美国纽约州金融服务部颁布新网络安全监管规则
- 来源:金融时报
- 2017/3/3 11:21:5233287
美国纽约州金融服务部颁布新网络安全监管规则
2月28日,美国纽约州金融服务部(DFS)颁布了新的网络安全监管规则,这意味着在纽约运营的主要金融机构迎来了相比过去更为严厉的网络安全防控义务。DFS负责人玛利亚·武克表示,“在这部具有里程碑的规章之下,DFS确信:纽约的消费者能够更加信赖他们的金融机构在保护他们的网络安全和个人信息方面的能力。随着世界网络联系变得更为紧密,企业遭受信息侵犯的现象也在增多。在打击日益增加的网络攻击风险方面,纽约正处在地位。”
从适用范围来看,这部规章适用于所有在纽约运营的具有银行、保险和金融服务牌照的企业。但也有极少数的金融机构能够豁免,例如员工极少或者收入或资产很低的企业。
从生效时间来看,这部规章在2017年3月1日生效。但企业有180天的“缓冲期”:企业可以在这些时间内完成规章所要求的事项和义务,在此之后DFS将强制执行。另外,对于部分新条款,DFS则安排了更长的适应缓冲时间。
总体来看,这部规章涵盖的内容较为广泛,包括对网络书写政策的设置、管理、审计、侦查、防御、测试要求以及突发事件报告等多方面的网络安全事项。
具体而言,首先,企业将需要设置“保持网络安全计划”。这个计划用以保证他们的信息系统“机密、完整以及有效”。计划不仅必须包括发现、防御以及应对系统,还包括常规的报告义务以及渗透测试。同时,企业设计的网络安全计划必须与他们的自身风险管理相一致,这个计划必须对在实际金融交易中企业常规的运行提供安全保障。
其次,这部规章还要求,企业有相关的记录和报告义务。“对于在正常运行中,有理由以及有可能发生了的网络安全事件,无论这个事件是否带来实质性伤害和损失。”法规表示,企业必须将此事报告给DFS。同时,“报告应当尽可能迅速,迟不能晚于事件发生后的72小时。”对于“突发事件”的定义,法规表示,“任何行为或者预备性的行为,无论其成功与否,只要判断该行为是否获得了未经授权的途径,扰乱或者不当使用信息系统或存储在信息系统上的信息。”
再次,企业还须设置强调一系列网络安全事项的政策,内容包括信息安全、数据管理、登陆控制、系统以及网络监控、数据隐匿和突发事件应对等。企业必须有合适的政策和规章用以强化自身或者他们所采用的第三方服务商的网络安全。
此外,企业必须任命一名信息安全执行官,用以监测这些政策的实施和执行情况。信息安全执行官可以由该企业雇佣,也可以来自于其附属企业或者第三方供应商。但是,如果企业网络服务外包的话,企业必须任命一名职员,作为与第三方网络供应商与该企业的联络人。另外,企业必须存在“有资质的网络安全人员”,无论该人员是在企业内部还是在附属企业或者第三方服务商。该网络安全人员需要管理企业的网络安全风险、安排与网络安全计划相一致的各项事务等。
后,新规章表明支持以下行为:编密码和多方位的认证程序的使用;签署“更多安全渠道控制”的条约。另外,企业的董事会以及“官员”必须服从企业制定的网络安全规则。
事实上,DFS这部网络安全新规草案早已面世,在接受公众评议阶段,DFS共收到了150条修改意见。去年12月28日,DFS对这些修改意见作出了回应。与草案相比,终出炉的网络安全监管新规在以下方面出现了变动。首先,将终规章生效的时期延后两个月至2017年3月1日。其次,终的文本在许多方面有所退让。例如,对“非公开信息”的规定更为狭窄;同时,对非公开信息的编密码要求相比建议版也更为宽松。在草案中,DFS曾要求企业对所有环境下的非公开信息进行加密,不管该信息是在非使用期间还是传输期间。但终规章中却免除了这项要求,仅仅要求金融机构根据自身的风险管理,可以(但不是必须)对此进行加密。