NYDFS 和第三方风险管理：如何影响您

梅丽莎：大家好，欢迎各位加入。很高兴看到大家陆续参与进来。在等待大家就位连接的过程中，我将留出一分钟时间。嗯，与此同时，我将启动首次投票。你们会在屏幕上看到弹窗。嗯，我很好奇大家参与本次网络研讨会的动机。嗯，你们是刚开始接触TPR教学法和课程体系？ 或许您是Prevalent的现有客户？出于学习目的？或者纯粹热爱参加网络研讨会——这可是我的爱好呢！请告诉我原因。现在让我们快速进入自我介绍环节：我是梅丽莎，负责业务拓展工作。今天我们特别邀请到两位嘉宾：Prevalent全球产品与服务高级副总裁艾利斯特·帕尔，以及解决方案专家兼内容经理托马斯·汉弗莱。大家好！

阿利斯泰尔：大家好。感谢邀请我们前来。梅丽莎：当然，很高兴你们能来。我们还特邀了产品营销副总裁斯科特·朗。嗨，斯科特。斯科特：梅丽莎你好，近来可好？梅丽莎：很好。今天托马斯和阿利斯泰尔将探讨纽约州金融服务局（NYDFS）的第三方风险管理政策及其对各位的影响。 关于会议安排：本次网络研讨会将全程录制，结束后您将收到录播视频及演示文稿。目前所有参会者均处于静音状态，如需交流非问答环节的问题，请使用聊天功能。现在请托马斯和阿利斯泰尔开始分享。请开始吧，两位。

阿利斯泰尔：非常感谢。当然，如果您有希望我们解答的问题，并希望将其融入讨论中，请随时提出。我建议通过问答环节而非聊天功能提交问题，这样更有可能被我们注意到，我们也会在讨论过程中尽量融入这些问题。非常感谢大家今天参与。 再次向初次接触我们的人介绍：我是艾利斯特·帕尔，现任Prevalent公司产品与服务高级副总裁。为何我具备谈论此话题的资质？ 过去近十年间，我有幸参与审计工作，尤其在第三方风险管理项目领域，接触过数百个第三方生命周期项目。今天与我同台的是杰出的托马斯·汉弗莱斯。托马斯，您今天为何有资格与我们探讨DFS？

托马斯：嗯，是的，你好阿利斯泰尔，大家好。我是Prevalent的内容经理，负责设计并实施各类标准和框架下的评估工作，尤其在信息安全、网络安全及隐私保护领域。涵盖ISO、NIST、GDPR以及纽约州金融服务局（NYDFS）等标准。在此之前，我担任ISO审核员近十年。 嗯，所以...是的，涉及众多标准和框架的评估工作。阿利斯泰尔：非常感谢托马斯。今天我们将深入探讨托马斯对NYDFS的见解。接下来我们将重点介绍NYDFS框架下的NYCR 500要求及其内涵。 我们将探讨如何识别并分类框架特有的第三方服务提供商，研究评估第三方时的尽职调查应用，进而延伸至持续性管理——如何长期维持合规？如何聚焦韧性与恢复力？特别是事件报告要求方面？托马斯，请先分享您的见解。

托马斯：是的，完全正确。嗯，欢迎各位参加今天的网络研讨会。对于不了解纽约州金融服务部（NYDFS）网络安全框架的听众，我稍后会详细说明，但我想先简要介绍一下，或许需要退一步审视当前不仅在纽约州，整个金融领域正在发生的变化。 回溯过去两三年，各类威胁持续攀升，其中网络威胁占据主导地位。这些威胁仍在不断增长。 国际货币基金组织等机构已多次强调，亟需强化安全最佳实践的落实力度。数据显示，全球近20%的网络钓鱼案件集中于金融领域——2021年该行业占比超过20%。 勒索软件威胁呈逐年递增态势。若回顾2020年初至2022年乃至今年初的攻击态势，诸如SolarWinds、Log4j等高调攻击事件及各类定向威胁，已在供应链中引发连锁反应与广泛破坏。 金融业尤为受创。基于网络的攻击呈上升趋势，包括SQL注入、跨站脚本攻击、针对企业网站及网络系统的定向攻击，以及任何植入恶意代码的定向攻击手段。 当然，供应链规模持续扩大，对供应商的依赖程度不断加深，这些趋势也在推波助澜。那么网络威胁激增的根源何在？可探讨的因素相当多元，但最值得关注的或许是数字化转型这一概念——这绝非新议题，其发展历程至少可追溯至近十年。 这一进程已持续近十年，甚至更久。但随着金融机构投入更多时间和资金开发新技术、新资产、新应用及系统解决方案，对各类技术的依赖程度随之加深，进而导致对第三方服务商的高度依赖。 由此催生出更广泛的风险暴露效应——钓鱼攻击、勒索软件威胁及其他攻击手段的威胁面持续扩大。这种现象具有显著的循环特性，因为它同时加剧了整个供应链的可见性风险。 回溯数字化转型进程，我们如何保障技术投资与应用的安全？各类威胁正显著激增，其严重程度足以促使大型监管机构及重要组织——包括纽约金融服务局——提升应对能力，将网络安全置于首要议程。

