NYDFS 網絡安全法規和 NYDFS 合規性

什麼是 NYDFS 網絡安全條例?

NYDFS 網絡安全條例

NYDFS 網絡安全法規是紐約金融服務部的一套法規。該立法對在紐約運營的所有金融機構提出了網絡安全要求。它規定所有受 DFS 監管的公司都應制定網絡安全計劃、政策,並維護詳細的網絡安全事件報告系統。

該法規的主要目的是保護可用於識別個人身份的敏感私人信息。繼續閱讀此頁面並了解 NYDFS 網絡安全法規的最重要方面、涵蓋的金融機構以及對違規行為的處罰。

誰是 NYDFS 網絡安全條例的涵蓋實體?

當涉及 NYDFS 下的實體時,該立法準確定義了該法規下的所有主題。 NYDFS 列表包括以下類型的企業:

  • 國家特許銀行
  • 私人銀行家
  • 持牌貸款人
  • 保險公司
  • 服務供應商
  • 抵押貸款公司
  • 獲准在紐約經營的外國銀行

如果我們快速瀏覽一下 NYFDS 下的實體列表,我們可以看到涵蓋的金融機構包括根據紐約金融服務法合法運營的所有個人、團體或公司。此列表僅涵蓋大類業務,但您可以在 DFS 官方網站上找到完整且詳細的列表。話雖如此,NYDFS 網絡安全條例也有豁免,其中包括:

  • 僱員少於十人的公司;
  • 前三年紐約業務年總收入不超過 500 萬美元的公司;
  • 年終資產少於 1000 萬美元的企業;
  • 在紐約運營的慈善和外國風險團體。

NYDFS 網絡安全條例的關鍵組成部分是什麼?

就像廣為人知的 GDPR 一樣,NYDFS 網絡安全法規分幾個階段實施,以允許每家公司針對所有可能的網絡安全事件製定有效的事件響應計劃。 NYDFS Cyber​​security Regulation 法規實施總共分為四個階段:

  • 第一階段- 第一階段於 2018 年 2 月 18 日生效。它涵蓋了容量和性能規劃、信息系統安全、系統和網絡安全以及定期風險評估等實踐。涵蓋的實體必須報告任何可能造成物質損失的數據洩露。
  • 第二階段- 下一階段於同年 3 月 1 日生效。它主要關注首席信息安全官,要求他們準備年度報告,其中包括公司的網絡安全政策和程序、當前措施的有效性以及可能的網絡安全風險。
  • 第三階段- 於 2018 年 9 月 3 日實施,第三階段的重點是涵蓋實體的網絡安全計劃的功能。到第三階段結束時,每個企業都應該維護一個詳細的審計跟踪和記錄數據庫。第三階段還要求所有涵蓋的實體在先前完成的風險評估測試下繼續評估漏洞、投資數據安全並創建防禦基礎設施。
  • 第四階段——第四階段也是最後一個階段於 2019 年 3 月 1 日生效。到此日期,涵蓋的實體應滿足上述所有網絡安全要求,並製定適當的隱私慣例。他們還應制定書面風險管理政策,並包括第三方風險評估框架。

除了上述四個階段的措施外,還有一些額外的要求。其中包括對所有涵蓋實體的多因素身份驗證、用於風險評估的滲透測試、最小特權原則的使用,以及使用合格且經過持續培訓的網絡安全人員。

NYDFS 網絡安全法規如何運作?

我們上面列出的四個階段涵蓋了每個企業必須進行的整個過程。簡而言之,NYDFS 網絡安全法規要求每個組織針對各種網絡安全事件進行風險評估並製定事件響應計劃。這至少包括以下具體方面:

  • 風險評估- 定期進行以評估公司 IT 基礎設施和個人身份信息的完整性、安全性、機密性和可用性。
  • 審計追踪——記錄必須保存五年。他們的主要目的是記錄和響應網絡安全事件。
  • 數據保留的限制——公司需要製定程序來安全處置不再用於商業目的的個人身份信息。
  • 事件響應計劃- 創建書面計劃並記錄內部流程以響應不同的網絡安全事件。它包括角色和職責、溝通計劃以及任何其他需要的補救措施。
  • 訪問權限- 嚴格限制對用戶個人身份信息的訪問權限,並定期檢查這些權限。
  • 通知主管- 在檢測到網絡安全事件後 7 小時內通知金融服務部。

