安全合規，你不可不知的五則新網路安全法

當情況變得糟糕時，立法機構通常會通過法律來加以限制。但在打擊網路安全違規方面，全球各地立法和監管機構顯得很遲緩，難以對當前正在發生的資料洩露和全球化攻擊行動作出反應。過去十多年裡，不斷湧現各種重大安全事件，隨著全球化和對IT系統依賴的增加，這些事件的後果還將繼續擴大。

少數立法機構正在嘗試改進，Trustwave彙總了目前全球範圍最新通過的五則網路安全法，分別來自美國、歐盟、澳大利亞、中國。在不久的將來，這幾項法規將對我們造成切實影響，所有需要安全合規的公司都應該關注一下。

紐約州金融服務部規定

編號：23 NYCRR 500

狀態：今年3月1日生效，企業需在生效後18個月內完全合規

介紹：紐約州為在其境內開展業務的銀行和保險公司（超過10名員工）頒佈的法律規定。作為全球金融樞紐，紐約的這些要求肯定會在美國其它州乃至全球範圍內引發效仿，就像加利福尼亞州首創的SB 1386資料洩露通知規定一樣。

紐約新政要求在監管公司：

指定CISO（可以從第三方僱傭）
定期進行風險評估，包括外部供應商（比如合作律師事務所），這是近期越來越多違規事件的來源之一
巡查安全事件
每年進行一次滲透測試，每兩年進行一次脆弱性評估
確保使用安全開發實踐進行開發
限制非公開資訊的使用者訪問許可權
限制資料留存
制定書面的事件響應計劃
使用合規的安全人員和第三方供應商來管理風險和核心安全功能

歐盟通用資料保護條例/GDPR

編號：Regulation (EU) 2016/679

狀態：2018年5月法定生效

介紹：針對所有在歐盟經營的企業頒佈的資料保護法規。歐盟協調聯盟內28個成員國，以“讓公民重新掌握個人資料，簡化業務監管環境”為目標，最終商議出的成果。該法規針對收集和管理歐盟公民個人資訊的企業作出了明確規定，以保護資訊不被濫用。

2017年網路安全披露法

編號：S. 536

狀態：美國參議院提出

介紹：我們都知道，企業的IT部門很少有懂安全的人，但董事會呢？弗吉尼亞州民主黨參議員馬克·華納提案，建議要求公共公司董事會向證劵交易所說明其成員是否有人擁有安全技能，如果沒有，那麼他們需要說明如何改進這一弱點。據說消費者權益擁護者很贊同這一提案，還有呼籲發生安全事件後應該增加對董事會的問責制度。

2016年隱私修正案（資料洩露通知）

狀態：今年2月澳大利亞議會通過，預計於2018年2月生效

介紹：如果發現敏感資料洩露，公司需要向澳大利亞隱私和資訊官員進行報告，說明嚴重程度並進行披露。

中國的網路安全法

狀態：去年通過，預計今年6月1日開始實施

介紹：以國家安全為由進行關鍵基礎設施保護，但許多國外公司和機構發生爭議聲音，認為可能會加劇網路監管，以及需要將使用者資訊儲存到國內來。