{ Banner Image }

劳工部发布员工福利和网络安全最佳实践

它的人4月14日,2021年4月,美国劳工部’s (“DOL’s”)员工利益安全管理(“EBSA”)发布其第一次网络安全最佳实践退休计划的指导。 EBSA指导已被高度预期,因为影响员工福利计划的数据违规的频率和成本持续上升。 EBSA指导侧重于计划提案国,计划信托人,记录守护者和计划参与者可以采取的行动。

具体而言,三部分指导提供:(1) 聘请第三方服务提供商的提示,具有强大的网络安全实践, (2) 网络安全计划最佳实践(3) 员工福利计划参与者的在线安全提示.

员工退休收入保障法案(“ERISA”)对服务提供者的选择和监测,对计划信托人提供某些信托职责。最近截至2月2021日,政府问责办公室敦促DOL说明这是一个受托人’责任减轻网络安全风险。特别是,并且首次,EBSA最佳实践指导指导 “[r]肯定计划信托人有义务确保妥善减轻网络安全风险。” 因此,计划信托人应该进行适当的尽职调查,以确认服务提供商遵守审慎的网络安全行为和保护计划参与者的程序’信息,数据和帐户。计划信托人也应该监控供应商’根据持续的基础遵守这些做法。

下面,我们总结了这一指导。

第三方服务提供商

雇用服务提供商可能是一个漫长而艰巨的任务,但减轻网络安全风险的义务意味着这些风险不能被忽视。具体而言,EBSA提供的一些提示包括:

  • 询问供应商如何保护数据;
  • 询问供应商可能经验丰富的以前的数据违规或安全事件;
  • 调查提供者承担的保险水平,这些保险将涵盖由网络安全或身份盗窃违规行为造成的损失–以及这些政策是否将涵盖每个州根据所需通知所需的费用’s laws;
  • 确保使用服务提供商输入的任何合同包括需要持续持续的网络安全和增强的规定。

这些因素将熟悉拥有的企业 实施了一个强大的供应商管理计划,该计划占网络安全问题。许多这些因素将是供应商搜索的一部分。其中一些提示在聘请新供应商的合同审查阶段将是重要的。始终,计划赞助商应采取必要的行动来保护和保护其计划参与者的数据。

网络安全计划最佳实践

EBSA提供的指导包括一个“best practices”概述了有用提示,以确保记录守护者和其他服务提供商正在做出谨慎的决策。 例如,EBSA表明,应由计划提案国采用正式,记录的网络安全计划。网络安全计划和政策旨在保护基础设施和信息在福利计划中。

EBSA推荐的其他步骤包括进行年度风险评估,聘请可靠的第三方审计公司审查系统,明确定义与计划中涉及的个人的角色以及网络安全意识培训等。

参与者的指导

EBSA还提供了针对正在在线访问信息的参与者的指导。该指导提供了减少和避免对个人欺诈或损失风险的一般提示’S退休账户。提供的一些提示包括使用多因素身份验证,常规监视在线帐户,避免使用免费Wi-Fi时访问帐户,并且不再使用的结束帐户。

计划赞助商和信托人应该了解有关在线安全提示的最新指导,并应将其向参与者和员工促进建议。

下一步

我们建议计划赞助商和信因:

  • 建立强大的程序,协议,政策和其他保障措施来保护参与者’数据及其退休账户,
  • 制定谨慎选择和监控其计划服务提供商的过程,以确保他们也维持和遵循强大的网络安全和违反答复程序,以及
  • 在网络安全事件发生之前建立和练习事件响应计划,如果发生事故,请遵循计划,包括联系您的寄养迅速授权书。

许多计划赞助商和信托人以及计划服务提供商已经制定了这些政策和程序,并起草了合同来反映它们。应审查和更新这些政策,程序和协议,或者在尚未到位,以反映EBSA指导。请联系我们寻求帮助。

作者:

类别: 网络安全, 劳动部, 员工福利

泰勒帮助企业和企业主解决,防止福斯特斯威夫特的业务和税务惯例集团的问题。他处理业务形成和交易,税收争议,员工福利和技术相关问题。

查看作者的所有帖子›

Type the following characters: three, five, three, mike

* 表示必填字段。