GLBA 和第三方风险管理
客户信息保护标准》又称16 CFR Part 314,是美国联邦贸易委员会 (FTC) 颁布的一项法规,旨在落实《格拉姆-里奇-比利雷法案》(GLBA) 中引入的关键条款。该法规概述了金融机构为保护客户非公开个人信息 (NPI) 的安全性、保密性和完整性而必须遵守的标准。
由于法律要求服务提供商或关联公司(如第三方)维护保护客户数据的信息安全计划,第三方风险管理团队应了解《保障规则》中的规定,并准备好报告其控制措施。
相关要求
-
识别和评估每个业务领域的客户信息风险。
-
确保服务提供商(如第三方)对客户信息采取适当的保护措施;通过合同要求服务提供商实施并维护保护措施。
-
设计和实施保障措施,控制已识别的风险;定期测试和监测保障措施。
-
根据持续的风险评估、监控结果以及运营或结构的变化,对计划进行调整。
满足 GLBA TPRM 要求
下表审查了《保障规则》中与第三方服务提供商相关的关键条款,并映射了Prevalent 第三方风险管理平台中满足这些要求的功能。
注:本表包括 GLBA 314.4 节中的部分规定。如需全面了解各项要求,请与您的内部审计团队或外部审计师一起查阅完整的《保障规则》。
| 16 CFR 第 314 部分 客户信息保护标准 |
|---|
| 保障规则 | 普遍能力 |
|---|---|
| (f) 通过以下方式监督服务提供商: | |
| (1)采取合理措施,选择并留住能够对相关客户信息采取适当保护措施的服务提供商; |
Prevalent 可集中并自动分发、比较和管理招标书(RFP)和信息索取书(RFI)。 有了这项功能,您就可以检查潜在第三方服务提供商的风险,包括业务、运营、声誉、财务和以往的数据泄露事件,从而为第三方选择决策提供信息并增加背景信息,并确保所选服务提供商不仅符合技术要求,还符合可接受的风险阈值。 然后,Prevalent 会自动将选定的第三方转入合同短语,以启动进一步的尽职调查。 |
| (2)通过合同要求您的服务提供商实施并维护此类保障措施; |
Prevalent 对第三方服务提供商合同的分发、讨论、保留和审查进行集中管理,以确保在整个第三方生命周期中包含并执行关键的合同条款。 主要功能包括
与上述第(1)项一样,Prevalent 包含自动工作流程,可根据情况将签约供应商转入进一步的尽职调查步骤。 |
| (3)根据服务提供商带来的风险及其保障措施的持续充分性,定期对其进行评估。 | Prevalent TPRM 平台拥有一个庞大的预建模板库,可用于 第三方风险评估.评估可在入职时、续约时进行,也可根据关系中的重大变化以任何规定的频率(如每季度或每年)进行。 平台的主要数据安全和隐私评估功能包括
评估由工作流程、任务管理和自动证据审查功能集中管理和支持,以确保您的团队在整个关系生命周期内都能了解第三方风险。 重要的是,Prevalent 包括基于风险评估结果的内置补救建议,以确保您的第三方及时、满意地处理风险,并向审计人员提供适当的证据。 作为这一过程的一部分,普瑞凡特持续跟踪和分析第三方面临的外部威胁。Prevalent 监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。 所有监测数据都与评估结果相关联,并集中在每个供应商的统一风险登记册中,从而简化了风险审查、报告和应对措施。 |