阿利斯泰尔：托马斯，在深入探讨监管细节之前，我觉得有必要提一下——虽然我明白这主要聚焦于网络安全领域，但为了让在线听众全面了解，我们确实观察到许多值得关注的新趋势，这些趋势正获得更多关注。 网络安全自然是核心要素，但正如你在其他网络研讨会中可能观察到的，当前更受关注的领域包括ESG（环境、社会和治理）议题——这显然是热点话题——更广泛的供应链韧性问题，以及多领域的隐私保护。 这只是当前数字化转型浪潮中的一个侧面——人们开始更深入地考量地缘政治事件、环境事件等对供应链的影响。这些趋势固然引人深思，但托马斯，今天纽约金融服务局（NYDFS）的焦点在于法规本身及其目标，您能否就此提供些见解？

托马斯：当然。那么，我们先从基础介绍开始。我使用了"NYDFS"这个术语，大家会看到这里出现新缩写。我们这些参加过主流网络研讨会的人都喜欢用缩写词。 我们正在讨论的是纽约市RR500第23号法规。NYDFS是纽约州负责管理、分发并确保法规正确实施的实际部门。而NYCRR即纽约法规规则与条例，是框架中涉及网络安全的具体部分。 该法规由NYDFS强制执行，旨在为机构提供一套规范性强且结构化的网络安全最佳实践应用框架。后续幻灯片将展示覆盖多领域的各类管控措施——其中部分内容可能与机构现有措施高度相似，正如我们通过IDFS等监管机构所见。 当监管机构（如纽约州金融服务局）制定框架时，其关注焦点始终是最佳实践所在——不仅涵盖本行业，更延伸至更广泛的行业及网络安全领域。 因此，NYCR 500法规的控制措施与ISO、NIST等非监管性最佳实践标准之间存在诸多共通点。这些框架涵盖治理控制与运营控制，稍后我们将具体剖析各项控制措施。其核心在于验证这些最佳实践要求是否被企业切实执行。 若能正确实施，这将有力证明贵机构的整体安全态势。当然，我这里指的是单一视角下企业对法规的执行。但正如今日将探讨的，该框架在第三方及更广泛供应链中的应用同样存在强关联性与预期要求。阿利斯泰尔：很有意思。 那么托马斯，您是否观察到特定驱动因素，解释为何各类政治性法规框架正日益聚焦供应链？他刚才提到网络攻击数量上升，但您是否注意到金融服务部（DFS）在强化第三方韧性与供应链风险管控方面存在其他实质性驱动因素？

托马斯：有意思的问题。嗯，正如你提到的，显然推动因素之一始终是新兴威胁的出现，以及威胁的激增——比如钓鱼攻击和勒索软件数量的暴涨。 但同时——我们通常发现，或许这正是数字化转型发挥作用的关键点：若将网络安全因素暂且搁置，仅聚焦供应链领域，就会发现金融机构之间亟需更强的互操作性，同时需要更开放的环境和更开放的社会——这些趋势我们已目睹其迅猛发展。 回顾过去两年，2020年疫情带来的意外收获之一，正是极大推动了金融机构及其客户提升交互能力——以更高效、更无缝的方式开展业务。 这必然推动供应链开放，促使企业拓展供应商合作网络。正如艾利斯特所言，除网络安全外，另一重要衍生趋势是关注日益突出的领域——例如ESG标准，以及金融机构所用第三方产品与服务的溯源问题。

