什么是国家信用合作社管理局？

国家信用合作社管理局 (NCUA)由美国国会于 1970 年成立，是一个独立的联邦机构，负责为联邦保险信用合作社的存款提供保险、保护拥有信用合作社的成员以及特许和监管联邦信用合作社。

NCUA考试计划是什么？

NCUA 的主要职责是识别和评估信用合作社系统的风险、威胁和漏洞；确定此类风险的程度，并通过其检查、监督和执行计划降低不可接受的风险水平。因此，NCUA 要求所有美国联邦保险信用合作社建立安全计划，以解决客户记录和信息的隐私和保护问题。

NCUA的检查计划重点关注对信用合作社系统和股份保险基金构成最高风险的领域。所有联邦保险信用合作社都会定期接受 NCUA 的检查。

什么是NCUA信用合作社信息安全手册？

为了确保遵守适用法律法规以及确保安全稳健，每次检查时都会对信用合作社的信息安全计划进行审查。“信息安全”手册是联邦金融机构检查委员会 (FFIEC) 信息技术检查手册 (IT 手册)不可或缺的一部分，应与 IT 手册中的其他手册一起阅读。本手册为检查员提供指导，并介绍了评估金融机构信息系统安全风险所需的因素。

机构应维持与其运营复杂性相称的有效信息安全计划。信息安全计划应得到董事会和高级管理层的大力支持，促进整个机构业务流程中安全活动和控制的整合，并建立明确的责任制以履行安全责任。

哪些机构受到NCUA监管？

所有信用合作社实体均由国家信用合作社管理局特许和监督。2022 年最近的执法行动处以 450 万至 500 万美元的罚款。

我们如何帮助满足 NCUA 合规要求

可以通过满足 NCUA 信息安全手册中概述的关键风险缓解要求，帮助信用合作社遵守 NCUA 信息安全要求并通过所需的考试。

我们在网络安全的三个关键领域提供全面的网络安全解决方案：应用程序安全、数据安全以及身份和访问管理。

• 应用程序安全

  在云端、本地或混合模式下大规模保护应用程序和 API。我们市场领先的产品套件包括 Web 应用程序防火墙 (WAF)、针对分布式拒绝服务 (DDoS) 和恶意 BOT 攻击的保护、API 安全、安全的内容分发网络 (CDN) 和运行时应用程序自我保护 (RASP)。

  
  

• 数据安全

  使用加密、令牌化和密钥管理，发现和分类混合 IT 中的敏感数据，并在任何地方自动保护这些数据，无论是静态、动态还是使用中。Thales解决方案还可以识别、评估和确定潜在风险的优先级，以进行准确的风险评估，以及识别异常行为，并监控活动以验证合规性，从而使组织能够确定将精力投入到哪些方面的优先顺序。

  
  

• 身份和访问管理

  为客户、员工和合作伙伴提供无缝、安全且值得信赖的应用程序和数字服务访问。我们的解决方案根据内部和外部用户的角色和环境限制其访问权限，并采用精细的访问策略和多重身份验证，帮助确保在正确的时间向正确的用户授予对正确资源的访问权限。

