隨著互聯(lián)網(wǎng)科技在金融機(jī)構(gòu)中更廣泛的運(yùn)用，如何更好地保護(hù)金融機(jī)構(gòu)和消費(fèi)者的網(wǎng)絡(luò)安全，也日益成為監(jiān)管者關(guān)注的焦點(diǎn)。2月28日，美國(guó)紐約州金融服務(wù)部（DFS）頒布了新的網(wǎng)絡(luò)安全監(jiān)管規(guī)則，這意味著在紐約運(yùn)營(yíng)的主要金融機(jī)構(gòu)迎來(lái)了相比過(guò)去更為嚴(yán)厲的網(wǎng)絡(luò)安全防控義務(wù)。DFS負(fù)責(zé)人瑪利亞·武克表示，“在這部具有里程碑的規(guī)章之下，DFS確信：紐約的消費(fèi)者能夠更加信賴他們的金融機(jī)構(gòu)在保護(hù)他們的網(wǎng)絡(luò)安全和個(gè)人信息方面的能力。隨著世界網(wǎng)絡(luò)聯(lián)系變得更為緊密，全球企業(yè)遭受信息侵犯的現(xiàn)象也在增多。在打擊日益增加的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)方面，紐約正處在領(lǐng)先地位。”

從適用范圍來(lái)看，這部規(guī)章適用于所有在紐約運(yùn)營(yíng)的具有銀行、保險(xiǎn)和金融服務(wù)牌照的企業(yè)。但也有極少數(shù)的金融機(jī)構(gòu)能夠豁免，例如員工極少或者收入或資產(chǎn)很低的企業(yè)。

從生效時(shí)間來(lái)看，這部規(guī)章在2017年3月1日生效。但企業(yè)有180天的“緩沖期”：企業(yè)可以在這些時(shí)間內(nèi)完成規(guī)章所要求的事項(xiàng)和義務(wù)，在此之后DFS將強(qiáng)制執(zhí)行。另外，對(duì)于部分新條款，DFS則安排了更長(zhǎng)的適應(yīng)緩沖時(shí)間。

總體來(lái)看，這部規(guī)章涵蓋的內(nèi)容較為廣泛，包括對(duì)網(wǎng)絡(luò)書(shū)寫(xiě)政策的設(shè)置、管理、審計(jì)、偵查、防御、測(cè)試要求以及突發(fā)事件報(bào)告等多方面的網(wǎng)絡(luò)安全事項(xiàng)。

具體而言，首先，企業(yè)將需要設(shè)置“保持網(wǎng)絡(luò)安全計(jì)劃”。這個(gè)計(jì)劃用以保證他們的信息系統(tǒng)“機(jī)密、完整以及有效”。計(jì)劃不僅必須包括發(fā)現(xiàn)、防御以及應(yīng)對(duì)系統(tǒng)，還包括常規(guī)的報(bào)告義務(wù)以及滲透測(cè)試。同時(shí)，企業(yè)設(shè)計(jì)的網(wǎng)絡(luò)安全計(jì)劃必須與他們的自身風(fēng)險(xiǎn)管理相一致，這個(gè)計(jì)劃必須對(duì)在實(shí)際金融交易中企業(yè)常規(guī)的運(yùn)行提供安全保障。

其次，這部規(guī)章還要求，企業(yè)有相關(guān)的記錄和報(bào)告義務(wù)。“對(duì)于在正常運(yùn)行中，有理由以及有可能發(fā)生了的網(wǎng)絡(luò)安全事件，無(wú)論這個(gè)事件是否帶來(lái)實(shí)質(zhì)性傷害和損失。”法規(guī)表示，企業(yè)必須將此事報(bào)告給DFS。同時(shí)，“報(bào)告應(yīng)當(dāng)盡可能迅速，最遲不能晚于事件發(fā)生后的72小時(shí)。”對(duì)于“突發(fā)事件”的定義，法規(guī)表示，“任何行為或者預(yù)備性的行為，無(wú)論其成功與否，只要判斷該行為是否獲得了未經(jīng)授權(quán)的途徑，擾亂或者不當(dāng)使用信息系統(tǒng)或存儲(chǔ)在信息系統(tǒng)上的信息。”

再次，企業(yè)還須設(shè)置強(qiáng)調(diào)一系列網(wǎng)絡(luò)安全事項(xiàng)的政策，內(nèi)容包括信息安全、數(shù)據(jù)管理、登陸控制、系統(tǒng)以及網(wǎng)絡(luò)監(jiān)控、數(shù)據(jù)隱匿和突發(fā)事件應(yīng)對(duì)等。企業(yè)必須有合適的政策和規(guī)章用以強(qiáng)化自身或者他們所采用的第三方服務(wù)商的網(wǎng)絡(luò)安全。

此外，企業(yè)必須任命一名首席信息安全執(zhí)行官，用以監(jiān)測(cè)這些政策的實(shí)施和執(zhí)行情況。首席信息安全執(zhí)行官可以由該企業(yè)雇傭，也可以來(lái)自于其附屬企業(yè)或者第三方供應(yīng)商。但是，如果企業(yè)網(wǎng)絡(luò)服務(wù)外包的話，企業(yè)必須任命一名高級(jí)職員，作為與第三方網(wǎng)絡(luò)供應(yīng)商與該企業(yè)的聯(lián)絡(luò)人。另外，企業(yè)必須存在“有資質(zhì)的網(wǎng)絡(luò)安全人員”，無(wú)論該人員是在企業(yè)內(nèi)部還是在附屬企業(yè)或者第三方服務(wù)商。該網(wǎng)絡(luò)安全人員需要管理企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、安排與網(wǎng)絡(luò)安全計(jì)劃相一致的各項(xiàng)事務(wù)等。

最后，新規(guī)章表明支持以下行為：編密碼和多方位的認(rèn)證程序的使用；簽署“更多安全渠道控制”的條約。另外，企業(yè)的董事會(huì)以及“高級(jí)官員”必須服從企業(yè)制定的網(wǎng)絡(luò)安全規(guī)則。

事實(shí)上，DFS這部網(wǎng)絡(luò)安全新規(guī)草案早已面世，在接受公眾評(píng)議階段，DFS共收到了150條修改意見(jiàn)。去年12月28日，DFS對(duì)這些修改意見(jiàn)作出了回應(yīng)。與草案相比，最終出爐的網(wǎng)絡(luò)安全監(jiān)管新規(guī)在以下方面出現(xiàn)了變動(dòng)。首先，將最終規(guī)章生效的時(shí)期延后兩個(gè)月至2017年3月1日。其次，最終的文本在許多方面有所退讓。例如，對(duì)“非公開(kāi)信息”的規(guī)定更為狹窄；同時(shí)，對(duì)非公開(kāi)信息的編密碼要求相比建議版也更為寬松。在草案中，DFS曾要求企業(yè)對(duì)所有環(huán)境下的非公開(kāi)信息進(jìn)行加密，不管該信息是在非使用期間還是傳輸期間。但最終規(guī)章中卻免除了這項(xiàng)要求，僅僅要求金融機(jī)構(gòu)根據(jù)自身的風(fēng)險(xiǎn)管理，可以（但不是必須）對(duì)此進(jìn)行加密。