NYDFS 網絡安全法規和 NYDFS 合規性

什麼是 NYDFS 網絡安全條例?

NYDFS 網絡安全條例

NYDFS 網絡安全法規是紐約金融服務部的一套法規。該立法對在紐約運營的所有金融機構提出了網絡安全要求。它規定所有受 DFS 監管的公司都應制定網絡安全計劃、政策,並維護詳細的網絡安全事件報告系統。

該法規的主要目的是保護可用於識別個人身份的敏感私人信息。繼續閱讀此頁面並了解 NYDFS 網絡安全法規的最重要方面、涵蓋的金融機構以及對違規行為的處罰。

誰是 NYDFS 網絡安全條例的涵蓋實體?

當涉及 NYDFS 下的實體時,該立法準確定義了該法規下的所有主題。 NYDFS 列表包括以下類型的企業:

  • 國家特許銀行
  • 私人銀行家
  • 持牌貸款人
  • 保險公司
  • 服務供應商
  • 抵押貸款公司
  • 獲准在紐約經營的外國銀行

如果我們快速瀏覽一下 NYFDS 下的實體列表,我們可以看到涵蓋的金融機構包括根據紐約金融服務法合法運營的所有個人、團體或公司。此列表僅涵蓋大類業務,但您可以在 DFS 官方網站上找到完整且詳細的列表。話雖如此,NYDFS 網絡安全條例也有豁免,其中包括:

  • 僱員少於十人的公司;
  • 前三年紐約業務年總收入不超過 500 萬美元的公司;
  • 年終資產少於 1000 萬美元的企業;
  • 在紐約運營的慈善和外國風險團體。

NYDFS 網絡安全條例的關鍵組成部分是什麼?

就像廣為人知的 GDPR 一樣,NYDFS 網絡安全法規分幾個階段實施,以允許每家公司針對所有可能的網絡安全事件製定有效的事件響應計劃。 NYDFS Cyber​​security Regulation 法規實施總共分為四個階段:

  • 第一階段- 第一階段於 2018 年 2 月 18 日生效。它涵蓋了容量和性能規劃、信息系統安全、系統和網絡安全以及定期風險評估等實踐。涵蓋的實體必須報告任何可能造成物質損失的數據洩露。
  • 第二階段- 下一階段於同年 3 月 1 日生效。它主要關注首席信息安全官,要求他們準備年度報告,其中包括公司的網絡安全政策和程序、當前措施的有效性以及可能的網絡安全風險。
  • 第三階段- 於 2018 年 9 月 3 日實施,第三階段的重點是涵蓋實體的網絡安全計劃的功能。到第三階段結束時,每個企業都應該維護一個詳細的審計跟踪和記錄數據庫。第三階段還要求所有涵蓋的實體在先前完成的風險評估測試下繼續評估漏洞、投資數據安全並創建防禦基礎設施。
  • 第四階段——第四階段也是最後一個階段於 2019 年 3 月 1 日生效。到此日期,涵蓋的實體應滿足上述所有網絡安全要求,並製定適當的隱私慣例。他們還應制定書面風險管理政策,並包括第三方風險評估框架。

除了上述四個階段的措施外,還有一些額外的要求。其中包括對所有涵蓋實體的多因素身份驗證、用於風險評估的滲透測試、最小特權原則的使用,以及使用合格且經過持續培訓的網絡安全人員。

NYDFS 網絡安全法規如何運作?

我們上面列出的四個階段涵蓋了每個企業必須進行的整個過程。簡而言之,NYDFS 網絡安全法規要求每個組織針對各種網絡安全事件進行風險評估並製定事件響應計劃。這至少包括以下具體方面:

  • 風險評估- 定期進行以評估公司 IT 基礎設施和個人身份信息的完整性、安全性、機密性和可用性。
  • 審計追踪——記錄必須保存五年。他們的主要目的是記錄和響應網絡安全事件。
  • 數據保留的限制——公司需要製定程序來安全處置不再用於商業目的的個人身份信息。
  • 事件響應計劃- 創建書面計劃並記錄內部流程以響應不同的網絡安全事件。它包括角色和職責、溝通計劃以及任何其他需要的補救措施。
  • 訪問權限- 嚴格限制對用戶個人身份信息的訪問權限,並定期檢查這些權限。
  • 通知主管- 在檢測到網絡安全事件後 7 小時內通知金融服務部。

