在2022年8月29日的纽约证券交易所交易过程中,交易员在交易大厅忙碌的情景恰如其分地展示了金融市场的活跃。然而,金融行业的安全性正在受到越来越多的关注。NYDFS上个月提出的新修订可能会对美国所有银行带来更严格的监管,彰显出网络安全法规日益重要的趋势。
作为长期在网络安全和金融监管中引领潮流的州,纽约自2015年起就积极为金融机构制定了相关法规。根据Gibson Dunn网站上的一篇博客文章,“过去五年,网络安全环境的变化促使NYDFS在强化网络安全实践方面继续走在前列。”
猎豹加速器官网版特色新草案修订增加了对财务服务机构的通知要求,包括:
必须在未经授权访问特权账户或部署勒索软件后72小时内通知NYDFS。新增在进行勒索支付后24小时内通知的义务,同时在30天内提供书面说明,说明付款的必要性、考虑的替代方案,以及进行的制裁尽职调查。新的修订草案对大型企业Class A提出了更高的网络安全要求。这些公司定义为员工超过2000人或年均营业收入超过10亿美元的实体。Class A公司必须:
每周进行系统漏洞扫描,并向董事会报告发现的重大缺口。实施端点检测和响应解决方案,监控异常活动。每年进行独立的网络安全程序审计。要求描述漏洞扫描每周进行系统漏洞扫描以识别已知网络安全漏洞端点检测对异常活动进行监控,并集中记录和安全事件警报网络安全审计每年进行独立网络安全程序审计新修订草案增强了对公司管理层的要求,特别强调治理结构的强大对有效网络安全的重要性。包括:
确保董事会拥有足够的专业知识,以有效监督网络风险。为首席信息安全官 (CISO) 提供足够的独立性和权威性。CISO需每年向董事会提供补救问题和重大网络安全事件的详细报告。企业若未能够按照规定完全遵守网络安全义务,需在来年的报告中提供不合规项的详细说明,以提高透明度。
新的修订对“运营韧性”进行了扩展,要求公司制定书面的业务连续性和灾难恢复计划。以下是最低要求:
确定对持续运营至关重要的业务组成部分。准备与各种利益相关者领导、员工、监管机构等保持沟通的计划。维护基础设施和数据的备份程序。新的修订增强了技术要求和书面政策要求,具体包括:
明确“特权账户”的定义,要求启用多重身份验证。定期审查用户访问权限,移除不必要的账户。这些新要求确保公司在面临日益严峻的网络威胁时,能够更有效地保护其信息系统及敏感数据。
修订草案进一步扩大了风险评估的要求,要求对“风险评估”进行更加清晰的定义,确保其:
针对企业的具体情况量身定制。每年至少更新一次。最终,NYDFS还澄清了对Part 500网络安全规则的执行考虑,强调不合规的严重性和可能的处罚因素,确保未来对违反规定的企业进行严厉打击。
在这份新的网络安全规定中,NYDFS显示出其在保证金融领域安全上不断进取的决心,同时也向其他州发出了一种信号,即网络安全的重要性正在
