2023年11月1日,紐約州金融服務署(New York Department of Financial Services,NYDFS)修正了網絡安全法規第500篇(Part 500)。這些更新是在NYDFS眾多執法行動及其他新的網絡安全法規之後進行的,比如修訂後的美國證券交易委員會(Securities and Exchange Commission)的網絡安全報導要求,以及根據《加州消費者隱私保護法》(California Consumer Privacy Act)所提出的網絡安全查核規定。
新的NYDFS法規要求提高董事會監督、對大公司進行「獨立」查核、事件應變計畫及測試(比如桌面演習)、維護資產庫存清單、擴大對NYDFS的報導內容,以及許多新的科技控制。受NYDFS所監理的公司,包括金融機構及保險公司,都必須在2024年四月以前證明他們遵循大多數的要求。然而,報導要求將會在2024年四月以前生效。
由於要在這麼短的時間內進行大量的工作,因此受監理的實體應該開始更新相關政策、程序以及事件應變計畫、進行桌面演習、推出新的網絡安全培訓,以及為管理階層及董事會對其新的監督活動做好準備。以下是最主要的內容摘要。
深入瞭解
引入「A級公司」:更新的網絡安全法規對大公司擬定了新的類別,稱之為「A級公司」。這些公司會受到更嚴格的標準要求。
*A級公司包括年營收至少2,000萬美元、且員工人數超過2,000人,或年營收超過10億美元的受監理實體。
*A級公司現在被要求需就其網絡安全計畫進行查核;這些查核必須是獨立的。值得注意的是,若內部稽核不受影響,像是類似《一般資料保護規則》(General Data Protection Regulation)所聘任的資料保護主管,則獨立查核仍可由內部來做。而這個要求可能會使公司難以進行法律特權查核的請求。
新的董事會/長字輩主管義務:高階經理人、董事會成員與高階主管在監督受監理實體的網絡安全計畫上,現在都負有具體的責任。這些內部治理者對於網絡安全計畫適當運作是至關重要的,並凸顯了監理機關提高關注董事會在網絡安全監督的角色。
*資訊安全長現在被要求向董事會或其他同等單位報告重大網絡安全問題,比如重大網絡安全事件、或網絡安全計畫之變更。
*董事會或其他同等單位在監督網絡安全管理方面,現在都負具體的義務,包括審查定期的管理報告,並確保足夠的經費支持網絡安全計畫。
*董事會或其他同等單位必須有充分的資格,以進行這些監督活動,必要時接受相應的培訓。
網絡安全政策更新:受監理的實體現在必須記錄,以及維護幾個額外的網絡安全政策及程序,或確保其現有的網絡安全政策及程序涵蓋這些新領域。
*受監理實體必須維護以下政策,以管理資料保留、生命週期終結管理、遠端存取、安全意識與訓練、事件通知與漏洞管理。
*受監理實體必須對實行每項政策之程序進行紀錄。
*董事會或其他同等單位必須每年核准一次相關政策。
強化科技安全控制:網絡安全法規增加了額外的科技要求。
*必須至少每年做一次風險評估。
*需要更健全的存取管理要求,包括對全部使用者之存取權進行年度審查。
*對受監理實體資訊系統的任何個別存取,現在被要求須(而非建議)有多重要素驗證。對於低於一定人數、營收或資產門檻的實體,會有較少的例外狀況,但即使這些實體在特定情況(比如遠端存取)下,還是必須使用多重要素驗證。
*受監理實體必須監控及過濾網路流量及電郵,以防範惡意程式碼。
*必須每年提供網絡安全意識培訓。
事件應變計畫與營運持續管理:受監理實體必須記錄營運持續性及災難復原計畫(business continuity and disaster recovery,BCDR),並在事件應變計畫(incident response plans,IRPs)中包括更具體的內容。
*IRPs現在必須確定受監理實體如何還原備份,以及分析並說明事件發生的根本原因。
*受監理實體必須維護BCDR計畫,以確定關鍵業務之運作,包括網絡安全中斷事件中的通訊計畫、受影響資料備份與復原的詳細程序,以及其他要求。
*IRPs與BCDR計畫必須每年進行測試,比如透過桌面演習。
資產庫存清單:受監理實體現在必須維護資產庫存清單
*資產庫存清單必須包括負責人、地點、類別或敏感性、支援到期日以及復原時間目標。
*受監理實體必須記錄他們更新及確認資產庫存清單的頻率。
網絡安全事件的通知要求:受監理實體必須針對額外的網絡安全事件通知其監管者。
*對於監管者通知網絡安全事件,現在被要求擴大報告範圍,包含對公司資訊系統重要部分的勒索軟體攻擊。
*對於任何勒索支付,受監理實體必須在支付的24小時內,對其監管者提供電子通知,並在30天內提供額外的詳細資訊。
例外情況:在一些情況下,這些要求可以獲得有限度的豁免,比如若公司符合以下任何標準:
*員工人數未達20人(而非10人)。
*在過去三個會計年度中,任一年度的公司年營收未達750萬美元(而非500萬美元)。
*公司年結時的總資產未達1,500萬美元(而非1,000萬美元)。
遵循期限:除非另有規定,否則此修正案將在2024年4月29日生效。
資料來源:https://www.mwe.com/insights/nydfs-finalizes-amendments-to-cybersecurity-regulation/
沒有留言:
張貼留言