在当今不断变化的监管和投资者环境中，信息安全计划对于对冲基金和投资管理公司遵守SEC法规，尽职调查请求和州法律至关重要。在我们最近的网络研讨会中，我们让内部信息安全专家讨论了信息安全计划：它们是什么，为什么重要，以及您的公司可以采取的九个步骤。

什么是信息安全计划，为什么要制定？

信息安全计划可以采用多种形式，但通常是围绕您的信息和数据安全性的策略和过程的集合。一些计划囊括了所有与数据有关的公司政策和程序，而另一些计划则在较高的层次上发挥作用，以使监管者能见度更高。重要的是要注意，有多种方法可以处理和准备公司以应对与网络安全相关的风险和企业的法规要求。制定信息安全计划至关重要，因为这不是是否要解决问题，而是何时才能解决信息安全事件。

制定信息安全计划的九个步骤：

监管审查和概况

所有企业都有要求，并且您的公司需要从监管角度了解必要的条件。需求可能来自国际机构，联邦机构，州，甚至是特定于行业的机构，此外还有来自投资者，审计师和外部合作伙伴的外部压力。

治理监督与责任

组织中的每个人都在信息安全中扮演角色，但是创建一个（CISRT）计算机信息安全响应小组以确保公司内的所有员工都遵循策略可以确保内部合规。

盘点资产

知道您的组织在硬件和软件方面都有什么，可以帮助您确定任何潜在的漏洞。这可以是手动过程，但是有一些软件应用程序和扫描工具可以使过程更容易。

资料分类

除了知道信息在哪里，有权访问，如何存储和传输信息之外，知道哪些数据很重要以及需要​​保护什么数据将有助于您编写策略和过程。

评估可用的安全保护措施

公司需要知道他们当前采用的策略和程序，包括IT供应商可以添加哪些解决方案和控制措施以增强安全性。请注意可以使用哪些保护措施来帮助您执行现有程序。

进行网络风险评估

这将帮助您了解对公司运营，职能，形象，声誉和资产的网络安全风险。这不必过于复杂或强大，您的公司可以从基础开始，随着您的成长而发展。

进行第三方风险评估

每年对关键供应商进行审查对于了解其任何实践或政策是否已发生变化至关重要。有一个清单以确保您正在建立可接受的准则以发送给供应商。

创建事件响应计划

这些计划必须对您的公司和与您的响应息息相关的供应商特别切合实际。创建此计划时，请内部与其他方（例如IT，运营和HR）以及外部（如服务提供商和第三方供应商，客户和监管机构）进行互动。

培训和测试员工

通过培训和测试员工，使员工成为资产而不是威胁。回顾公司内部的角色和职责，并在全年进行培训和测试，可以为人们提供更多的学习机会。

像现在这样没有时间开始制定信息安全计划，并且所有在SEC注册的公司都必须拥有一个。有关更多信息或咨询，请联系Eze Castle Integration。