第三方供应商管理和纽约州金融服务管理局第 500 号条例

NYDFS 第 500 部分中规定的第三方服务提供商安全政策要求,对于加强纽约金融服务业的网络安全保护大有裨益。

装饰图片

第三方供应商管理是保护客户和业务信息的关键职能。纽约金融服务部("DFS")《网络安全法规》第 500 部分规定的第三方服务提供商安全政策要求具有开创性意义,如果得到遵守,将大大有助于从根本上加强纽约金融服务业的网络安全保护。

NYDFS Part 500于 2017 年 3 月 1 日生效,其各项规定的实施期为两年。该条例适用于根据纽约州银行、保险和金融服务法获得 DFS 许可、特许或类似授权的任何个人或实体。这包括所有获得纽约州特许经营许可的银行、抵押贷款经纪人和抵押贷款机构、保险公司和代理商、汇款机构和加密货币交易所。该条例旨在保护此类公司持有的所有非公开信息,包括个人消费者信息、医疗保健信息以及与业务相关的信息,这些信息的披露会对业务运营或安全造成重大不利影响。

金融服务管理局网络安全条例》的目标是通过制定纽约金融服务业必须遵守的最低标准,加强控制和保护非公开信息,从而提高非公开信息的安全性,保持业务连续性,降低潜在网络安全漏洞带来的风险。该条例包含大量条款,规定了网络安全计划、网络安全政策、风险评估、加密、渗透测试、多因素身份验证、事件响应计划、培训和管理等方面的各种要求。2019 年 3 月 1 日生效的最后一条规定是第 500.11 条,即关于第三方服务提供商的规定。每个承保实体必须每年向 NYDFS 证明其遵守了该条例。

第 500.11 部分题为 "第三方服务提供商安全政策",其依据的原则是,受 DFS 监管的机 构必须遵守本条例,对第三方供应商可访问的受监管实体非公开信息的安全负责。换句话说,受监管实体不能因为允许安全保护措施不足的第三方供应商访问受监管实体的信息系统以及非公开客户和业务信息而降低其安全保护措施。该条例所涉及的第三方是向受保实体提供服务并获准通过此类服务获取非公开信息的任何个人或实体。

为遵守该条例,受 DFS 监管的实体至少必须:(1) 定期识别和评估与其第三方供应商相关的风险;(2) 设计和实施政策和程序,以应对其第三方供应商的网络安全风险;(3) 开展尽职调查,以评估每个供应商的网络安全实践是否充分,包括第三方的访问控制、加密的使用、人员和培训;以及 (4) 考虑有关安全保护和网络安全事件通知的合同声明和保证。

网络安全是全公司的责任,因此,遵守第 500 部分必须遵循全公司的流程,包括对第三方供应商的评估。这一流程应包括定期对公司第三方供应商的风险进行评估,评估的依据是各供应商对非公开信息的访问权限及其网络安全政策和计划的强度。评估应包括审查第三方供应商的访问控制、加密的使用、测试、人员和培训。正如受保实体必须制定事故响应计划一样,掌握受保实体业务和客户信息的第三方供应商也必须制定事故响应计划。这些努力对于降低网络安全漏洞造成的任何损害的风险至关重要。

在当今世界,我们必须认识到,网络安全是一种无法消除,但肯定可以减轻的生存威胁。网络犯罪分子会寻找漏洞,而公司向第三方供应商提供非公开信息时就可能存在这种漏洞。一旦发生泄密事件,承保实体不能简单地将矛头指向供应商。虽然供应商可能要分担责任,但第 500 部分明确规定,受监管公司的供应商管理和尽职调查必须包括网络安全保护措施。这样,那些拥有强大网络安全计划的第三方供应商将在为纽约受监管金融服务业提供服务的竞争中占得先机。理应如此。


编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。