您当前的位置:   首页 > 信息安全合规性
美国纽约州:NYDFS网络安全监管
发布时间:2019-07-30 09:20:46   阅读次数:

美国纽约州:NYDFS网络安全监管(图1)

纽约州对金融服务公司合规性的网络安全要求

《纽约州金融服务公司网络安全要求》(23 NYCRR第500部分)于2017年3月1日生效。相关实体“将被要求每年编制一份符合纽约州金融服务部网络安全条例的证明并提交给监督人。”


关键日期是:

  • 2017年3月1日 - 23 NYCRR Part 500生效。

  • 2017年8月28日 - 180天过渡期结束。除非另有说明,否则涵盖实体必须符合23 NYCRR Part 500的要求。

  • 2018年2月15日 - 涵盖实体必须在此日期或之前提交23 NYCRR 500.17(b)下的第一个认证。

  • 2018年3月1日 - 一年过渡期结束。承保实体必须符合NYCRR第500部分第500.05(b),500.05,500.09,500.12和500.14(b)节的要求。

  • 2018年9月3日 - 十八个月的过渡期结束。承保实体必须符合NYCRR第500部分第500.06,500.08,500.13,500.14(a)和500.15条的要求。[这是对授权用户的加密和监控生效的地方。]

  • 2019年3月1日 - 两年过渡期结束。承保实体必须符合23 NYCRR 500.11的要求。


揽阁信息可以为您提供满足这些要求所需的许多解决方案。


监管摘要

纽约州金融服务部网络安全要求金融服务公司监管:

旨在促进对受监管实体的客户信息以及信息技术系统的保护。该法规要求每家公司评估其特定的风险状况,并设计一个以强有力的方式解决其风险的计划。高级管理层必须认真对待此问题,并对组织的网络安全计划负责,并提交年度认证,确认符合这些法规。受监管实体的网络安全计划必须确保机构的安全性和健全性并保护其客户。

对于尚未这样做的所有受监管机构而言,迅速采取网络安全计划以及所有受监管实体在其计划方面遵守最低标准至关重要。网络事件的数量一直在稳步增加,对我们金融服务行业潜在风险的估计非常明显。通过这些条例中概述的计划是纽约州的优先事项。


我们摘录了23个NYCRR Part 500的特定部分,揽阁信息可以帮助您的组织遵守这些部分:

第500.06条审计跟踪

每个被覆盖的实体应包括......旨在检测和响应网络安全事件的审计跟踪,这些事件有可能严重损害涵盖实体正常运营的任何重要部分。


第500.07条访问权限

作为其网络安全计划的一部分,基于涵盖实体的风险评估,每个涵盖实体应限制对提供非公开信息访问的信息系统的用户访问权限,并应定期审查此类访问权限。


第500.08节应用程序安全性

每个涵盖实体的网络安全计划应包括书面程序,指南和标准,旨在确保涵盖实体使用的内部开发应用程序使用安全开发实践,以及评估,评估或测试外部开发应用程序的安全性的程序。涵盖实体技术环境中的涵盖实体。


第500.11节第三方服务提供商安全政策

每个涵盖实体应实施书面政策和程序,以确保第三方服务提供商可访问或持有的信息系统和非公开信息的安全性。


第500.14节培训和监督

作为其网络安全计划的一部分,每个涵盖实体应......实施基于风险的政策,程序和控制,旨在监控授权用户的活动,并检测此类授权用户未经授权访问或使用或篡改非公开信息.......


第500.15节“非公开信息加密”

作为其网络安全计划的一部分,基于其风险评估,每个涵盖实体应实施控制,包括加密,以保护涵盖实体在外部网络和静止时传输的非公开信息。


相关参考:

https://www.governor.ny.gov/sites/governor.ny.gov/files/atoms/files/Cybersecurity_Requirements_Financial_Services_23NYCRR500.pdf


为更好的服务中国客户走出国门,揽阁信息专门整理全球各国各地区的信息安全合规性要求。

欢迎您与揽阁信息联系并沟通,获取更多满足合规要求的信息安全产品与解决方案。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609