上周,商品期货交易委员会(CFTC)的工作人员发布了 员工咨询14-21 关于“ Gramm-Leach-Bliley法案安全保障”的主题。 CFTC之前在CFTC法规的第160部分中发布了有关“消费者财务信息的隐私”(2001年4月27日)。 CFTC于2011年7月22日将掉期交易商(SD)和主要掉期参与者(MSP)添加到了第160部分的监管义务中。委员会“此时……认为重要的是概述涵盖的财务建议的最佳做法,这一点很重要。机构”是值得注意的,尤其是考虑到其工作人员负担过重,而这些工作人员专注于其他问题,例如电子或自动交易。它表明网络安全是金融行业中的重要问题,CFTC希望与网络安全相关并积极参与讨论。

如工作人员咨询14-21中所述,其规定反映了 联邦金融机构考试委员会 联邦贸易委员会 证券交易委员会指南草案。 “推荐的最佳做法”包括维护书面信息安全和隐私计划,指定对安全和隐私负有管理责任的员工“是高级管理层或董事会的一部分或直接向其报告”,识别风险并实施保护措施。解决这些风险,培训人员,定期测试诸如访问管理,加密使用以及事件检测和响应之类的控制措施,保留一个独立的团队来定期评估这些控制措施,并定期重新评估该程序。反映其他监管机构日益重视的另外三种做法包括对 第三方服务提供商 包括与安全相关的合同要求,建立违规响应流程并向董事会提供对该计划的年度评估。

CFTC的掉期交易商和中介监督部发布了14-21号员工咨询,将“加强其审计和审查标准,因为它将继续将更多资源集中在GLBA Title V合规性上。”这呼应了金融业监管局(Financial Industry 监管机构 Authority)在2014年1月发布的有关网络安全的针对性考试信中的最新声明,以及SEC宣布将于本月晚些时候就网络安全问题举行圆桌会议的声明。

受“工作人员咨询” 14-21约束的“涵盖实体”(期货交易委员会商人,商品交易顾问,商品池经营者,介绍经纪人,零售外汇交易商,特殊目的公司和特殊服务商)不是面向消费者的,而是金融体系的一部分。对于银行和其他大型金融机构,员工咨询14-21将支持在整个企业范围内维持全面,一致的安全性和隐私标准的目标。其他公司,例如经纪交易商,资产管理公司和保险公司,其安全和隐私事务的监管水平未与国家银行相同,这仅是又一个迹象,表明最终将期望所有金融机构,通过法规或行业惯例来实施和维护信息安全计划的基本要素。在这方面,看到SEC重新发布法规S-P草案以征询公众意见并予以实施就不足为奇了。

对于商品世界中尚未关注个人(或专有)信息安全性的其他人员,《员工咨询》第14-21条除了对CFTC承担其他新的监管职责外,还需要承担其他合规义务。例如,在能源,农业和金属商品贸易行业中,这些行业的主要参与者直到最近才开始注册为SD,MSP或其他注册实体,并且预计不久的将来还会有更多注册实体。除了这些实体最近才有义务履行CFTC的记录保存,报告和其他商业行为义务外,它们现在还可以根据第160部分和员工建议的最佳做法添加与个人(或专有)信息安全相关的法规遵从义务咨询14-21。

虽然工作人员咨询14-21的重点是个人信息,但是建议的做法同样适用于任何金融和商品公司都希望保护的敏感专有信息。过去,一家公司可能会认为实施某种程度的信息安全和隐私保护措施是审慎的做法。现在,他们有望在这些领域受到政府审计。