纽约州新规:金融机构网络安全升级

纽约州金融服务部新网络安全规定于 2025 年 5 月 1 日生效

纽约州金融服务部 (NYDFS)于 2023 年修订了其网络安全法规,即 23 NYCRR 500 条 (或称第 500 部)。自 2024 年 11 月 1 日起,“A 类公司”和“受监管实体”被要求遵守部分 500 中概述的许多合规义务。

2025 年 4 月 15 日为提交年度合规文件截止日期

自法规颁布以来,受监管实体一直需要每年向 NYDFS 提交关于其对第 500 部的遵守情况的报告。然而,从 2024 年起,受监管实体可以选择提交两种文件:一份“材料合规证书” (证明他们在过去一年中有效地遵守了适用于他们的法规要求),或者一份“未依法执行承认书”(列举他们未遵守的特定法规条文以及相应的纠正计划)。截止日期为 2025 年 4 月 15 日,可以通过 NYDFS 门户提交文件。符合部分 500 全部豁免的受监管实体无需提交年度合规报告。

2025 年 5 月 1 日新增合规要求

从 2025 年 5 月 1 日起,受监管实体需满足新的第 500 部要求,包括:

  • 访问权限和管理: 加强限制用户访问权限的要求,包括特权帐户的访问。定期审查访问权限,并删除或禁用不再需要的帐户和访问权限。禁用或安全配置允许远程控制设备的所有协议。人员离职后立即终止其访问权限。执行合理的密码政策 (在使用密码的情况下)。

  • 漏洞管理: 对信息系统进行自动扫描并进行手动审查(对于无法被自动扫描的系统),以发现、分析和报告漏洞,频率应根据风险评估以及任何重大系统更改进行调整。

  • 恶意代码: 实施控制措施来保护免受恶意代码攻击。A 类公司必须进一步更新其信息安全计划,包括:

    • 监控和培训: 实施端点检测和响应解决方案 (EDR) 来监控异常活动,并实施集中式日志记录和安全事件警报解决方案。首席信息安全官可以批准合理等同或更安全的替代控制措施,但此批准必须书面化。

这些新的要求旨在加强纽约州金融行业的网络安全,保护消费者数据免受恶意攻击。

阅读本文之前,你最好先了解...

为了更好地理解纽约州金融服务部新网络安全规定,你需要对一些相关概念有一个基本了解:

  • A 类公司: 指在纽约州经营的金融机构,其业务规模较大且风险较高。这类公司需要遵守更为严格的网络安全要求。
  • 受监管实体: 包括所有 A 类公司以及其他需要遵循 NYDFS 法规的金融机构。
  • 23 NYCRR 500 条 (第 500 部): 纽约州金融服务部的网络安全法规,旨在保护金融机构的数据和消费者信息免遭攻击。
  • 材料合规证书: 证明受监管实体在过去一年中有效地遵守了适用于他们的法规要求的文件。
  • 未依法执行承认书: 列举受监管实体未遵守的特定法规条文以及相应的纠正计划的文件。

这些概念对理解本文内容至关重要,因为它们解释了 NYDFS 对金融机构网络安全的监管力度和具体要求。

总结:

纽约州金融服务部的最新网络安全规定旨在提高金融行业的安全性,保护消费者数据免受恶意攻击。新的规定涵盖了访问权限管理、漏洞管理以及恶意代码防护等关键领域。 受监管实体需要积极了解并遵守这些新规定,以确保其网络安全和客户数据的安全。

如果你有其它意见,请评论留言。## 纽约州金融服务部新网络安全规定于 2025 年 5 月 1 日生效

纽约州金融服务部 (NYDFS)于 2023 年修订了其网络安全法规,即 23 NYCRR 500 条 (或称第 500 部)。自 2024 年 11 月 1 日起,“A 类公司”和“受监管实体”被要求遵守部分 500 中概述的许多合规义务。

2025 年 4 月 15 日为提交年度合规文件截止日期

自法规颁布以来,受监管实体一直需要每年向 NYDFS 提交关于其对第 500 部的遵守情况的报告。然而,从 2024 年起,受监管实体可以选择提交两种文件:一份“材料合规证书” (证明他们在过去一年中有效地遵守了适用于他们的法规要求),或者一份“未依法执行承认书”(列举他们未遵守的特定法规条文以及相应的纠正计划)。截止日期为 2025 年 4 月 15 日,可以通过 NYDFS 门户提交文件。符合部分 500 全部豁免的受监管实体无需提交年度合规报告。

2025 年 5 月 1 日新增合规要求

从 2025 年 5 月 1 日起,受监管实体需满足新的第 500 部要求,包括:

  • 访问权限和管理: 加强限制用户访问权限的要求,包括特权帐户的访问。定期审查访问权限,并删除或禁用不再需要的帐户和访问权限。禁用或安全配置允许远程控制设备的所有协议。人员离职后立即终止其访问权限。执行合理的密码政策 (在使用密码的情况下)。

  • 漏洞管理: 对信息系统进行自动扫描并进行手动审查(对于无法被自动扫描的系统),以发现、分析和报告漏洞,频率应根据风险评估以及任何重大系统更改进行调整。

  • 恶意代码: 实施控制措施来保护免受恶意代码攻击。A 类公司必须进一步更新其信息安全计划,包括:

    • 监控和培训: 实施端点检测和响应解决方案 (EDR) 来监控异常活动,并实施集中式日志记录和安全事件警报解决方案。首席信息安全官可以批准合理等同或更安全的替代控制措施,但此批准必须书面化。

这些新的要求旨在加强纽约州金融行业的网络安全,保护消费者数据免受恶意攻击。

网友评论:

  • "终于,我等了五年之久!现在我可以安心睡觉了,知道我的银行账户的安全在我和监管机构的双重控制下!"
  • “这真是个好消息啊!我迫不及待想看到那些黑客如何在面对如此严格的法规时发挥创意!”
  • "也许应该让 NYDFS 也必须遵守这些规定,这样他们就能更好地理解金融机构面临的挑战。"

**如果你有其它意见,请积极发表。**评论需要讽刺和搞笑。

Back to blog

Leave a comment