阿利斯泰尔：谢谢托马斯。请详细说明一下这项法规的内容？托马斯：好的。嗯，我开头提到过，这项法规显然主要针对纽约州及其辖区内注册运营的金融机构。 但需注意的是，纽约州金融服务部（NY DFS）从一开始就设定了某些豁免条款。这些豁免并非意味着机构无需遵守任何监管要求，而是根据机构类型，可能减少监管控制的类型和数量。 左侧列出的机构若满足以下条件：员工少于10人、总收入低于500万美元、近端资产低于1000万美元，且底部那些对非公开信息系统无控制权或访问权的机构，则右侧所列控制措施无需遵守。最高层级机构无需设立正式的首席电子安全官（CESO）。 在应用安全、审计追踪、培训和监控等方面，这些控制措施并不正式适用。 具体而言：这些组织仍可将相关措施作为最佳实践框架及整体方法论来实施。但从监管角度及向监管机构验证时，它们无需提供"设有首席信息安全官（CESO）"及"履行企业网络安全统筹管理职责"的证明材料。 因此，NIDFS确立了一系列豁免条款，这些条款在当前审议的拟议规则中依然有效——稍后我会详细说明，因为近期框架已提出更新方案，预计将于今年晚些时候正式实施。

梅丽莎：嘿托马斯，有个紧急问题。你能确认这些例外条款是针对实体本身而非第三方供应商吗？托马斯：这些条款适用于纽约州金融服务局（NYDFS）列出的受监管实体。没错。 是的。我本该说明的，抱歉。就像所有完善的法规框架一样，NYDFS明确界定了若干术语，其中之一就是所谓的"受监管实体"。只有这类机构才能享有这些豁免条款。

托马斯：嗯是的，梅丽莎：就是这样。谢谢。阿利斯泰尔：谢谢托马斯。补充说明一下，我们注意到提案中涉及扩大报告义务等具体调整。稍后我们将对此展开更详细的讨论。再次感谢。 请继续提问。托马斯，能否解释治理控制与运营控制之间的差异？托马斯：当然。现在我们将深入探讨纽约州金融服务局（NYDFS）作为框架的具体架构。如屏幕所示，共有17个不同要点，每个要点代表一组不同的控制措施。 从网络安全计划与政策，到涵盖资产管理、即时交易及业务连续性的控制措施——这些内容我们今天稍后也会涉及——再到围绕漏洞管理、渗透测试、应用程序使用、系统访问管理、加密等领域的运营或技术控制措施。 需要特别说明的是，我采用这种分类方式是因为——鉴于纽约州金融服务局（NYDFS）强烈要求在制定或实施NYDFS要求时，必须采取整体治理方法构建结构化管理框架。 因此，由高层管理制定政策流程、建立风险管理评估机制，再结合技术与运营控制措施来完善治理控制体系，我认为是较为合理的实施路径。 您可能注意到有四个加粗的特定领域，这代表提案涉及的四个控制领域——这些领域的措辞已发生实质性变更。例如当前500.04条款中提及的首席信息安全官， 现已调整为"网络安全治理"。需特别强调的是，新提案明确指出：首席信息安全官虽在组织中承担重要监督与汇报职能，但更应着重发挥高级管理层及董事会层级的决策作用（视组织实际情况而定）。由此可见，多数控制措施的扩展方向正呈现出更强烈的管理层级化特征。 与事件响应和业务连续性类似。这些内容并非当前版本未涉及，而是得到了扩展。艾尔，麻烦您再点击一次，应该会有个小动画弹出。 是的。另需特别说明的是：前张幻灯片提到根据组织类型存在豁免条款——例如不持有非公开信息或信息系统的机构。而针对所谓A类公司，规则则走向另一极端。 对于年收入超过2000万美元、员工数超2000人的机构，将实施额外的监管要求与管控措施。 举例来说，这类企业必须接受独立审计机构每年上门评估其对纽约州金融服务部（NYDFS）合规要求的执行情况。值得注意的是，法规同时保留了例外条款——我们理解员工少于五人的小型企业，其敏感信息系统交互量极低，部分合规要求可能过于严苛。 因此我们需要一套更集中的管控措施。而对于那些大型组织，则需要额外强化管控要求。虽然NYDFS的结构和宗旨与现有体系高度相似，但其推出的管控措施类型及扩展方向确实令人振奋。

阿利斯泰尔：托马斯，我发现特别有意思的一点是，当人们提出这些拟议变更时——特别是关于扩大报告义务的部分——大家担心人们如何才能有效地报告，比如说 比如说，假设有人提议在特权账户遭入侵、未经授权的用户访问特权账户、勒索软件事件发生甚至某些勒索付款案例中，必须在72小时内履行报告义务——人们担忧如何满足这些要求。 我发现颇有意思的是，这与隐私保护领域普遍存在的现象存在某种共鸣——例如《通用数据保护条例》(GDPR)强制实施的报告要求。初期虽存在争议和担忧，但行业和机制很快作出相应调整，确保各方能够及时识别此类事件。 随后，相关机制被逐步纳入下游供应商合同条款。例如当第三方发生安全事件时，受保护实体需依法响应——此时无论是技术层面还是合同层面，都已建立完善的机制保障响应能力。围绕拟议修订案的讨论确实颇具启发性，相信您也观察到了类似现象。

