raybet炉石传说

DOL计划发起人网络安全指南

当涉及到为员工提供退休计划时,遵守劳工部(DOL)的指导是你所承担的最重要的责任之一。

事实上,在最近的一项调查中,Morgan Stanley raybet炉石传说at Work发现,93%的计划发起人选择与财务顾问合作,专门帮助计划合规和监管监督。1

能源部最近公布了有关合格退休计划网络安全实践的指导意见。DOL指出,合格的退休计划是网络攻击者的主要目标:据估计,大约有1.4亿人参与了erisa管理的退休计划,持有资产约9.3万亿美元。此外,退休计划保留了大量高度敏感的个人和财务数据。(想想:社保号码、就业信息和家庭地址。)

因此,如果没有足够的保护和协议,参与者和资产可能会面临网络安全威胁的风险。DOL的指南为计划发起人、计划受托人、服务提供商和计划参与者提供了在退休计划框架内保持谨慎的网络安全计划的最佳实践。DOL特别强调,计划受托人应审查该指南,并强烈考虑实施该指南,以评估和加强其当前的网络安全基础设施。

说到网络安全,如果你还没有,现在是时候开始实施信息安全保护、协议,并为潜在的DOL实施做好准备了。

在本文中,我们将对指南进行解码,并帮助计划发起人了解要保护您的公司和员工免受网络罪犯的侵害,最重要的是要实施什么。

美国能源部的网络安全指南分为三个部分:

  1. 计划发起人在雇佣具有强大网络安全政策和程序的服务提供商时应考虑的提示
  2. 服务提供商的网络安全最佳实践
  3. 计划参与者可以采取措施减少欺诈风险和退休账户的损失。

计划保荐人(即计划受托人)

根据ERISA,计划发起人有受托义务谨慎地选择和监督计划的服务提供商。美国劳工部网络安全指南的第一部分阐述了如何评估服务提供商的网络安全实践,以有效地履行这一信托义务。指南建议计划受托人仔细审查服务提供商的安全标准,并将其与公认的行业标准和框架进行比较。它鼓励计划发起人与当前或未来的服务提供商进行对话,讨论他们的安全政策和程序、任何审计结果、过去的安全漏洞,以及服务提供商是否有网络安全或身份盗窃保险。

此外,DOL强烈建议计划受托人在与服务提供商的协议中纳入各种与网络安全相关的条款。合同应包括要求持续遵守适用的网络安全和信息安全标准的条款,不应包括限制服务提供商对安全漏洞责任的条款。受托人还应设法包括以下条款:

  • 年度第三方审计,以确定政策和程序的遵守情况,计划受托人保留审查审计结果的权利
  • 保密和对信息使用和共享的明确规定,包括对此类信息使用的明确限制
  • 数据泄露的通知,以及在发生泄露的情况下,服务提供商的合作,以调查和合理解决泄露的原因
  • 遵守记录保留和销毁、隐私和信息安全法律
  • 保险范围包括职业责任和错误遗漏责任保险、网络责任和隐私泄露保险,以及保真债券/全面犯罪保险

计划发起人应该与他们的法律顾问讨论这些问题。

服务提供商

DOL指南的第二部分为服务提供商提供了最佳实践,以确保他们拥有强大的网络安全基础设施。服务提供商应该有一个正式的、记录良好的网络安全计划,保护他们的IT基础设施和退休数据免受内部和外部威胁。服务提供者应制定正式和有效的政策和程序,要求由第三方审计员进行年度风险评估和审查。DOL指出,对存储在云环境中或由第三方服务提供商管理的资产或数据进行风险评估至关重要。

