【作者】    Troy Ungerman
【資料來源】    Mondaq
【發佈日期】    2017年 3月 24日
【介紹者】    閻書孝研究員
【簡介】   

紐約州金融署(DFS)對其所監理的公司，已從2017年3月1日開始實施新的網絡安全要求，其目的在於因應敏感性的電子資訊的威脅，特別是財務資訊和消費者個資方面的威脅。此外，在併購案裡，買方若要收購紐約州金融署所監理的公司，就應該要進行有效的盡職調查，以確保標的公司有遵循新的要求。

紐約州金融署要求公司必須在2018年2月15日以前向監理機關，提交一份遵循報告，並包括以下內容：

1.風險評估

每間公司必須從網絡安全的角度，定期對其資訊系統做風險評估。該評估必須與既定政策一致，並且根據新要求報告網絡安全計畫及政策。

2.網絡安全計畫

每間公司必須落實網絡安全計畫，並且達到以下幾點的功能：

• 確認及發覺網絡安全事件及風險，並且予以預防、擬定因應及復原計畫。
• 公司在管理非公開資訊之使用時，要透過以下的方式：界定使用者使用權限、具備資料保存政策、訓練並監督非公開資訊的使用者，以及對公司非公開資訊和內外部傳輸過程中作加密保護。
• 公司必須依據風險評估所定義的風險事項，以特定的頻率來針對網絡安全計畫進行入侵及弱點測試。

3.網絡安全政策

公司必須具備明文政策，其適用的內容包括關於以下幾點的14個項目：

• 對使用公司資訊進行管理
• 數據治理
• 持續性業務與復原能力
• 風險評估及回應

此外，若外部服務供應商亦可使用公司資訊系統及非公開資訊，則公司就必須明訂他們適用的明文政策。

4.資訊安全長(CISO)及幕僚

每間公司必須設置資安長，負責管理及執行網絡安全計畫和政策。資安長必須對公司董事會準備一份書面報告。公司也必須有合格的網絡安全幕僚，其在處理網絡風險上訓練充足。

5.報告給監理機關的聲明及紀錄保存

若發生重大網絡安全事件，公司必須要在72小時內報告監理機關。另外，公司必須保存可證明其遵循年度法令要求的相關紀錄，以及提出一份查核記錄，以協助日常運作並有效偵測和因應重大網絡安全事件。


【網址連結】
http://www.mondaq.com/canada/x/579740/Security/New+Cybersecurity+Requirements+For+DFSRegulated+Entities