托马斯：绝对如此。这确实是我们始终面临的核心领域之一。不仅是这个，你提到的其他方面也是如此——比如从整体隐私保护来看，无论是GDPR还是加州近期出台的《加州消费者隐私法案》及其新隐私权法案，显然这对监管机构本身至关重要，我认为他们大多确实重视这方面——比如在数据泄露事件中向监管机构提交响应通知，同时还要应对各类组织机构的差异性。这些因素都被充分考量，这一点值得特别强调。所以是的，

阿利斯泰尔：太棒了。托马斯：那么展望未来，嗯，我之前提到过有几项调整。我将简要谈谈其中一些更关键的领域——我根据三大核心变革方向进行梳理：其一是政策与流程制定，其二是强化运营管控，其三是事件应对与业务连续性。所有这些举措都旨在全面提升安全最佳实践的实施水平。 首先是政策与流程开发。纽约金融服务局（NYDFS）始终需要完善安全政策体系，其政策范围涵盖从访问控制到资产管理、事件处理等多个领域。 通过拟议修订案，我们观察到政策文件的数量虽未增加，但内容深度显著提升。以事件管理和业务连续性为例：现行法规中仅存在基础要求，而修订后新增了具体控制措施，明确了连续性计划的制定流程及关键覆盖要素。 资产管理方面同样如此，政策要求得到强化，需明确包含产品生命周期终止的处置方案——例如如何处理报废资产并确保其妥善处置。 因此治理层面的要求显著提升——从政策流程概念到技术控制措施，再到强化后的运营控制。我之前提到的三大核心领域：身份验证、资产管理和威胁监控，这些虽在现有框架中已存在，但现已得到扩展，部分领域甚至进行了相当大的调整。部分控制措施已进行调整，某些调整幅度相当显著。以身份验证为例，纽约州金融服务局（NYDFS）在过去两三年间注意到，许多企业未能充分实施多因素身份验证（MFA）控制措施。 现新增独立的多因素认证专项控制项，该内容已纳入并扩展至NYDFS的访问控制模块中。可见监管方要求强化多因素认证的开发规范，明确认证机制在流程或系统中的应用节点。同理，威胁监测及漏洞评估、渗透测试的执行频率也得到强化。 最后，正如稍后将看到的，在事件响应与管理、业务连续性及灾难恢复的全生命周期规划流程与测试方面，都进行了相当显著的扩展。值得注意的是，这三个领域都从第三方视角获得了不同程度的强化。 例如：第三方政策制定的强制性要求、政策内容规范、第三方合作关系管理、技术控制措施，以及第三方遭遇事故或触发业务连续性计划时应提供的响应级别。可见第三方管理与上述三项变革存在紧密关联。

阿利斯泰尔：确实还有不少重大变更将影响人们的应对方式。托马斯，根据你过去对MIDFS的观察，我了解到咨询流程已持续至一月征集反馈。虽然我们不会就此追究责任，但你是否凭直觉预判人们预期何时实施？托马斯：是的。 通常这类流程会提供指导期，以天数为单位计算——我记得是修订日起180天或6个月。 而修订案日期约在2022年10月。鉴于咨询环节已于1月底结束，若按此时间线推算，预计今年4月至5月间将正式实施。距离现在约两个月左右。 不过咨询环节确实已于1月底结束。这也意味着除提案中已公布的内容外，不应再有重大调整。

阿利斯泰尔：那么托马斯，你的总体建议是先确保建立相应的控制机制，以便以某种形式接纳当前草案的现有内容？托马斯：完全正确。 是的。我的意思是，既然已进入这个阶段——正如所说，一旦修订程序完成，审议流程现已截止——考虑到距离最终实施还有两三个月时间， 现在正是着手评估这些变更的绝佳时机——既要衡量变更的重要性，也要评估现有措施与新要求之间的差距，尤其要关注业务连续性等重大调整领域。 因此我认为，现在正是启动调整或至少开展评估的合适时机——基于当前工作现状，我们需要明确这些差距的具体影响程度。

