您当前的位置:   首页 > 信息安全合规性
美国:NAIC保险数据安全模型法律合规性要求
发布时间:2019-07-30 14:37:24   阅读次数:

美国:NAIC保险数据安全模型法律合规性(图1)

NAIC保险数据安全模型法律合规性

全国保险专员协会(NAIC)数据安全示范法(示范法)于2017年第四季度通过,要求保险公司和国家保险部门许可的其他实体制定,实施和维护信息安全计划; 调查任何网络安全事件; 并通知州保险专员此类事件。

各国正在努力介绍和通过这项立法,我们的理解是,如果各国在五年内不通过该法,美国财政部将授权制定示范法。


揽阁信息提供了许多符合保险数据安全模型法要求的解决方案。


监管摘要

根据该法第2节:

该法案的目的和意图是为第3节中定义的适用于被许可人的网络安全事件专员的调查和通知制定数据安全标准和标准。


第3节将“被许可人”定义如下:

“被许可人”指根据本州保险法许可,授权经营,注册或要求获得许可,授权或注册的任何人。


第3节还注意到:

“网络安全事件”是指导致未经授权访问,中断或滥用信息系统或存储在此类信息系统中的信息的事件。

如果未经授权获取,发布或使用加密,过程或密钥,则“网络安全事件”一词不包括未经授权获取加密的非公开信息。


我们摘录了示范法的特定部分,揽阁信息可以帮助您的组织遵守:


第4节信息安全计划

D.风险管理

根据风险评估,被许可方应:

(2)确定下列哪些安全措施是否合适并实施此类安全措施。

  • (a)对信息系统进行访问控制,包括对只有授权个人进行身份验证和允许访问的控制措施,以防止未经授权获取非公开信息;

  • ...

  • (d)通过加密或其他适当方式保护所有非公开信息,同时通过外部网络传输,所有非公开信息存储在笔记本电脑或其他便携式计算或存储设备或媒体上;

  • (e)对被许可方使用的内部开发的应用程序采用安全的开发实践......;

  • ...

  • (g)利用有效控制措施,其中可能包括访问非公开信息的任何个人的多因素认证程序;

  • ...

  • (i)在信息安全计划中包括旨在检测和响应网络安全事件的审计线索......;

  • ...

  • (k)制定,实施和维护以任何形式安全处置非公开信息的程序


第5节网络安全事件的调查

如果被许可方得知网络安全事件已经或可能已经发生,被许可方或指定代表被许可方行事的外部供应商和/或服务提供商,应进行及时调查。


为更好的服务中国客户走出国门,揽阁信息专门整理全球各国各地区的信息安全合规性要求。

欢迎您与揽阁信息联系并沟通,获取更多满足合规要求的信息安全产品与解决方案。



揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609