NYDFS网络安全条例

NYDFS网络安全法规的目标是什么?

NYDFS发布了最终结果 网络安全法规(23 NYCRR Part 500) 为了应对日益复杂的网络犯罪和日益不稳定的局面 网络安全 美国金融机构面临的环境. 该法规的目标是确保敏感客户数据的保护，并促进受监管实体的信息技术系统的完整性.

该法规要求受监管实体评估其网络安全风险概况，并实施一项识别和减轻风险的综合计划. 已经制定了某些最低监管标准，以帮助组织防止数据泄露, 包括:

• 信息技术系统基于风险的最低标准, 包括数据保护和加密, 访问控制, 渗透测试.
• 项目有充足资金的要求, 由首席信息安全官(可以包括第三方服务提供商)监督, 并由合格的网络安全人员实施.
• 有效的 事件响应计划 这包括保存数据以应对数据泄露，并及时向NYDFS通知重大事件.
• 通过识别和记录缺陷提供责任, 补救计划, 以及每年一次的合规认证.

最终规则的变更

你可能已经熟悉了最初提出的监管规则, 但重要的是要注意，最终的规定包括一些重要的变化, 包括:

• 审计跟踪-数据保留要求从5年减少到3年.
• 请注意-受保实体关于第三方服务提供商提供的通知的政策和程序仅影响受保实体由该第三方服务提供商持有的非公开信息.
• 报告-澄清受保实体何时必须向NYDFS提供网络安全事件通知.
• 豁免-有限豁免现在包括承保实体在纽约的附属公司的年总收入和雇员人数.
• 保险-澄清受纽约保险法管制的公司的豁免规则.

NYDFS网络安全法规对谁有影响?

NYDFS网络安全条例涵盖了由金融服务部监管的任何组织. 这包括:

• 特许银行
• 特许银行
• 信托公司
• 服务合同提供者
• 私人银行家
• 抵押贷款公司
• 在纽约做生意的保险公司
• 班.S. 获准在纽约经营的银行

该规例为下列组织提供豁免:

• 10人以下
• 三年的年总收入低于500万美元，或者
• 年底总资产不到1000万美元

企业如何变得合规?

时钟开始滴答作响 网络安全法规23 NYCRR Part 500 自2017年3月1日起生效. 仅在第一年就有多个里程碑和最后期限要达到, 希望变得合规的组织将需要密切关注日历.

受保护的实体必须在8月28日之前符合该法规的某些部分, 2017, 并且必须在2月15日之前向NYDFS主管办公室提交第一份合规证明, 2018.  

下文根据最后期限概述了实现合规的重要步骤.

重要的日子

2017年3月1日 -最终23 NYCRR第500部分的生效日期. 2017年8月28日 - 180天标志:除非另有说明，否则受监管实体必须符合23 NYCRR第500部分.

为达到并保持合规性，在此日期之前，承保实体必须:

• 建立有效的网络安全计划——第500条.02
• 创建并维护书面网络安全政策——第500部分.03
• 指定一名首席信息安全官(CISO)——第500条.04
• 雇用合格的网络安全人员或利用第三方提供商-第500条.10
• 建立事件响应计划-第500条.16

2018年2月15日 -承保实体必须根据23 NYCRR 500提交其第一份合规证明.17(b)在此日期或之前. 2018年3月1日 -一年标志. 为了遵守规定，在此日期之前，各组织必须:

• 报告:首席信息安全官必须提交网络安全报告-第500条.04(b)
• 定期进行渗透测试及漏洞管理-第500条.05
• 进行两年一次的风险评估-第500条.09

2018年9月3日 – 1.5年马克. 在此日期之前，承保实体必须证明他们已经:

• 保持审计跟踪500.06
• 实现的应用程序安全协议- 500.08

实现和维护 网络安全合规 这是一个复杂的过程，但并不一定是一个困难或有压力的过程. 有一些资源可以帮助你采取积极主动的行动, 数据驱动的全面网络安全方法可以帮助您的组织完全遵守法规，保护您的业务有价值的数据并保护客户的敏感信息.

阅读更多有关法规 & 合规

遵从性:来自博客的最新消息