阿利斯泰尔：有道理。那么基于这个思路，我们该如何着手识别和分类第三方服务提供商？其实我们多次讨论过一个问题：如何处理规模较大的SAS公司？这类企业通常更愿意配合，允许进行现场渗透测试等活动。托马斯：是的，这始终是个难题。 与这些巨型组织打交道时，这种情境总会引发些许困扰。嗯...云服务提供商就是典型案例，稍后我会详细说明。所以，若从流程起点考虑，我们显然需要先厘清第三方供应商的身份。 我们必须能识别第三方身份、业务内容、地理位置、规模、复杂程度及参与深度。从MIDFS角度看，关键在于：他们是否接触非公开信息或信息系统？ 他们提供的服务类型是否对企业最终目标具有关键性影响？因此必须逐一识别每个第三方，建立其档案。需掌握其处理的数据量、地理位置、组织规模等信息。他们是否为独家供应商？这往往是需要重点关注和警惕的关键领域。 所有这些信息有助于构建第三方全景图，进而逐步厘清评估路径——无论是评估方式还是合作模式，都需基于纽约州金融服务局（NYDFS）框架，明确需要对其实施的管控措施或评估标准。 当然，关键环节在于建立关系网络——开始梳理供应链结构，厘清不同供应商间的关联性，从而洞察供应链的复杂程度。显然，这需要借助基于供应商档案的信息来实现。 当我们明确供应商身份、规模、数量、地理分布及所供产品服务类型后，便可着手进行分级管理。例如，那些持有高度敏感信息或数据的机构——比如为我们处理海量财务记录的供应商—— 这类供应商理应被列为第一层级、第一优先级的关键第三方，而那些仅在我们场所内提供咨询服务的机构，则可能根据业务复杂度归入更低层级的供应商链——必要时可划分为第三、四、五层级。阿利斯泰尔：抱歉打断。有个快速问题。 我理解基于风险画像和分层的务实且相称的风险管理，在该领域基本是行业标准。那么纽约金融服务局（NYDFS）在理解补偿性控制措施如何满足其他要求方面，给予了多少灵活性？例如当供应商基本满足核心要求，但存在一两项因风险画像和分层评估而无法适用的缺口时，补偿性控制措施能否弥补这些缺口？

托马斯：嗯，在某种程度上可以。这取决于控制措施的类型。纽约州金融服务局（NYDFS）确实明确指出，在许多情况下，当补偿性控制措施被视为对某些事项的充分保障时，它可能被视为比理想方案更合适的选择。 从治理角度看，仍需正式确认和签字批准。在提案出台前，重点始终放在首席执行官身上——确保他们已履行充分尽职调查和监督职责，确认这些控制措施既充分又正确实施。是的，我认为提案中这点也不会改变。

阿利斯泰尔：有意思。谢谢。那么在基于受控效率建立比例补救措施时，我们是否需要从强制性角度出发，并开始追踪我们提出的任何评论或观察？您如何看待尽职调查的具体应用？托马斯： 是的，这里有几个关键点。纽约州金融服务局（NYDFS）的监管规定及其中某些控制措施在此显得尤为重要且关键。当我们在高层级思考如何应用日志并评估第三方时，起点始终应是理解第三方风险。 我们已探讨过构建第三方风险图景的概念，再次强调需要建立清晰的风险管理框架——正如纽约州金融服务局所建议的，该框架为第三方风险管理提供了明确结构：风险需被识别、记录并持续审查。 这实为识别第三方关注重点的首要步骤——当风险被识别并建立管控程序后，我们才能着手制定最适宜的控制措施，这些措施不仅涉及治理层面，更需从监控角度向第三方传递明确要求。 所谓"要求第三方落实"，既包含合同条款中基于其服务内容的实施预期，也涵盖持续尽职调查、定期审查、审计及绩效监控等环节——确保纽约州金融服务局要求的管控措施切实有效，从而有效应对风险。 当然，这种持续循环的流程特性，既能创造改进机会，也能识别潜在薄弱环节——无论是从组织层面发现第三方计划的缺陷，还是提升这些第三方机构的安全防护能力。

