隨著互聯(lián)網(wǎng)科技在金融機(jī)構(gòu)中更廣泛的運(yùn)用,如何更好地保護(hù)金融機(jī)構(gòu)和消費(fèi)者的網(wǎng)絡(luò)安全,也日益成為監(jiān)管者關(guān)注的焦點(diǎn)。2月28日,美國(guó)紐約州金融服務(wù)部(DFS)頒布了新的網(wǎng)絡(luò)安全監(jiān)管規(guī)則,這意味著在紐約運(yùn)營(yíng)的主要金融機(jī)構(gòu)迎來(lái)了相比過去更為嚴(yán)厲的網(wǎng)絡(luò)安全防控義務(wù)。DFS負(fù)責(zé)人瑪利亞·武克表示,“在這部具有里程碑的規(guī)章之下,DFS確信:紐約的消費(fèi)者能夠更加信賴他們的金融機(jī)構(gòu)在保護(hù)他們的網(wǎng)絡(luò)安全和個(gè)人信息方面的能力。隨著世界網(wǎng)絡(luò)聯(lián)系變得更為緊密,全球企業(yè)遭受信息侵犯的現(xiàn)象也在增多。在打擊日益增加的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)方面,紐約正處在領(lǐng)先地位。”
從適用范圍來(lái)看,這部規(guī)章適用于所有在紐約運(yùn)營(yíng)的具有銀行、保險(xiǎn)和金融服務(wù)牌照的企業(yè)。但也有極少數(shù)的金融機(jī)構(gòu)能夠豁免,例如員工極少或者收入或資產(chǎn)很低的企業(yè)。
從生效時(shí)間來(lái)看,這部規(guī)章在2017年3月1日生效。但企業(yè)有180天的“緩沖期”:企業(yè)可以在這些時(shí)間內(nèi)完成規(guī)章所要求的事項(xiàng)和義務(wù),在此之后DFS將強(qiáng)制執(zhí)行。另外,對(duì)于部分新條款,DFS則安排了更長(zhǎng)的適應(yīng)緩沖時(shí)間。
總體來(lái)看,這部規(guī)章涵蓋的內(nèi)容較為廣泛,包括對(duì)網(wǎng)絡(luò)書寫政策的設(shè)置、管理、審計(jì)、偵查、防御、測(cè)試要求以及突發(fā)事件報(bào)告等多方面的網(wǎng)絡(luò)安全事項(xiàng)。
具體而言,首先,企業(yè)將需要設(shè)置“保持網(wǎng)絡(luò)安全計(jì)劃”。這個(gè)計(jì)劃用以保證他們的信息系統(tǒng)“機(jī)密、完整以及有效”。計(jì)劃不僅必須包括發(fā)現(xiàn)、防御以及應(yīng)對(duì)系統(tǒng),還包括常規(guī)的報(bào)告義務(wù)以及滲透測(cè)試。同時(shí),企業(yè)設(shè)計(jì)的網(wǎng)絡(luò)安全計(jì)劃必須與他們的自身風(fēng)險(xiǎn)管理相一致,這個(gè)計(jì)劃必須對(duì)在實(shí)際金融交易中企業(yè)常規(guī)的運(yùn)行提供安全保障。
其次,這部規(guī)章還要求,企業(yè)有相關(guān)的記錄和報(bào)告義務(wù)。“對(duì)于在正常運(yùn)行中,有理由以及有可能發(fā)生了的網(wǎng)絡(luò)安全事件,無(wú)論這個(gè)事件是否帶來(lái)實(shí)質(zhì)性傷害和損失。”法規(guī)表示,企業(yè)必須將此事報(bào)告給DFS。同時(shí),“報(bào)告應(yīng)當(dāng)盡可能迅速,最遲不能晚于事件發(fā)生后的72小時(shí)。”對(duì)于“突發(fā)事件”的定義,法規(guī)表示,“任何行為或者預(yù)備性的行為,無(wú)論其成功與否,只要判斷該行為是否獲得了未經(jīng)授權(quán)的途徑,擾亂或者不當(dāng)使用信息系統(tǒng)或存儲(chǔ)在信息系統(tǒng)上的信息。”
再次,企業(yè)還須設(shè)置強(qiáng)調(diào)一系列網(wǎng)絡(luò)安全事項(xiàng)的政策,內(nèi)容包括信息安全、數(shù)據(jù)管理、登陸控制、系統(tǒng)以及網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)隱匿和突發(fā)事件應(yīng)對(duì)等。企業(yè)必須有合適的政策和規(guī)章用以強(qiáng)化自身或者他們所采用的第三方服務(wù)商的網(wǎng)絡(luò)安全。
此外,企業(yè)必須任命一名首席信息安全執(zhí)行官,用以監(jiān)測(cè)這些政策的實(shí)施和執(zhí)行情況。首席信息安全執(zhí)行官可以由該企業(yè)雇傭,也可以來(lái)自于其附屬企業(yè)或者第三方供應(yīng)商。但是,如果企業(yè)網(wǎng)絡(luò)服務(wù)外包的話,企業(yè)必須任命一名高級(jí)職員,作為與第三方網(wǎng)絡(luò)供應(yīng)商與該企業(yè)的聯(lián)絡(luò)人。另外,企業(yè)必須存在“有資質(zhì)的網(wǎng)絡(luò)安全人員”,無(wú)論該人員是在企業(yè)內(nèi)部還是在附屬企業(yè)或者第三方服務(wù)商。該網(wǎng)絡(luò)安全人員需要管理企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、安排與網(wǎng)絡(luò)安全計(jì)劃相一致的各項(xiàng)事務(wù)等。
最后,新規(guī)章表明支持以下行為:編密碼和多方位的認(rèn)證程序的使用;簽署“更多安全渠道控制”的條約。另外,企業(yè)的董事會(huì)以及“高級(jí)官員”必須服從企業(yè)制定的網(wǎng)絡(luò)安全規(guī)則。
事實(shí)上,DFS這部網(wǎng)絡(luò)安全新規(guī)草案早已面世,在接受公眾評(píng)議階段,DFS共收到了150條修改意見。去年12月28日,DFS對(duì)這些修改意見作出了回應(yīng)。與草案相比,最終出爐的網(wǎng)絡(luò)安全監(jiān)管新規(guī)在以下方面出現(xiàn)了變動(dòng)。首先,將最終規(guī)章生效的時(shí)期延后兩個(gè)月至2017年3月1日。其次,最終的文本在許多方面有所退讓。例如,對(duì)“非公開信息”的規(guī)定更為狹窄;同時(shí),對(duì)非公開信息的編密碼要求相比建議版也更為寬松。在草案中,DFS曾要求企業(yè)對(duì)所有環(huán)境下的非公開信息進(jìn)行加密,不管該信息是在非使用期間還是傳輸期間。但最終規(guī)章中卻免除了這項(xiàng)要求,僅僅要求金融機(jī)構(gòu)根據(jù)自身的風(fēng)險(xiǎn)管理,可以(但不是必須)對(duì)此進(jìn)行加密。