根据美国国防部的规定,网络安全项目要想有效和问责,就必须由首席信息安全官(CISO)等高级管理人员进行管理。此外,服务提供商用户/雇员应遵守严格的访问控制程序,以确保只有适当的个人有权访问敏感的退休计划信息。这将允许服务提供商确认其活动符合其网络安全计划,并检测到任何未经授权的使用或访问机密数据。劳工部强调,员工往往是组织网络安全最薄弱的环节。为了最大限度地减少人为因素对潜在安全漏洞的影响,服务提供商的网络安全计划应包括对员工的年度网络意识培训。该指南还包括对安全系统开发生命周期计划、业务弹性计划、存储和传输时敏感数据的加密、技术控制(即通过系统硬件、软件或固件中的机制实现的安全解决方案)以及对过去任何网络安全漏洞的适当响应的各种建议。

计划参加者须知

劳工部2021年4月指南的最后一部分为计划参与者和受益人提供了在线管理退休账户时减少欺诈和损失风险的提示。这些网上保安贴士包括:

  • 注册、设置并定期监控在线账户
  • 使用强而独特的密码
  • 使用多因素授权
  • 保持最新的个人联系信息
  • 关闭或删除不使用的帐户
  • 警惕免费Wi-Fi
  • 小心网络钓鱼攻击
  • 使用杀毒软件,使应用程序和软件保持最新
  • 知道如何报告身份盗窃和网络安全事件

计划发起人和受托人应与计划参与者分享这些技巧,并强调参与者在保护其退休福利和个人信息方面的作用。

结论

在过去的一年里,劳工部开始了一项针对退休计划网络安全实践的审计计划,要求计划发起人和计划受托人制定与计划有关的所有网络安全计划政策、程序和指导方针,无论是由计划发起人还是由服务提供商应用。DOL还要求该计划的受托人和服务提供商就其网络安全实践采取的行动提供详细文件。随着网络犯罪的不断发展和增加,到2025年,全球网络犯罪的成本估计将达到10.5万亿美元,同比增长15%,司法部可能会继续努力监督这些行为,并提供进一步的指导和法规。2

raybet炉石传说Morgan Stanley at Work为处于独特金融旅程中的公司和员工提供支持,我们在这里帮助企业充满信心地应对当今的金融服务格局和最新的立法变化。立即联系您的财务顾问,了解更多关于摩根士丹利的网络安全基础设施,以确保您的敏感数据安全。raybet炉石传说

更多的故事

更多的见解

脚注

1叛军和公司调查。(2022)。理财顾问的价值

2https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/

信息披露:

当摩根士丹raybet炉石传说利美邦有限责任公司、其关联公司、摩根士丹利金融顾问和私人财富顾问(统称“摩根士丹利”)就退休或福利福利计划账户、个人退休账户或Coverdell教育储蓄账户(“退休账户”)提供“投资建议”时,摩根士丹利是根据《1974年雇员退休收入保障法案》(经修订的《ERISA》)定义的“受托人”。及/或1986年《国内税收法典》(以下简称“《法典》”),如适用。当摩根斯坦raybet炉石传说利提供投资教育、主动接受订单或不提供“投资建议”时,摩根斯坦利不会被视为ERISA和/或准则下的“受托人”。有关摩根士丹利在退休帐户方面的角色的更多信息,请访问www.mraybet炉石传说organstanley.com/disclosures/dol。税法很复杂,而且容易变化。raybet炉石传说摩根士丹利不提供税务或法律咨询。鼓励个人(a)在建立退休账户之前咨询他们的税务和法律顾问,以及(b)关于任何潜在的税收、ERISA和与退休账户有关的任何投资或其他交易的相关后果。

raybet炉石传说Morgan Stanley at Work服务由Morgan Stanley Smith Barney LLC会员提供SIPC,及其附属公司,均为摩根士丹利的全资附属公司。raybet炉石传说

©2022摩raybet炉石传说根士丹利美邦有限责任公司成员SIPC

CRC # 4944710 (09/2022)

视图信息披露
继续关注我们
披露的信息 的见解 MorganStanley.com
隐私和cookie 使用条款 联系我们 全球办公室 平等就业机会
©2021摩根raybet炉石传说士丹利,版权所有
继续关注我们
披露的信息 的见解 MorganStanley.com
隐私和cookie 使用条款 联系我们
全球办公室
平等就业机会
©2021摩根raybet炉石传说士丹利,版权所有