GFMA发布了网络安全渗透测试框架的关键原则

全球金融市场协会（GFMA）发布了一系列原则，以指导开发公认的网络安全渗透测试框架。

GFMA的目标是鼓励行业与监管机构之间进行对话并分享见解，从而在渗透测试的监管使用方面采取全球协调的方法。具体而言，GFMA旨在促进采用多监管机构认可的方法，使监管机构能够推动一致的监管目标，并允许公司在最大程度降低风险的同时最大程度地利用已批准的渗透测试的效用和洞察力。

渗透测试是为金融机构启用强大的安全程序的最重要工具之一。通过这种测试，公司可以评估其系统和保护它们的控制措施，以识别和补救漏洞，从而增强其基础设施以抵御网络威胁。

显然，渗透测试的使用增加为监管人员和金融机构带来了好处，这是网络防范的一部分。但是，这也会导致必须考虑的风险。

多个监管框架可能会导致不必要的敏感信息重复，从而使金融公司，其客户和其他下游第三方面临不可知的风险。

当监管机构缩小测试人员和测试方法的选择范围时，对测试的了解就会减少。

日益增长的法规要求要求测试团队花费更多的时间来满足要求，从而降低效率提高，而这可以更好地用于提高行业，业务合作伙伴，供应链和运营控制的安全性。

多个监管框架可能导致报告不一致，并且由于缺乏可比性而无法对行业进行可靠的评估。

生产中关键系统的渗透测试具有破坏公司运营的巨大潜力，而创建多个“一刀切”的渗透测试框架对中型和小型金融机构的影响尤其严重。


全球许多司法管辖区已经在其监管体系中利用渗透测试。GFMA提案的目标不是与现有框架竞争，而是协调其框架和使用，以确保金融机构能够安全，安全和有效地遵守其监管要求。GFMA渗透测试框架也与G-7提出的有关机构如何进行有效的网络安全评估，推广安全有效的测试方法的更广泛建议保持一致。

该行业需要建立灵活的协调框架，以有意义且有效的方式执行现实而严格的渗透测试。

GFMA首席执行官兼首席执行官马克·奥斯丁说：“全球渗透测试协调框架的开发可以满足监管机构和金融业的各自需求，从而使世界金融市场和经济持续增长并充满信心。” ASIFMA的官员。“我们希望这些原则为公共部门和私营部门之间的持续对话和参与打下基础，并期待监管者的参与。业界仍然认为，监管协调对于有效的网络安全至关重要。”

作为该过程的第一步，该行业建议就由现有的已确定的自愿性国际行业共识标准机构发起的独立治理和保证标准达成共识；确定资格标准，以严格认证个人评估者，评估者团队和评估者组织，所有这些资源对于内部资源和第三方供应商都是平等的；确定所有相关评估方法的技术交付，证据收集和报告的质量标准，以确保将其执行到适当的水平。