满足NCUA 信息安全手册第 IIC 节合规的关键 – 风险缓解要求

5：资产和信息的清点和分类

• Thales如何提供帮助：

• 识别混合 IT 中存在风险的结构化和非结构化敏感数据。

• 识别当前的合规状态和记录差距。

• 发现并分类所有公共、私有和影子 API 的潜在风险。

• 解决方案：

• 应用程序安全

• API 安全

• 数据安全

• 数据发现和分类

• 数据风险分析

• 漏洞管理

7：用户安全控制和职责划分

• Thales如何提供帮助：

• 根据角色和上下文使用策略限制对系统和数据的访问。

• 根据风险评分应用上下文安全措施。

• 将访问策略和执行集中在一个单一的管理平台中，以应对多个混合环境。

• 为客户提供对公司系统中信息的安全访问。

• 解决方案：

• 身份和访问管理

• 员工访问管理

• 客户身份和访问管理

• 数据安全

• 透明加密

• 数据风险分析

13，b：保护传输中的数据

• Thales如何提供帮助：

• 使用高速加密保护传输中的数据。

• 通过 FIPS 140-2 Level 3、CC、NATO、UC APL 认证

• 解决方案：

• 数据安全

• 高速加密

13，c：适当的电子信息处置程序

• Thales如何提供帮助：

• 在混合 IT 中查找结构化和非结构化受监管数据并确定补救优先级。

• 从 CipherTrust Manager 中删除密钥可以确保安全删除，以数字方式粉碎数据的所有实例。

• 解决方案：

• 数据安全

• 数据发现与分类

• 透明加密

15：员工远程访问

• Thales如何提供帮助：

• 让员工能够安全地远程访问所有公司资源（本地或云端），并提供无缝的用户体验。

• 使用最广泛的硬件和软件方法启用 MFA。

• 构建和部署自适应身份验证策略。

• 解决方案：

• 身份和访问管理

• 员工访问管理

• 多因素身份验证

• 基于风险的身份验证

16：客户远程访问

• Thales如何提供帮助：

• 为客户提供安全访问和无缝体验。

• 使用最广泛的硬件和软件方法启用 MFA。

• 让客户能够通过同意和隐私管理来管理数据隐私。

• 解决方案：

• 身份和访问管理

• 客户身份和访问管理

• 多因素身份验证

• 同意和隐私管理

17：应用程序安全

• Thales 如何提供帮助：

• 保护应用程序免受运行时攻击，同时与 CI/CD 管道中的工具集成。

• 使用 Web 应用程序防火墙检测和预防网络威胁，确保无缝操作和安心。

• 保护关键网络资产免受 DDoS 攻击和恶意机器人的侵害，同时继续允许合法流量。

• 在混合和多云应用程序中部署数据保护控制以保护 DevSecOps。

• 保护和自动化跨 DevOps 工具对机密的访问。

• 通过在线市场轻松访问数据安全解决方案。

• 解决方案：

• 应用程序安全

• 运行时保护

• Web 应用程序防火墙

• DDoS 保护

• 机器人保护

• API 保护

• 数据安全

• 社区版

• 机密管理

• DPOD 市场

18：数据库安全

• Thales 如何提供帮助：

• 通过集中密钥管理对数据库中的结构化敏感数据进行透明的列级加密。

• 将数据库中的敏感信息匿名化。

• 解决方案：

• 数据安全

• 透明加密

• Tokenization（令牌化/标记化/数据脱敏）

19：与信息敏感度相称的加密

• Thales 如何提供帮助：

• 在本地、跨云以及大数据或容器环境中加密静态数据。

• 在 FIPS 140-2 Level 3环境中保护加密密钥。

• 通过利用机密计算保护正在使用的数据。

• 获得完整的敏感数据活动可见性，跟踪谁有访问权限，审核他们正在做什么并记录。

• 专为后量子升级而设计的安全产品，以保持加密灵活性。

• 解决方案：

• 数据安全

• 透明加密

• 密钥管理

• 机密管理

• 硬件安全模块

• 高速加密

• 数据活动监控

• 数据治理

20：第三方服务提供商监督

• Thales如何提供帮助：

• 通过维护对保护云中托管数据的加密密钥的本地控制来降低第三方风险。

• 强制分离云提供商管理员和您的组织之间的角色，限制对敏感数据的访问。

• 监控和警报异常以检测和防止不必要的活动破坏供应链活动。

• 启用与供应商、合作伙伴或任何第三方用户的关系管理；明确授权访问权限。

• 通过使用基于关系的细粒度授权来最小化特权。

• 解决方案：

• 数据安全

• 云密钥管理

• 透明加密

• 数据活动监控

• 用户权限管理

• 发现和分类

• 身份和访问管理

• 第三方访问控制

• 委托用户管理

• 外部授权

作为Thales的合作伙伴，揽阁信息与您一同解决合规性要求的各类问题，欢迎联系揽阁信息获取更多信息。

揽阁信息 · 值得您信赖的信息安全顾问！

相关文章：

• 2025年的全球合规趋势
• Thales Luna HSM v7.8.5 获得 eIDAS合规通用标准 EAL4+ 认证
• 遵守澳大利亚 SOCI 法案 - 合规性满足
• 从合规到信心：我们助您顺利满足 ISO/IEC 27001:2022 标准
• 利用企业 PKI 实现合规性成功
• SOC 2 合规指南