托马斯：具体来说。托马斯：是的。那么，除此之外，当我们完成风险评估流程并明确需要与第三方涉及的管控类型后，还应自问更多问题。 正如你所见，我已标出五个独立控制领域。这五个领域代表着与第三方相关的通知事项，即存在需要以某种形式与第三方互动的要求。因此在正式签订合约前，必须明确我们需要第三方提供哪些服务，以及在启动合同协议制定时应提出哪些要求。 首先，第三方将如何深度参与我们的产品与服务？是否将重要组件或功能外包给第三方？ 是否将数据集及其他信息移交该机构管理？网络安全实践是否依赖第三方？外包概念在纽约州金融服务局（NYDFS）并非新鲜事。尤其对小型机构而言，我们认为这是一种非常常见的做法——无论是聘请网络安全专业人士、专业机构或咨询公司，甚至将首席信息官（CIO）角色外包给企业。 这种做法在当前监管框架下具有高度相关性。当然这引发了一系列新问题——纽约州金融服务局（NYDFS）特别强调：当企业进行外包或依赖第三方供应商（尤其是安全最佳实践或咨询服务）时，必须确保其仍符合NYDFS的监管要求。 这并非意味着我们将所有信息移交出去，或放任第三方代为管理而自身不作为。 标准特别强调：即使大量外包或依赖第三方，企业仍需对其履行尽职调查，确保其遵守纽约金融服务局（NYDFS）规定。最后关键在于：第三方是否接触关键系统和信息？ 在启动合规流程时需提出若干关键问题，且在与第三方持续合作期间也需定期确认：纽约金融服务局（NYDFS）规定的最佳实践是否得到充分且正确的遵守？从上一张幻灯片可见，控制措施500.11特别聚焦于第三方信息安全政策。 该框架由此细化了第三方尽职调查的具体实施环节。请看下一张幻灯片，其中涉及四大核心领域：对每个第三方进行识别与风险评估；网络安全实践或最低标准最佳实践；评估网络安全实践充分性的尽职调查；以及需对每个第三方定期开展的评估工作。抱歉。

阿利斯泰尔：哦，托马斯，托马斯：正如你所见，这些是安全政策中的四个关键领域，它们目前存在于我DFS的现行版本中。在拟议版本中也得到了大幅扩展，但这实际上强调了我所确定的整个分步流程——即针对组织可理解的风险，通过分析纽约州金融服务局（NYDFS）的每项控制条款，确定需要在第三方实施的最关键安全实践，以及相应的尽职调查类型。无论是审计、主动性评估还是绩效审查，所有这些都构成了更广泛的第三方风险管理计划的基础。

阿利斯泰尔：那么托马斯，这里有个问题——托马斯：是的——阿利斯泰尔：关于这些与安全政策相关的内容，我理解这更像是一份规范性文件，从宏观层面概述我们的行动方针，通常需要通过流程来补充，并证明这些流程正在被遵循。 那么从自我审计的角度出发，你认为哪些证据能有效证明对总体政策声明的合规性？托马斯：是的。如果仅指第三方安全政策，这里有几个关键要点。 正如您所言，该政策主要聚焦于是否存在统一规范所有实践的文件，但除此之外，我们还需关注协议条款与合同声明。关键在于如何将这些实践要求纳入第三方协议——例如绩效评估会议的流程设计，以及尽职调查的具体步骤与后续处理机制。 若考虑定期审计第三方供应商，我们需要提供哪些证据来证明尽职调查已完成且供应商表现达标？若发现问题，需明确问题根源。关键在于建立框架、流程或职能机制，既能捕捉尽职调查中暴露的风险与问题，又能通过持续流程实施纠正措施。 若从更广义的角度审视政策，需特别指出——虽然我未精确统计——框架文件中政策条款的提及频率约为12至13次。 在某些组织中——比如A类企业——若涉及A类第三方，可能需要制定13项独立政策，并配套具体程序文件及其他可展示的证据。但若另有一家仅有五名员工的组织，如何适用这些要求？显然无法制定如此复杂的政策体系。但关键在于： 因此存在相当大的灵活性——只要符合组织实际需求即可。在证据收集或索证方面，我们可遵循若干最佳实践：无论是书面文件、会议记录、会议纪要，还是风险管理流程记录。 但所有这些都应根据业务类型、第三方性质或第三方复杂程度来综合考量。

阿利斯泰尔：是的，这确实是个关键点。从资源合理配置的角度来看，这种务实态度确实令人安心。我理解有些企业能凭借完整的审计合规团队与信息安全部门协作推进此事，而正如你所说，其他企业显然不具备这样的条件。 所以务实态度似乎是关键所在。托马斯：确实如此。阿利斯泰尔：很好。那么我想进一步了解事件响应流程——从业务连续性、恢复机制和事件报告这三个维度。托马斯，能否请你详细阐述一下？

