纽约网络安全法规:确保合规所需要知道的一切

作者:迈克尔·莫洛伊,IT风险咨询经理 & 安全

纽约网络安全法规:确保合规所需要知道的一切

2017年3月起, 纽约的银行, 保险, 而金融服务业也被要求遵守 金融服务万博平台app下载的网络安全要求 (23 NYCRR 500). 该法规的目的是促进对客户信息以及被监管实体的IT系统的保护. 尽管该条例没有明确规定具体的处罚, 纽约DFS的主管有权在任何时候要求文件证明合规, 因此,企业需要做好准备.

每年 2月15日在美国,实体必须向纽约州金融服务部门(NY 状态 Department of Financial Services)提交证明.  该规定要求企业遵守大量具体要求,但确实包括一些过渡期,以便企业朝着完全合规的方向努力.

你现在该做什么

第一个年度认证将于2018年2月到期, 所以,如果你的万博平台app下载还没有提交申请,那么你已经远远超过了最后期限. 截至目前,万博平台app下载被要求采取以下控制措施:

  • 风险评估, 万博平台app下载必须进行风险评估,以识别网络安全威胁.  必须对威胁进行适当分类和评估,并应制定减少风险的计划.
  • 网络安全政策, 必须存在一套强有力的信息安全政策和程序,以定义您万博平台app下载网络安全计划的指导和要求.
  • 脆弱性管理- 至少, 万博平台app下载必须每年进行两次漏洞扫描,每年进行一次渗透测试.
  • CISO - 万博平台app下载内必须有人拥有首席信息安全官的头衔. 这个人要对网络安全项目负责.
  • 访问- 万博平台app下载必须限制对非公开信息系统的访问,并定期审查用户的访问.
  • 多因素身份验证, 鼓励企业使用多因素认证.
  • 〇网络安全人员能力 万博平台app下载必须雇用合格的人员, 可以是内部的,也可以是聘请新万博app下载这样的万博平台app下载, 管理网络安全控制. 必须允许保安人员进入并参加定期培训.
  • 保安意识训练- 所有员工必须定期接受安全意识培训.
  • 事件反应- - - - - - 万博平台app下载必须有一个适当的计划来处理网络安全事件.
  • 事件通知, 万博平台app下载有义务通知纽约金融服务部的主管 72小时内 重大网络安全事件的识别.

你马上要做的事

2018年10月,万博平台app下载必须具备以下条件:

  • 〇监视用户活动 必须记录和监视授权用户的活动.
  • 审计跟踪, 审计日志必须到位并保留5年.
  • 应用程序安全性- - - - - - 安全的申请程序必须到位,并由CISO审查
  • 数据破坏, 万博平台app下载必须开始按照规定的保留标准安全地处理非公开信息.
  • 加密, 加密必须用于在外部网络上传输和静止的数据

2019年3月,企业必须有一个强健的 第三方服务提供商管理 程序.  这包括确定作为业务运营一部分的所有第三方,定期进行风险评估,并审查第三方服务提供商的信息安全控制. 许多万博平台app下载使用云服务、顾问、外包业务支持等.,这些都在本控制范围内.

好消息

你不需要一个人把这些都搞清楚. Clearview集团在我们的IT风险方面有专家 & 具有多年设计经验的安全和技术咨询实践, 评估, 并为各种规模和行业的万博平台app下载管理网络安全风险.  规定明确允许使用第三方来管理对要求的遵守情况, 因为纽约金融服务部认识到网络安全风险的复杂性和不断演变的本质. 给我们一个信息 了解更多关于如何确保您的万博平台app下载有效管理网络安全风险并保持合规的信息.

关于作者

迈克尔·莫雷 经理在Clearview的IT风险中吗 & 安全咨询实践.  他于2013年毕业于史蒂文森大学,获得商业技术管理硕士学位,并于2014年获得认证信息系统审核员(CISA)认证. 他在医疗保健方面有丰富的经验, 公用事业万博平台app下载, 金融服务, 政府合同, 物流, 和高等教育.  他曾代表内部审计领导IT审计项目, AICPA SOC 2保证业务, IT SOX审计和咨询项目, 以及IT安全咨询和咨询业务.  他对包括基础设施即服务(AWS)在内的许多行业领先技术有着深厚的知识, Azure, 等.),平台即服务(Salesforce等).)和软件即服务(Workday、Office 365、JIRA/Confluence等).).

更多的 它的风险咨询 & 安全

相关案例研究