紐約網絡安全條例違規處罰

儘管不遵守 NYDFS 網絡安全條例不可避免地會導致巨額罰款、處罰和法律費用,但條例中並未說明確切的罰款金額。這有點令人沮喪,因為它讓企業覺得金融服務部對建立清晰的溝通不感興趣。

如果您要查找 NYDFS 網絡安全法規對不合規行為的精確處罰,您只會找到一個說明將計算不合規罰款的聲明。考慮到這一點,在處罰方面缺乏準確信息並不意味著您應該無視該立法規定的規定,因為 NYDFS 網絡安全條例現已全面生效。

NYDFS 網絡安全法規合規性清單

由於 NYDFS 網絡安全條例全面生效,每個符合規定標準的組織都必須滿足合規清單上列出的要求。為遵守 NYDFS 規定,組織應:

  • 評估他們的業務是否屬於該網絡安全法規的涵蓋範圍
  • 在 CISO 的領導下組建一個團隊,負責法規合規性的日常管理
  • 執行風險評估以識別網絡安全事件、威脅並了解其風險狀況
  • 投資於持續的風險管理

儘管擔心該法規可能過於強大和復雜而無法遵守,但它確實提供了一種可靠的機制,可以使企業保持控制並保護敏感的用戶信息。這是一項受歡迎的法規,無疑將有助於提高未來的全球網絡彈性。

話雖如此,與專業的網絡安全公司合作進行風險評估和所有其他網絡安全事件可以在確保遵守 NYDFS 網絡安全法規方面大有幫助。網絡安全專家可以幫助您更有效地保護數據,並預防和監控任何安全漏洞。

如果您正在尋找現成的網絡安全解決方案來加強合規性——請查看Hideez Enterprise Solution或安排免費演示:

Related Posts

  • <b>SafetyDetectives:採訪 Hideez 首席執行官 Oleg Naumenko</b>
    SafetyDetectives:採訪 Hideez 首席執行官 Oleg Naumenko

    SafetyDetectives採訪了 Hideez 創始人兼首席執行官 Oleg Naumenko。他目前在烏克蘭,自願通過升級基礎設施、消除漏洞和免費集成新的無密碼身份驗證標準來幫助政府改善網絡安全。我們還談到了 Hideez,他...

  • <b>什麼是虛擬桌面? Windows 10 上的虛擬桌面</b>
    什麼是虛擬桌面? Windows 10 上的虛擬桌面

    VDI(虛擬桌面界面)可以是一個有價值的工具,它允許您從不同的地方訪問系統,從而使您保持生產力和工作質量。無論您是個人還是僱用遠程工作者的公司,虛擬桌面都可以使您的項目更加方便和簡化。 那麼,什麼是 VDI 桌面,它是如何工作的?另...

  • <b>為什麼訪問控制很重要 - 訪問控制示例和解決方案</b>
    為什麼訪問控制很重要 - 訪問控制示例和解決方案

    如果您是企業主或經營組織,無論規模大小,都必須實施強大的外部安全系統。隨著時間的推移,在線威脅的數量在增加,這不僅僅與外部威脅有關。內部安全問題同樣會對您的組織造成毀滅性的後果。 此外,隨著遠程工作在當今企業環境中變得越來越普遍,在...

  • <b>網絡釣魚的定義:網絡釣魚是什麼意思?魚叉式網絡釣魚與網絡釣魚</b>
    網絡釣魚的定義:網絡釣魚是什麼意思?魚叉式網絡釣魚與網絡釣魚

    即使您不太了解網絡安全並且不是特別精通技術,您也可能聽說過網絡釣魚這個詞。但是,您知道它是如何工作的以及最常見的網絡釣魚形式是什麼嗎? 據估計,每天發送大約 150 億封垃圾郵件。更令人擔憂的是,平均每 99 封郵件中就有 1 封是...

回到Hideez 博客和新聞

WARNING: Cancer and Reproductive Harm - www.P65Warnings.ca.gov

Please note that by posting this Warning, we are notifying you that one or more of the Proposition 65 listed chemicals may be present in a product. This warning does not mean the product poses any significant risk to your health. You can find more information HERE


Hideez Wallet Pre-Order


Contact Sales


Contact Us


Marketing Team


Request a FREE pilot


Request DEMO


Become reseller!


Send Us a Message


Error!

Form incorrectly filled, try again!


Thanks

Thanks for contacting us. We'll get back to you as soon as possible.


Thanks

Thanks for subscribing.