托马斯：完全正确。正如我开场时提到的，这个领域经历了相当大的变革，尤其在扩展控制范围和完善控制描述方面。有趣的是他们将所有内容整合到一起——即时业务连续性恢复或即时业务连续性灾难恢复，名称确实冗长，但所有内容都归入单一控制项之下。 他们正在扩展——或者说即将扩展——即时计划制定、即时政策制定以及BCDR政策体系构建的概念。本页开头有段引文，新《网络安全框架》明确要求企业在制定响应计划时，必须涵盖网络安全事件应对，包括勒索软件攻击等破坏性事件。 值得注意的是，这段表述直接源自框架文本。我认为这恰恰凸显了监管机构正意识到某些威胁正变得日益突出、日益严峻。因此他们要求企业必须重视应对此类破坏性事件的策略，这实际上是在扩展即时管理定义的范畴。 需要建立即时响应流程、即时遏制事件、即时应对事件，并通过沟通渠道进行升级处理。网络安全事件的实际报告及相关响应活动也经历了变革与扩展。 当然，第三方因素在此也恰好能发挥作用。企业不仅要审视自身应对网络安全事件的机制，更需从合同层面强调：当第三方（例如托管金融数据的系统供应商）遭遇数据泄露或安全事件时，必须通过指定渠道及时通知企业。 因此我们特别强调角色分工、责任划分及企业决策机制——明确需采取的行动、何时需要升级处理（无论是从第三方回溯至本组织，还是反向传递），以及从本组织向客户乃至监管机构的层层传递。 从即时管理角度看，响应计划的制定流程、相关职责分工及目标设定确实经历了显著扩展。而当审视文本要求时，会发现这与国际标准化组织（ISO）、美国国家标准与技术研究院（NIST）等机构多年来倡导的框架理念高度契合。 因此纽约州金融服务局能采纳这些最佳实践，我认为相当令人鼓舞。

阿利斯泰尔：是的，我认为近期政策调整也颇具深意。你刚才提到勒索软件这类破坏性事件，提案中特别强调必须在24小时内通报勒索付款要求，这点很有深意。托马斯：没错。阿利斯泰尔：后续还需说明采取该措施的必要性。我个人很赞同强调这一点——人们必须证明为何未采取相应措施来应对勒索软件事件，包括建立韧性机制和恢复能力。这相当具有启示性，也体现了相关文件的意图和方向。

托马斯：绝对如此。我认为这些企业正获得更多问责机制和更高的透明度。嗯，是的，我认为——将看到某些辩解理由会很有意思。阿利斯泰尔：如果……如果……以及当……当这些情况发生时。托马斯：希望支付赎金的人数不会太多，而且他们通常有稳健可靠的机制来恢复被窃取的数据。托马斯：这自然引出了下一个话题——依然围绕BCDR展开。我开场时提到，BCDR对纽约州金融服务局而言并非新概念。但有趣的是，回顾早期版本时，其监管力度相当宽松。 若熟悉该领域尚可接受。但问题在于，像BCDR这类主题本身就相当复杂，要将其简化处理实属不易。 因此，我认为令人鼓舞的是，他们将业务连续性与灾难恢复计划（或系列计划）的制定要求，结合大量最佳实践指南和预期标准进行整合——其中许多内容与现有的其他标准及最佳实践框架相呼应。 那么该标准涵盖哪些关键领域？首先是要求企业全面识别所有资产、基础设施及维持持续运营的关键基础设施。这始终是制定连续性计划时的起点——通过业务影响评估，基于组织运营特性明确： 若遭遇事件，哪些环节需优先恢复？其次是沟通环节。需启用业务连续性协调员，在启动计划时既要内部传达，也要与所有关键人员沟通——此处文本同样摘自法规框架。紧急情况下所有关键人员均需纳入沟通范围。 所谓关键人员涵盖内部与外部两类：外部包括从客户到监管机构等核心利益相关方；内部则涉及依赖第三方企业支撑关键资产、基础设施或流程的业务环节。因此制定连续性与恢复计划时，必须建立清晰的沟通渠道—— 无论是计划测试环节还是实际执行阶段，都需识别维持运营所需的第三方。这不仅涉及事件发生时的紧急通知——例如灾难迫使企业迁移至备用站点或切换运行环境时——更需确保关键第三方对核心资产与基础设施的持续支持。 关键在于：若企业核心资产与基础设施依赖关键第三方，一旦该方停运，将导致组织、客户及主要利益相关方陷入严重困境。必须将其纳入业务连续性流程——是否需从测试层面协作？若恢复计划涉及迁移至备份站点， 是否需要同时纳入这些第三方，以确保其能在我们设定的时限内提供支持？因此存在诸多预期与扩展需求。嗯...我个人认为，确保对任何对业务至关重要的资产、基础设施或系统实现全面恢复覆盖，这种要求是完全合理的。