紐約網絡安全條例違規處罰

儘管不遵守 NYDFS 網絡安全條例不可避免地會導致巨額罰款、處罰和法律費用,但條例中並未說明確切的罰款金額。這有點令人沮喪,因為它讓企業覺得金融服務部對建立清晰的溝通不感興趣。

如果您要查找 NYDFS 網絡安全法規對不合規行為的精確處罰,您只會找到一個說明將計算不合規罰款的聲明。考慮到這一點,在處罰方面缺乏準確信息並不意味著您應該無視該立法規定的規定,因為 NYDFS 網絡安全條例現已全面生效。

NYDFS 網絡安全法規合規性清單

由於 NYDFS 網絡安全條例全面生效,每個符合規定標準的組織都必須滿足合規清單上列出的要求。為遵守 NYDFS 規定,組織應:

  • 評估他們的業務是否屬於該網絡安全法規的涵蓋範圍
  • 在 CISO 的領導下組建一個團隊,負責法規合規性的日常管理
  • 執行風險評估以識別網絡安全事件、威脅並了解其風險狀況
  • 投資於持續的風險管理

儘管擔心該法規可能過於強大和復雜而無法遵守,但它確實提供了一種可靠的機制,可以使企業保持控制並保護敏感的用戶信息。這是一項受歡迎的法規,無疑將有助於提高未來的全球網絡彈性。

話雖如此,與專業的網絡安全公司合作進行風險評估和所有其他網絡安全事件可以在確保遵守 NYDFS 網絡安全法規方面大有幫助。網絡安全專家可以幫助您更有效地保護數據,並預防和監控任何安全漏洞。

如果您正在尋找現成的網絡安全解決方案來加強合規性——請查看Hideez Enterprise Solution或安排免費演示:

Related Posts

  • <b>什麼是密碼管理?適用於企業和個人的最佳密碼管理器示例</b>
    什麼是密碼管理?適用於企業和個人的最佳密碼管理器示例

    密碼是保護我們寶貴信息的基本工具。不使用密碼就不可能存在於網絡世界中,更不用說它的業務部分了。現在,健康和負責任的密碼管理實踐比以往任何時候都在我們的日常生活中發揮著重要作用。 這就是密碼管理器的用武之地。在過去的幾年裡,這些漂亮的...

  • <b>如何使用密碼保護文件?<br>終極指南</b>
    如何使用密碼保護文件?
    終極指南

    保護您的文件至關重要,因為在保護有價值的數據免受不受歡迎的入侵者時,您永遠不會太安全。您的密碼是您的數據與您希望保密的人之間的最後一道防線。 在我們之前的一頁中,我們討論瞭如何使用密碼保護文件或文件夾。該頁面提供了廣泛的信息,甚至還...

  • <b>虛擬釣魚解釋:什麼是虛擬釣魚和網絡釣魚? |海得茲</b>
    虛擬釣魚解釋:什麼是虛擬釣魚和網絡釣魚? |海得茲

    當您的電話響起並且您看到一個您不熟悉的號碼時,除非您接聽,否則您無法辨別電話的另一端是誰。但是,這樣做可能會為詐騙者敞開大門,並使自己處於落入釣魚詐騙的危險之中。 不幸的是,大多數人並不熟悉網絡釣魚的工作原理以及它到底有多危險。如果...

  • <b>SafetyDetectives:採訪 Hideez 首席執行官 Oleg Naumenko</b>
    SafetyDetectives:採訪 Hideez 首席執行官 Oleg Naumenko

    SafetyDetectives採訪了 Hideez 創始人兼首席執行官 Oleg Naumenko。他目前在烏克蘭,自願通過升級基礎設施、消除漏洞和免費集成新的無密碼身份驗證標準來幫助政府改善網絡安全。我們還談到了 Hideez,他...