Page 90 - 銀行法令遵循策略與實務
P. 90
銀行法令遵循策略與實務
美國最新網路安全規範上路
NYDFS 發布 NYCRR 要求在紐約的分行、辦事處都必須遵循
提升網路安全的管理規範,自 2017 年 3 月 1 日生效,並設有階段
性的執行目標與轉換緩衝期限,至 2019 年 3 月 1 日,全數規範皆
應落實。主要規範包括:
1. 訂有網路安全計畫以保障消費者私隱資料
2. 由董事會或高階主管發表合規網路安全聲明
3. 任命專責首席資訊安全主管 (Chief Information Security Offi cer,
CISO)
4. 導入確保紐約金融服務安全性的控制與計畫,包含如有特定
事件的通報機制與規定
5. 直接向 DFS 報告網路安全事件
23 NYCRR Part 500的規範期限
2017 年 3
月 1 日 23 NYCRR 500生效
第一個轉換緩衝期限。
2017 年 8 必須符合500.02 (網路安全計劃)、500.03 (網路安全政策)、500.04 (a)
月 28 日 (任命CISO)、500.07 (存取權限)、500.10 (網路安全人事)、500.16 (事
件應變計劃)、500.17 (a)(通報條款) 等條款規定。
2018 年 2 依據500.17 (b)條款,必須提交第一份年度法令遵循聲明證
月 15 日 書。
82