阿利斯泰尔：我从中真正领悟到的一点是，与供应链沟通互动的合同条款至关重要，这决定了能否真正有效地落实任何有意义的解决方案。确实很有意思。那么托马斯，如果我和你在电梯里只有30秒时间，你会如何概括我们实际该采取哪些措施来应对监管要求？托马斯：好的。 首先，嗯，识别第三方。这永远是关键起点。 了解第三方身份、其处理的数据类型、资产类型，以及他们为我们的关键运营提供哪些支持。围绕这些内容，我们需要建立更广泛的第三方风险管理（TPRM）计划，明确需要施加于他们的管控措施，并据此进行审查评估——尤其要关注我们我们刚讨论过的事件响应和业务连续性领域。一旦识别出第三方，就要持续理解并完善风险评估——这至关重要。风险评估绝非一次性任务，不能完成就束之高阁。这是定期审查全局风险的持续过程，例如今天开场时讨论的钓鱼攻击和勒索软件风险。 审查相关法规，确保清楚第三方应遵循的管控措施。若其接触敏感系统，访问控制是否得当？是否考虑过多因素认证？若其处理敏感数据，是否建立应对安全事件或业务连续性事件的响应流程？ 第三，运用500.11条款构建第三方政策与风险管理计划。建立持续审查机制：第三方是否具备良好安全态势？更重要的是，其安全措施是否符合纽约州金融服务局（NYDFS）的监管要求？

梅丽莎：太好了。非常感谢你，托马斯。现在我将把话筒交给我们的斯科特·朗，他将具体说明CanPrevalent如何帮助企业符合某些监管要求。不过在此之前，我们将进行最后一次投票。斯科特，请开始吧。斯科特：非常感谢你，艾丽斯蒂尔。先确认一下各位能听到我的声音。好的。梅丽莎：当然。你好，斯科特。斯科特：太棒了。太好了。 好的，太好了。嗯，简单说一下，各位，一两张幻灯片展示Prevant如何帮助简化满足合规要求的过程，比如纽约金融服务局（NYDFS）的合规要求。 归根结底，我认为第三方风险管理计划应实现三大目标：无论您是追求NYDFS类合规体系、优化业务实践，还是防范潜在网络威胁及其他合规风险。其一是获取决策所需数据。 其次，提升团队效率，打破各业务部门在第三方风险管理上的信息孤岛。最后，确保项目具备随时间推移扩展演进的能力，以适应不断变化的合规要求。若您仍在使用电子表格处理这些事务，我想您和我都清楚这并非正确方法。 必须引入自动化机制，从第三方外包商、供应商处收集精准的管控信息。将数据整合至可操作平台，进行风险评分，识别高风险主体，并提出整改建议，逐步将残余风险降至可控水平。 没有数据支撑无法开展工作，而全员手忙脚乱也难以推进。归根结底，我们解决第三方风险管理的方案在于：简化并加速供应商入驻流程，提供统一数据源和全生命周期管理流程。 通过优化流程、填补风险覆盖漏洞，将所有可能涉及第三方风险的内部团队整合起来——从新供应商的遴选签约，到合作终止的离场管理。 我们通过三大核心能力实现这一目标：专家团队提供专业支持；平台汇聚前所未有的海量数据，助力您基于网络安全风险做出明智决策；自动化工作流与报告系统则能即时闭环处理各类风险。我们的终极目标是赋能您与您的组织，通过流程统一与多维视角，高效解决第三方风险闭环管理难题。 我为大家准备了一份合规检查清单，专门针对纽约州金融服务局（NYDFS）23 NYCRR 500法规。这份13页的文件逐条解析法规条款，映射最佳实践能力，并最终展示Premley如何协助应对托马斯在本次网络研讨会中详述的每个控制组领域。 这份清单将随网络研讨会录播资料一并发送给各位。那么我先到此为止，现在请各位继续提问。抱歉。

梅丽莎：现在正好是整点时间，所以我要感谢爱丽丝和托马斯，当然还有你斯科特。嗯，感谢大家提出这么多问题。 我们尽力回答了大部分问题，但若仍有紧迫疑问，欢迎发送邮件至[email protected]，我们会为您转交相关负责人。最后，非常感谢各位今日参与，期待在你们的收件箱和未来网络研讨会中再会。祝大家一切安好。谢谢。

阿利斯泰尔：谢谢。