《纽约州法规汇编》第23卷第500部分及第三方风险管理
2017年初,纽约州金融服务部(DFS)颁布了23 NYCRR 500法规,为金融服务公司制定新的网络安全要求。该法规旨在保护客户信息及相关信息技术系统的机密性、完整性和可用性。
23 NYCRR 500法规的出台,旨在应对金融机构数据泄露事件和网络威胁的惊人增长。遵守该法规的关键环节在于管理供应商的IT安全控制措施及数据隐私政策。
该条例的多个章节专门针对第三方供应商作出规定:
- 第500.11节直接涉及第三方服务提供商的安全政策。该条款要求受规管实体根据风险评估结果,制定书面政策和程序以处理第三方信息系统的安全问题。
- 第500.16节要求受监管实体制定计划和措施以确保运营韧性,包括事件响应、业务连续性和灾难恢复计划。
- 第500.17节要求对第三方网络安全事件进行具体报告。
相关要求
-
建立并维护网络安全计划,该计划应包含风险评估、独立审计及相关支持文件。
-
基于风险评估实施并维护信息安全政策——包括供应商及第三方服务提供商管理
-
任命一名首席信息安全官,该人员必须负责组织网络安全计划的实施、审查及汇报工作。
-
包含具体的网络安全技术和实践
-
建立第三方风险管理计划
-
提交年度合规证明文件,确认遵守这些规定
满足《纽约州法规汇编》第23卷第500部分《贸易实践与营销规则》的要求
以下是Prevalent如何帮助您满足《纽约州法规汇编》第23卷第500部分(NYCRR 500)的第三方风险管理要求:
| 《纽约州法规汇编》第23卷第500部分 要求 | 我们如何提供帮助 |
|---|---|
| 第500.11条 (a) 每家受监管实体应制定书面政策和程序,旨在确保第三方服务提供商可访问或持有的信息系统及非公开信息的安全。此类政策和程序应基于受监管实体的风险评估,并在适用范围内涵盖以下内容: |
|
| (1) 第三方服务提供商的识别与风险评估; |
Prevalent 通过捕捉、追踪和量化固有风险,使您能够根据第三方信息资产所面临的威胁程度对其进行评估和监控。用于计算第三方分类固有风险的标准包括:
基于此内在风险评估,您的团队可自动对供应商进行分级;设定适当的进一步尽职调查层级;并确定持续评估的范围。 |
| (2) 第三方服务提供商为与受保护实体开展业务必须满足的最低网络安全实践要求; |
Prevalent 可集中并自动分发、比较和管理招标书 (RFP) 和信息请求书 (RFI)。我们的解决方案还能提供业务、声誉、财务和数据泄露风险洞察,为供应商选择决策提供信息和背景资料。 Prevalent 将每个选定的供应商转入签约和/或入职尽职调查阶段,自动推进供应商的第三方生命周期。 |
| (3) 用于评估此类第三方服务提供商网络安全措施充分性的尽职调查流程;以及 |
Prevalent通过自动化风险评估,在第三方生命周期的每个阶段,拓展您第三方风险管理计划的可视性、效率和规模。 该解决方案拥有750多项标准化评估工具库,具备定制化能力,并内置工作流与补救机制,可实现从调查收集与分析到风险评级与报告的全流程自动化。 借助Prevalent平台,您可轻松收集并关联各类供应商管控措施的情报,根据第三方固有风险评估确定的关键性,从而识别信息管理面临的威胁。 评估与持续监控的结果汇集于单一风险登记册,通过热力图报告依据风险发生概率与影响程度进行量化分类。借助此洞察,团队可清晰预见风险后果,并为第三方提供现成的补救建议以有效降低风险。 |
| (4) 根据第三方服务提供商带来的风险及其网络安全措施的持续有效性,对其进行定期评估。 |
评估可在签约前、合同续签时或按任何要求的频率(例如每季度或每年)进行。 集成式原生网络安全、业务、声誉及财务风险监控能力,可标记定期评估间的重要变化,并能触发通知、后续评估或其他行动。 Prevalent 可根据风险评估结果提供内置补救建议。这些建议由工作流程和任务管理功能提供支持,以确保第三方及时、满意地处理风险。 |
| 第500.16条 (a) 作为网络安全计划的一部分,每个受监管实体应制定书面计划,其中包含主动措施以调查和缓解破坏性事件并确保运营韧性,包括但不限于事件响应、业务连续性和灾难恢复计划。 |
|
|
(2) 业务连续性与灾难恢复计划(本部分简称BCDR计划)。BCDR计划应合理设计,以确保在紧急情况或其他业务中断事件发生时,覆盖实体的服务可用性与功能性,并保护其人员、资产及非公开信息。此类计划至少应包含: (iii) 包含一项应急计划,用于在发生紧急情况或其他导致受覆盖实体运营中断时与关键人员进行沟通,包括员工、交易对手、监管机构、第三方服务提供商、灾难恢复专家、高级管理层以及任何对文件和数据恢复及运营重启至关重要的人员; (vi) 确定对覆盖实体业务持续运营必不可少的第三方。 |
Prevalent 可自动对第三方业务复原力和连续性进行评估、持续监控、分析和补救,同时自动将结果映射到 NIST、ISO 和其他控制框架。 这种积极主动的方法使您的组织能够最大限度地减少第三方干扰的影响,并始终满足合规要求。 Prevalent 平台包括基于 ISO 22301 标准实践的全面业务复原力评估,使组织能够:
当需要终止或退出关键服务时,Prevalent 可利用可定制的调查和工作流程,报告系统访问、数据销毁、访问管理、相关法律合规性、最终付款等情况。该解决方案还可根据离职评估的答案提出行动建议,并在必要时将任务分配给审查人员。 |
| 第500.17节 (a) 网络安全事件通知。 |
|
| (3) 凡因第三方服务提供商发生网络安全事件而受影响的受监管实体,应尽可能及时地通过电子方式向主管官员提交通知,通知格式须符合本部门网站规定,且无论如何不得迟于该受监管实体知悉该网络安全事件后72小时。 |
Prevalent通过集中管理供应商、执行事件评估、对识别风险进行评分、关联持续网络监控数据以及获取修复指导,使您的团队能够快速识别、响应、报告并减轻第三方供应商事件的影响。核心功能包括:
|
