营或结构的变化进行调整。
保障规则中的关键第三方风险管理条款
根据第314.3条规定,金融机构必须"制定、实施并维持一套全面的信息安全计划,该计划应以一种或多种易于获取的形式编写,并包含符合贵机构规模与复杂程度、业务性质与范围以及所涉客户信息敏感程度的行政、技术和物理防护措施。"
该计划的目标是:
- 确保客户信息的安全性与保密性;
- 防范任何可能危及该信息安全或完整性的预期威胁或危害;以及
- 防止未经授权访问或使用此类信息,以免对任何客户造成重大损害或不便。
下表分析了《保障规则》中与第三方服务提供商相关的关键条款,并提出了满足这些要求的最佳实践方案。
注:本表包含第314.4节的部分条款。如需全面了解相关要求,请与内部审计团队或外部审计师共同查阅完整的保障规则。
| 16 CFR 第 314 部分 客户信息保护标准 | |
|---|---|
| 保障规则 | 最佳做法 |
| (f) 通过以下方式监督服务提供商: | |
| (1)采取合理措施选择并保留能够对相关客户信息实施适当保护的服务提供商; | 集中化并自动化以下流程的分发、比较与管理: 提案请求书(RFP)和信息请求书(RFI). 评估潜在第三方服务提供商的风险——包括业务风险、运营风险、声誉风险、财务风险及既往数据泄露事件——为第三方选择决策提供依据并补充背景信息,确保所选服务提供商不仅满足技术要求,同时符合可接受的风险阈值。 随后,综合第三方风险管理(TPRM)平台将自动将选定的第三方纳入合同阶段,并启动进一步的尽职调查。 |
| (2)通过合同要求您的服务提供商实施并维持此类保护措施; | 集中管理文件的分发、讨论、归档与审核 第三方服务提供商合同 确保关键合同条款在第三方生命周期内得到纳入并执行。 合同生命周期管理解决方案的关键功能应包括: * 集中管理所有合同及其属性(如类型、关键日期、金额、提醒事项和状态),并提供基于角色的自定义视图。 与上述第(1)项一样,Prevalent 包含自动工作流程,可根据情况将签约供应商转入进一步的尽职调查步骤。 |
| (3)定期评估服务提供商,依据其带来的风险及其安全措施的持续有效性进行评估。 | 寻找一款解决方案,它拥有大量预制模板库,用于 第三方风险评估评估应在供应商入职时、合同续签时或根据合作关系中的重大变化,按要求频率(例如每季度或每年)进行。 关键数据安全与隐私评估能力应包括:* 定期评估与关系映射,以揭示个人数据的存在位置、共享范围及访问权限——所有信息均汇总于风险登记册中,重点标注关键风险暴露点。 * 隐私影响评估,用于发现存在风险的业务数据和个人身份信息(PII)。 * 风险与应对措施对照控制项的映射。包含合规率评分及针对特定利益相关方的报告。评估工作应集中管理并依托工作流支持;配备任务管理与自动化证据审查功能,确保团队在整个合作关系生命周期内清晰掌握第三方风险状况。 重要的是,TPRM 解决方案应包括基于风险评估结果的内置补救建议,以确保您的第三方及时、令人满意地处理风险,并能向审计人员提供适当的证据。 在此过程中,需持续追踪并分析针对第三方机构的外部威胁。密切监控互联网及暗网中的网络威胁与漏洞,同时关注公共及私有渠道中涉及声誉、制裁及财务信息的各类数据源。 所有监控数据均应与评估结果相关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应措施。 |
普瑞维兰如何助力满足《格雷姆-里奇-比利雷法案》保障规则要求
普瑞兰第三方风险管理(TPRM)平台通过自动化处理关键任务,针对第三方服务提供商的安全性、隐私性及其他重大风险进行评估、监控与管理。该平台使第三方风险团队能够集中实现:
- 通过内置的风险洞察和评分功能,实现第三方服务供应商的自动化采购、筛选和入职流程。
- 根据固有风险和残余风险的风险状况、层级及评分,依据关键程度准确划分第三方服务提供商类别,并制定额外尽职调查要求。
- 通过内置人工智能驱动的自动问卷填写、工作流、任务和证据管理以及整改建议功能,利用覆盖多个风险领域的750余种风险评估模板,对第三方服务提供商进行评估。
- 持续监控第三方服务提供商的网络安全风险、业务风险、声誉风险及财务风险,据此验证控制措施是否符合评估结果,并在常规评估间隙填补风险防控缺口。
- 运用人工智能和机器学习分析技术,处理复杂的监管报告要求,实现多来源数据的标准化处理与关联分析。
该法规对于维护金融机构与其客户之间的信任至关重要,它确保个人和财务信息得到充分保护,免受未经授权的访问和泄露。鉴于61%的企业报告称去年曾遭遇第三方数据泄露或安全事件,金融机构必须采取充分预防措施,确保第三方服务提供商妥善保护客户数据。
若需进一步了解Prevalent如何助您理解《格雷姆-里奇-比利雷法案》安全保障规则中第三方服务提供商的要求,请立即申请演示。
编者按:本文最初发表于Prevalent.net。2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
