Page 90 - 銀行法令遵循策略與實務
P. 90

銀行法令遵循策略與實務






           美國最新網路安全規範上路

               NYDFS 發布 NYCRR 要求在紐約的分行、辦事處都必須遵循

           提升網路安全的管理規範,自 2017 年 3 月 1 日生效,並設有階段

           性的執行目標與轉換緩衝期限,至 2019 年 3 月 1 日,全數規範皆
           應落實。主要規範包括:

             1. 訂有網路安全計畫以保障消費者私隱資料

             2. 由董事會或高階主管發表合規網路安全聲明
             3. 任命專責首席資訊安全主管 (Chief Information Security Offi cer,

               CISO)

             4. 導入確保紐約金融服務安全性的控制與計畫,包含如有特定

               事件的通報機制與規定

             5. 直接向 DFS 報告網路安全事件

                           23 NYCRR Part 500的規範期限


            2017 年 3
             月 1 日    23 NYCRR 500生效


                      第一個轉換緩衝期限。
            2017 年 8  必須符合500.02 (網路安全計劃)、500.03 (網路安全政策)、500.04 (a)
             月 28 日   (任命CISO)、500.07 (存取權限)、500.10 (網路安全人事)、500.16 (事
                      件應變計劃)、500.17 (a)(通報條款) 等條款規定。


            2018 年 2  依據500.17 (b)條款,必須提交第一份年度法令遵循聲明證
             月 15 日   書。



                                     82
   85   86   87   88   89   90   91   92   93   94   95