網路安全監管新規紐約金融機構面臨更嚴監管

隨著網際網路科技在金融機構中更廣泛的運用，如何更好地保護金融機構和消費者的網路安全，也日益成為監管者關注的焦點。2月28日，美國紐約州金融服務部（DFS）頒佈了新的網路安全監管規則，這意味著在紐約運營的主要金融機構迎來了相比過去更為嚴厲的網路安全防控義務。DFS負責人瑪利亞·武克表示，“在這部具有里程碑的規章之下，DFS確信：紐約的消費者能夠更加信賴他們的金融機構在保護他們的網路安全和個人資訊方面的能力。隨著世界網路聯絡變得更為緊密，全球企業遭受資訊侵犯的現象也在增多。在打擊日益增加的網路攻擊風險方面，紐約正處在領先地位。”

   從適用範圍來看，這部規章適用於所有在紐約運營的具有銀行、保險和金融服務牌照的企業。但也有極少數的金融機構能夠豁免，例如員工極少或者收入或資產很低的企業。

   從生效時間來看，這部規章在2017年3月1日生效。但企業有180天的“緩衝期”：企業可以在這些時間內完成規章所要求的事項和義務，在此之後DFS將強制執行。另外，對於部分新條款，DFS則安排了更長的適應緩衝時間。

總體來看，這部規章涵蓋的內容較為廣泛，包括對網路書寫政策的設定、管理、審計、偵查、防禦、測試要求以及突發事件報告等多方面的網路安全事項。

具體而言，首先，企業將需要設定“保持網路安全計劃”。這個計劃用以保證他們的資訊系統“機密、完整以及有效”。計劃不僅必須包括發現、防禦以及應對系統，還包括常規的報告義務以及滲透測試。同時，企業設計的網路安全計劃必須與他們的自身風險管理相一致，這個計劃必須對在實際金融交易中企業常規的執行提供安全保障。

   其次，這部規章還要求，企業有相關的記錄和報告義務。“對於在正常執行中，有理由以及有可能發生了的網路安全事件，無論這個事件是否帶來實質性傷害和損失。”法規表示，企業必須將此事報告給DFS。同時，“報告應當儘可能迅速，最遲不能晚於事件發生後的72小時。”對於“突發事件”的定義，法規表示，“任何行為或者預備性的行為，無論其成功與否，只要判斷該行為是否獲得了未經授權的途徑，擾亂或者不當使用資訊系統或儲存在資訊系統上的資訊。”

   再次，企業還須設定強調一系列網路安全事項的政策，內容包括資訊保安、資料管理、登陸控制、系統以及網路監控、資料隱匿和突發事件應對等。企業必須有合適的政策和規章用以強化自身或者他們所採用的第三方服務商的網路安全。

   此外，企業必須任命一名首席資訊保安執行官，用以監測這些政策的實施和執行情況。首席資訊保安執行官可以由該企業僱傭，也可以來自於其附屬企業或者第三方供應商。但是，如果企業網路服務外包的話，企業必須任命一名高階職員，作為與第三方網路供應商與該企業的聯絡人。另外，企業必須存在“有資質的網路安全人員”，無論該人員是在企業內部還是在附屬企業或者第三方服務商。該網路安全人員需要管理企業的網路安全風險、安排與網路安全計劃相一致的各項事務等。

   最後，新規章表明支援以下行為：編密碼和多方位的認證程式的使用；簽署“更多安全渠道控制”的條約。另外，企業的董事會以及“高階官員”必須服從企業制定的網路安全規則。

   事實上，DFS這部網路安全新規草案早已面世，在接受公眾評議階段，DFS共收到了150條修改意見。去年12月28日，DFS對這些修改意見作出了回應。與草案相比，最終出爐的網路安全監管新規在以下方面出現了變動。首先，將最終規章生效的時期延後兩個月至2017年3月1日。其次，最終的文字在許多方面有所退讓。例如，對“非公開資訊”的規定更為狹窄；同時，對非公開資訊的編密碼要求相比建議版也更為寬鬆。在草案中，DFS曾要求企業對所有環境下的非公開資訊進行加密，不管該資訊是在非使用期間還是傳輸期間。但最終規章中卻免除了這項要求，僅僅要求金融機構根據自身的風險管理，可以（但不是必須）對此進行加密。

本文出處：暢享網
本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。