狗万体育,狗万移动端,狗万官网官方网站

在博客中搜索

数据安全行业前景

什么是NYDFS?

格兰妮·麦克基弗

NYDFS网络安全法规,23 NYCRR 500

New York State Department of Financial Services (NYDFS) introduced new cybersecurity regulations for financial services companies that address the growing threat posed by cyber-criminality to financial firms. 2017年3月1日, 纽约州金融服务部(NYDFS) 为金融服务公司 引入了 新的网络安全法规, 以应对网络犯罪对金融公司造成的日益严重的威胁。 它们旨在规范客户数据的保护和行业内运营的安全性。

这本电子书对安全和法规遵从负责人进行了定位,以更好地了解NYDFS如何应用于其组织以及可能产生的影响。

对谁有影响?

Department of Financial Services (DFS)-regulated firms and their out of state and overseas branches, requiring them to assess their cybersecurity risk profiles and implement a comprehen sive plan that recognizes and mitigates that risk. 该法规适用于所有 受美国金融服务部(DFS)监管的公司及其境外和海外分支机构,要求它们评估其网络安全风险概况并实施全面 计划,以识别和缓解该风险。 23 NYCRR Part 500 . DFS保留对位于纽约的海外银行分支机构进行检查的权利,并强烈鼓励所有金融机构采取与 23 NYCRR Part 500的 保护措施相一致的网络安全保护措施

金融服务部监管的组织类型为:

  • 持牌贷方
  • 国家特许银行
  • 信托公司
  • 服务合同提供者
  • 私人银行家
  • 抵押公司
  • 在纽约经商的保险公司
  • 获准在纽约经营的非美国银行

豁免项目

limited exemptions for organizations with: 该法规 对具有以下条件的组织 包含 有限的豁免

  • 少于10名员工
  • 三年的年总收入少于500万美元; 要么
  • 年底总资产少于1000万美元

公司如何遵守NYDFS?

four-phase implementation process : NYDFS网络安全法规23 NYCRR Part 500涵盖的所有实体都必须在2018年2月15日之前提交其第一年度的年度NYDFS监督办公室合规证明。遵守法规是一个 分为四个阶段的实施过程

生效日期
第1阶段-基本要求 2018年2月15日
第二阶段–评估,意识和报告 2018年3月1日
第三阶段–审计追踪,程序和控制 2018年9月3日
阶段4 –第三方服务提供商 2019年3月1日

第1阶段-基本要求。 自2018年2月15日起生效 :受保护实体必须实施和维护正式的网络安全计划和政策,任命首席安全官,定期审查用户访问权限,聘请合格的网络安全人员并制定书面的事件响应计划。

第2阶段-评估,意识和报告。 自2018年3月1日起生效 :受保护实体必须定期执行渗透测试和漏洞评估,对信息系统进行风险评估,使用多因素或基于风险的身份验证,为所有人员提供定期的网络安全意识培训,CISO应报告所涵盖实体的网络安全计划和重大网络安全风险。

第3阶段–审核跟踪,程序,指南和控制。 自2018年9月3日起生效 :受保护实体必须保持审计追踪记录,以检测和响应网络安全事件,为应用程序安全以及保留,处置和监控对非公开信息的访问制定书面程序,准则和标准。

阶段4 –第三方政策。 2019年3月1日生效 :受保护实体必须执行书面政策和程序,以确保第三方服务提供商可以访问的信息系统和非公开信息的安全性。 该法规还要求受保护实体的第三方服务提供商必须遵守。

不遵守规定的后果

NYDFS并未概述任何有关违反法规后果的具体信息,只是要求尽快通知违规者,但绝不能迟于违规事件发生后72小时。 New York Banking law , the penalty for noncompliance with NYDFS is likely to be equally severe. 但是,考虑到类似全球法规所规定的罚款的性质,并考虑到 《纽约银行法》中 概述 的罚款,不遵守NYDFS的罚款可能同样严重。 由于声誉受损,业务损失和监管机构加强审查等额外后果,不遵守将不值得冒险。

下一步是什么?

该法规最后阶段的截止日期是2019年3月1日,金融公司现在处于实施后阶段。 NYDFS是另一个例子,说明企业如何通过全球新法规来更加认真地对待数据安全性。 在美国,根据州法律实施法规,NYDFS很快将由CCPA(加利福尼亚消费者隐私法案)跟进。 更多的监管是不可避免的。 protect your company from a breach . 金融公司可能已经为遵守GDPR和NYDFS做好了充分的准备,但是,制定强有力的以数据为中心的安全计划对于遵守所有数据保护法规并最终 保护您的公司免遭违规行为 而言,具有不可估量的价值

要了解有关NYDFS的更多信息,请在此处阅读电子书。