2017年初,纽约州金融服务部(DFS)颁布法规,为金融服务公司制定网络安全要求。这项被称为《纽约州法规汇编第23卷第500章》(23 NYCRR 500)的立法,旨在应对数据泄露和网络威胁以惊人速度增长的现状——这些威胁不仅暴露敏感数据,更使机构蒙受数百万美元损失。2022年11月,该法规经修订以应对信息系统和数据面临的最新风险,修订内容将于2023年生效。
本文探讨哪些组织必须遵守该法律,分析《纽约州法规汇编》第23卷第500部分中关键的第三方风险管理条款,并提出满足相关要求的最佳实践方案。
哪些组织必须遵守《纽约州法规汇编》第23卷第500章?
根据该条例规定,"任何依据《银行法》、《保险法》或《金融服务法》持牌、注册、特许、认证、许可、认可或类似授权开展业务或被要求开展业务的实体(无论该实体是否同时受其他政府机构监管)"均被视为"适用实体",必须遵守相关规定——即使其总部不在纽约的组织也不例外。
然而,该法律存在若干豁免情形。2022年11月的修订案更新了豁免标准,将符合以下条件的适用实体排除在外:
- 少于20名员工(包括独立承包商)或
- 年末总资产低于1500万美元。
此外,2022年11月对该条例的修订设立了"A类"公司分类,旨在对大型金融机构实施更严格的要求。A类公司指在过去两个财政年度内,其在纽约州开展业务的实体及其附属机构的年度总收入均不低于2000万美元,且同时满足以下条件:
- 过去两个财政年度平均雇员人数超过2,000人,包括被涵盖实体及其所有附属机构的雇员,无论其所在地如何;或
- 在过去两个财政年度中,被涵盖实体及其所有附属机构的所有业务运营产生的年度总收入均超过10亿美元。
A类公司除须满足所有适用实体的通用要求外,还须满足以下额外要求:
- 每年至少一次对网络安全计划进行独立审计(使用外部审计师),并每三年至少一次聘请外部专家进行风险评估。
- 实施特权访问管理及自动阻止常用密码的方法
- 实施端点检测与响应以监控异常活动(包括横向移动),并采用集中日志记录与安全事件警报的解决方案。
鉴于近期《纽约州消费者权利法》第500条规定的处罚总额高达450万美元,各组织必须充分理解该法规对其产生的影响。
纽约州CRR 500法规的23项要求是什么?
本网络安全法规旨在保护客户信息及信息技术系统的机密性、完整性和可用性,要求适用实体采取以下措施:
- 维持一个网络安全计划,该计划应包括风险评估、独立审计及支持性文件(第500.2节)
- 根据风险评估实施并维护信息安全政策——包括供应商和第三方服务提供商管理(第500.3节)
- 任命首席信息安全官(CISO),该职位须负责组织网络安全计划的实施、审查及汇报工作(第500.4节)。
- 包含具体的网络安全技术和实践(第500.5-500.10条;第500.12-500.17条)
- 建立第三方风险管理计划(第500.11节)
- 提交年度合规证明文件,确认遵守本规定(第500.17b条)
如何满足《纽约州法规汇编》第23卷第500部分第三方风险管理要求
遵守《纽约州法规汇编》第23卷第500部分的关键环节之一,是管理供应商的信息技术安全控制措施及数据隐私政策。第500.11(a)条直接涉及第三方服务提供商的安全政策要求:规定受规管实体须基于风险评估制定书面政策,以规范第三方信息系统安全,且该政策必须涵盖以下内容:
- 第三方识别与风险评估
- 最低网络安全实践
- 用于评估其网络安全措施充分性的尽职调查
- 基于风险及网络安全实践持续有效性的服务商定期评估
第500.11(b)条进一步阐述了受监管实体应针对特定政策和程序开展更深入尽职调查的内容,包括访问控制、多因素身份验证(MFA)、加密措施及事件响应报告。该法规中涉及第三方风险管理的其他条款还包括第500.16条(业务连续性)和第500.17条(第三方事件响应)。
《纽约州法规汇编》第23卷第500.11条
实施书面政策和程序,旨在确保第三方服务提供商可访问或持有的信息系统及非公开信息的安全性。
实施第三方服务提供商安全策略应包含以下要素:
- 一份准确且全面的第三方服务提供商清单,包括明确标注每家第三方所提供的具体服务内容。
- 第三方应遵循的网络安全实践,基于覆盖实体基线风险评估的政策和安全控制措施
- 根据这些要求对供应商进行定期评估,包括采用尽职调查流程
- 适用的合同要求和指南
普瑞维尔的第三方风险管理平台助力金融机构在其整个供应商生态系统中满足这些要求。该平台提供完整的供应商风险评估解决方案,包括:
- 建立集中化的供应商库存
- 固有风险评分用于确定持续尽职调查要求
- 将网络安全要求纳入供应商合同的能力,以及根据安全实践评估供应商的能力
- 基于纽约州金融服务局推荐框架和标准的问卷
- 一个用于包含和管理响应过程中记录证据的环境
- 管理审查与处理发现事项的工作流程
- 强大的报告机制,为各级管理层提供必要信息,以便其准确评估各第三方机构的绩效与风险。
该主流平台还涵盖网络安全、商业动态、声誉风险及财务情报监测,以捕捉覆盖实体面临的持续潜在威胁。
《纽约州法规汇编》第23卷第500.16条
制定书面计划,包含主动措施以调查和缓解破坏性事件,并确保运营韧性,包括但不限于事件响应、业务连续性及灾难恢复计划。
确保业务韧性应包括自动化评估、持续监控、分析及修复第三方业务韧性与连续性实践——同时自动将结果映射至NIST、ISO及其他控制框架。这种主动方法使您的组织能够最大限度降低第三方中断的影响,并始终满足合规要求。Prevalent平台包含基于ISO 22301标准实践的全面业务韧性评估。
《纽约州法规汇编》第23卷第500.17条
网络安全事件通告。
为满足在知悉网络安全事件后72小时内向金融服务部通报的要求,应制定主动的第三方事件响应计划,其中包括:
- 集中管理供应商
- 开展主动事件评估(并允许供应商自主提交事件)
- 将识别出的风险与可接受阈值进行比对
- 将供应商响应与持续网络监控进行关联
- 发布补救指导
通过Prevalent管理23 NYCRR 500合规性
若仅依赖电子表格来收集、分析、整改和报告网络安全控制措施,则无法有效满足《纽约州法规汇编》第23卷第500章(23 NYCRR 500)所规定的要求。Prevalent第三方风险管理平台可助力您的金融机构在整个供应商生态系统中满足23 NYCRR 500的要求。该平台提供:
- 自动化合同前尽职调查,确保第三方具备基础信息安全政策,从而降低贵公司面临的风险敞口。
- 详细的固有风险评估与供应商分类,为确定需开展进一步评估的领域提供指导方向。
- 一个庞大的风险问卷模板库,可根据贵公司最重视的控制措施灵活评估供应商。
- 对网络安全事件进行全面持续监控,为评估结果添加背景信息并建立关联
- 规范性的业务连续性与事件响应计划,确保第三方具备应对新兴网络安全风险的政策与流程。
如需了解如何实现23 NY CRR 500合规要求,请下载我们的合规检查清单或联系我们预约演示。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
