路透社)-纽约州金融服务监管机构周二公布了有关其管辖下的银行和保险公司潜在的新网络安全法规的详细信息。
继一系列备受瞩目的黑客事件之后,这些措施将包括要求公司任命首席信息安全官,并采用允许员工和客户登录其系统的多步骤过程。
纽约金融服务部(NYDFS)发送给其他州和联邦监管机构的信中概述了这些细节,并且是迄今为止有关计划法规的最全面信息。
NYDFS在同一天公开了这封信,美国检察官公布了刑事指控,指控三名男子帮助实施了一系列庞大的黑客和欺诈计划,包括2014年对摩根大通(JPMorgan Chase&Co)的大规模攻击,产生了数亿美元的非法利润。 。
我们希望,这封信将有助于在金融机构新的,强有力的网络安全标准上引发更多的对话,合作,并最终促进我们机构之间的监管融合。 NYDFS代理主管Anthony Albanese在致许多监管机构的一封信中写道,这些监管机构包括美国货币监察长办公室和联邦储备委员会。
如果最终采用NYDFS法规,则将要求公司在12个领域(包括客户数据隐私和网络安全)采用书面网络安全政策和程序。公司还必须制定政策,要求外部服务提供商也要确保数据安全。
计划采取的措施是根据NYDFS在2013年至2015年之间进行的有关其监管公司的网络安全计划的调查。例如,4月的一份报告显示,NYDFS在2014年接受调查的40家银行中,有三分之一不要求外部供应商将可能会危害银行数据的数据泄露通知他们。
如果采取这些措施,公司将不得不对其网络安全系统进行年度测试和审计。每家公司的首席信息安全官还必须向NYDFS提交年度报告,以告知监管机构可能存在的风险风险。
NYDFS多年来一直在考虑潜在的法规。该机构的前任主管本杰明·劳斯基(Benjamin Lawsky)在5月的路透社金融监管峰会上讨论了这个问题。