阅读:0
听报道
最后,简单介绍一下美国纽约州关于科技工作外包的监管要求。美国纽约州金融服务局于2017年初,针对金融机构网络安全,专门发布了DFS 500规则,其中对服务供应商有单独的条款,该条款于2019年3月正式生效。金融机构需要建立针对互联网服务供应商管理的制度流程,包括:识别服务供应商的风险,网络及信息安全准入标准,尽职调查,定期风险评估。制度流程中还需要通过尽职调查和/或合同方式,约定服务供应商需要额外满足以下DFS 500 条款:
- DFS 500.12 关于访问控制及多因素验证的要求
- DFS 500.15关于数据传输加密和存储加密的要求
- 当发生影响金融机构信息系统的网络安全事件时,需及时通知金融机构
- 服务提供商的网络安全政策的陈述和保证
再比如,关于云服务外包,美国监管在基于普通外包管理的要求之上,于2012年发布了一个专门的附加指引。该指引大致有如下一些要求,也是非常值得我们参考的:
- 尽职调查:
o 数据分类:云中的数据的敏感程度(例如,机密的,关键的,公共的)以及应该采取哪些控制来确保这些数据是否得到妥善保护? 云服务提供商是否有采用适当的加密或其他保护数据的措施?
o 数据隔离:金融机构的数据是否与其他云客户共享资源? 例如,数据是否将通过相同的网络传输,并在其他客户端也使用的服务器上存储或处理? 如果是这样的话,服务提供商如何确保金融机构数据的完整性和机密性?
o 可恢复性:服务提供商将如何应对灾难并确保持续服务?金融机构在制定灾难恢复和业务连续性计划时应适当考虑服务提供商的灾难恢复和业务连续性计划以及与服务提供商之间必要的通信链接。
- 供应商管理:
需要考虑服务提供商是否了解相关的法律、监管要求,以及服务提供商能否及时响应相关要求的变化。此外,解除合同的过程也会比较复杂,需要在合同签订时确定数据归属、数据存储地点、方式,以及解决争议的方法。
- 审计:
为了确保金融机构能有效评估服务提供商的风险及其风险控制措施,金融机构的审计部门需要确保审计范围能覆盖外包云服务。
- 信息安全:
金融机构的信息安全需要考虑外包云服务带来的风险,并对高风险领域进行持续监测。
金融机构应该通过数据分类、数据加密、身份与访问控制管理等手段来保证客户数据的安全,确认服务提供商的数据处理流程,数据备份,以及服务提供商是否存在与其他提供商共享基础设施等情况。
数据存放在云上会增加信息安全事件、网络安全事件处理的复杂度,金融机构应持续监控威胁情报、信息安全事件或信息安全事故,金融机构应与服务提供商建立一个完善的事故响应计划,并涵盖对信息安全事件调查和证据收集的法庭取证策略。
2019年5月18日 星期六
话题:
0
推荐
财新博客版权声明:财新博客所发布文章及图片之版权属博主本人及/或相关权利人所有,未经博主及/或相关权利人单独授权,任何网站、平面媒体不得予以转载。财新网对相关媒体的网站信息内容转载授权并不包括财新博客的文章及图片。博客文章均为作者个人观点,不代表财新网的立场和观点。
京公网安备 11010502034662号 