DFS出台网络安全监管新规

本篇文章1520字，读完约4分钟

我们的记者莫莉

随着互联网技术在金融机构中的广泛应用，如何更好地保护金融机构和消费者的网络安全日益成为监管者关注的焦点。2月28日，纽约州金融服务部(dfs)发布了新的网络安全法规，这意味着在纽约运营的主要金融机构面临着比以往更加严格的网络安全防控义务。dfs负责人Maria吴克说:“在这项具有里程碑意义的规定下，dfs确信，纽约的消费者可以相信他们的金融机构有能力更好地保护他们的网络安全和个人信息。”随着全球网络联系的日益紧密，全球企业遭受信息侵权的现象也越来越多。纽约在应对日益增加的网络攻击风险方面处于领先地位。"

从适用范围来看，该条例适用于在纽约经营的所有持有银行、保险和金融服务许可证的企业。然而，可以豁免的金融机构很少，例如雇员很少或收入或资产很低的企业。

从生效时间来看，本规定将于2017年3月1日生效。然而，企业有一个180天的“缓冲期”:企业可以在这段时间内完成法规要求的事项和义务，此后，dfs将强制执行。此外，dfs为一些新条款安排了更长的适应缓冲时间。

一般来说，该法规涵盖了广泛的网络安全问题，包括网络编写策略的设置、管理、审计、调查、防御、测试要求和紧急情况报告。

具体来说，首先，企业需要建立一个“维护网络安全的计划”。该计划用于确保他们的信息系统是“保密的、完整的和有效的”。计划不仅必须包括发现、防御和响应系统，还必须包括常规报告义务和渗透测试。同时，企业设计的网络安全计划必须与自身的风险管理相一致，该计划必须为企业在实际金融交易中的正常运行提供安全保障。

其次，这一规定还要求企业有相关的记录和报告义务。“对于正常运行中合理且可能发生的网络安全事件，无论该事件是否带来实质性的伤害和损失。”根据规定，企业必须向dfs报告此事。同时，“报告应尽可能快，不晚于事件发生后72小时。”对于“紧急情况”的定义，《条例》规定，“任何行为或准备行为，无论成功与否，只需判断该行为是否获得了未经授权的渠道，是否扰乱或不当使用了信息系统或存储在信息系统中的信息。”

第三，企业必须制定强调一系列网络安全问题的政策，包括信息安全、数据管理、登录控制、系统和网络监控、数据隐藏和应急响应。企业必须有适当的政策和法规来加强自身或所使用的第三方服务提供商的网络安全。

此外，企业必须任命一名首席信息安全执行官来监控这些策略的实施和实施。首席信息安全执行官可以受雇于企业，也可以来自其关联企业或第三方供应商。然而，如果一个企业外包其网络服务，该企业必须任命一名高级工作人员作为与第三方网络提供商和该企业的联络人。此外，企业必须拥有“合格的网络安全人员”，无论这些人员是在企业内部、附属企业还是第三方服务提供商。网络安全人员需要管理企业的网络安全风险，并根据网络安全计划安排各种事务。

最后，新的规定表明，他们支持以下行为:(1)加密和使用多方面的认证程序；签署“更安全的渠道控制”条约。此外，企业的董事会和“高级官员”必须遵守企业制定的网络安全规则。

事实上，网络安全的新草案dfs已经出现。在公众意见征询期内，dfs收到了150份修改意见。去年12月28日，财政部对这些修正案做出了回应。与草案相比，最终发布的网络安全监管新规在以下几个方面有所变化。首先，最终法规的有效期将推迟两个月至2017年3月1日。其次，最终文本在许多方面都有所让步。例如，关于“非公开信息”的规定范围较窄；同时，对非公开信息的加密要求比推荐版本宽松。在草案中，dfs曾要求企业在所有环境中对非公开信息进行加密，无论这些信息是未被使用还是在传输过程中。然而，这一要求在最终法规中被豁免，最终法规只要求金融机构根据自身的风险管理对其进行加密。