美国纽约金融网络安全500编认证研究
来源:用户上传
作者:
摘 要:美国纽约金融服务局在2017年发布了金融服务公司网络安全要求,要求金融机构对自身的信息安全进行管理。这强化了金融机构高管层对金融信息的督促责任,体现了对网络安全在控制环境、风险评估、控制活动、信息与沟通、监督等内部控制五要素的重视,这种从内部控制角度加强网络安全合规管理的做法对我国具有较强借鉴意义。
关键词:金融信息安全;内部控制;消费者保护
DOI:10.3969/j.issn.1003-9031.2019.08.009
中图分类号:TP393.08 文献标识码:A 文章编号:1003-9031(2019)08-0057-07
在移动互联网与大数据时代,各国纷纷提升了对个人信息的保护力度。2017年,美国纽约金融服务局(英文简称DFS)颁布了《金融服务公司网络安全要求》(Cybersecurity requirements for financial services companies)(英文简称23NYCRR 500),在2019年3月份完全实施,该规定属于纽约州法令、法规、规章汇编的500编,主要针对网络环境下金融机构对信息安全的管理,故简称其为纽约金融机构网络安全500编认证①。鉴于纽约在全球的金融中心地位,研究美国纽约网络安全500编认证,具有较强的理论与实践意义。
一、美国纽约金融网络安全500编认证背景
美国纽约一直面临较大的网络安全事故损失,在美国联邦调查局FBI发布的《2016网络犯罪报告》当中,消费者报告了1260起权益受损事件,差不多影响到两百万的纽约居民。
作为全球金融中心,美国纽约金融服务局一直在密切的监测持续增长来自民族国家、恐怖组织和犯罪分子对信息与金融系统的威胁,纽约消费者的隐私信息被使用在非法的目的上,网络犯罪将引起明显的金融损失。鉴于此,纽约金融服务局认为金融机构网络安全项目必须与相关的风险匹配并与技术的进步同步,于是出台美国纽约金融服务局《金融服务公司网络安全要求》,简称网络安全500编认证(23NYCRR 500)。该法规主要依据美国金融服务法(Financial Services Law)的102、201、301、302和408條制定,属于官方监管规则汇编的500编,包含23条,从2017年3月1日起生效实施。
根据纽约金融服务局的介绍,纽约金融服务局出台23NYCRR 500法令,目的是保护消费者信息和被监管机构的信息技术系统安全,包含23条法令,主要内容可以分为三大部分。一是对金融机构信息安全管理的制度与程序要求,包含网络安全计划、网络安全政策、风险评估、渗透测试与漏洞评估、访问权限、应用安全、复合因素认证、数据保留限制、非公开信息加密、突发事件应对的要求。二是关于金融机构信息安全管理的人员配置及管理要求,包含首席信息安全官(CISO)、网络安全人员、培训与检测、第三方供应商管理。三是关于监督与监管事项,包含审计跟踪、通知监管、保密、豁免、法律责任、生效日期、过渡日期、适用要求。整部法令的核心思想就是要求金融机构自评估相关风险并采取适当的安全措施,这种风险为本的立法思想强化了金融机构的信息保护的合规义务,更有利于保护消费者的权益。
二、美纽约金融机构网络安全500编认证具体内容
美国纽约金融服务局出台23NYCRR 500法令主要涵盖了金融机构信息安全管理的制度与程序要求、人员配置及管理要求、监督及监管事项三大部分。
(一)金融机构信息安全管理制度与程序要求
在金融机构信息安全管理制度与程序要求当中,对金融机构的主要要求有建立整体的网络安全计划、具体的网络安全政策和风险评估程序等三方面,其他的要求均为以上三方面的补充或细化。
1.网络安全整体计划
根据23NYCRR 500的02条,每一个被监管的机构应该维持一个网络安全计划,设计来保护信息系统的保密性、完整性与可用性。该网络安全计划要依据机构的风险评估状况来制定并执行以下功能:(1)辨别与评估内外部的网络安全风险,这种风险将威胁到储存在机构信息系统非公开信息的安全与完整性;(2)使用防卫性基础设备(defensive infrastructure)与执行政策与程序来保护机构的信息系统和储存在系统上的非公开信息远离未授权的获取、使用或者其他非法行为;(3)监测网络安全事件;(4)对辨别或者监测的网络安全事件进行回应,以缓释所有的消极效果;(5)做好从网络安全事件当中恢复或者进行正常操作或者服务的备份;(6)满足监管的相关报告要求职责。
2.网络安全计划具体部分
一是加强信息安全监测。这主要是要求做好渗透测试与漏洞评估。根据23NYCRR 500的05条,网络安全计划应该包含依据风险评估为基础的监测与测试,来评估其效率性,这种监测与测试应该包含持续的监测与周期性渗透测试和漏洞评估。首先是根据风险评估在每年依据相关辨认出的风险开展信息系统的渗透测试;其次是每半年进行漏洞评估,含系统的扫描或者在信息系统当中依据风险评估结果,依据公开所知的信息安全漏洞进行辨认,开展信息系统的审查。
二是做好信息使用管理。体现在金融信息管理的访问权限、应用安全、复合因素认证要求上,其中,应用安全政策与程序需要由首席信息安全官进行固定审查;复合因素认证指编密码与多方位认证程序的使用,对于从外网访问金融机构内网,将使用复合因素认证并需要首席信息安全官批准。
三是做好信息维护管理。主要包含数据保留的限制与做好非公开信息的加密。23NYCRR 500的13条指出,金融机构应该对数据的保留做出安排,对开展业务不再必要或者其他法律法规有要求的进行安全的处置。15条规定,作为其网络安全计划的一部分,根据其风险评估,每个辖属金融机构应实施加密等控制举措,以保护所持有或传输的非公开信息,包括在外部网络中传输的信息及静态的信息。同时金融机构决定加密的非公开信息专业转移到外部网络或者相关控制措施不够,必须采取相关的有效控制措施,并经首席信息安全官(CISO)批准或者审查,同时,相关的控制措施必须起码最低每年一次审查。23NYCRR 500当中的非公开信息主要指:不当披露,可能对实体导致重大不利影响的商业信息;个人信息如姓名、或与社保号码、驾驶证号码、金融账户相关的标识符号;某些健康信息。 四是突发事件应对计划。金融机构应该建立书面的突发事件计划,以应对网络安全事件实质性影响到信息系统保密性、完整性、或者可用性或者金融机构业务或者运营持续性的任何方面做出即刻的响应或者恢复。含对网络安全事故的响应流程、事故回应计划的目的、决策机关及分工职责、内外部联系及信息共享、对纠正辨识出弱点的信息系统或相关控制的辨别要求、相关响应行为的文件或者报告机制、在网络安全事件发生对事故响应计划的修订或者复审。
3.网络安全政策
每一个金融机构应该执行与维持书面的政策,该政策由高级管理层或者董事会(或其合适委员会)或同等管理部门的批准。该政策应该根据风险评估为基础,并在以下领域适用:信息安全;数据治理与分类;资产库存与设备管理;访问控制与身份管理;业务连续性与灾难恢复规划;系统操作与可用性相关事项;系统与网络安全性;系统与网络监测;系统与应用程序开发及质量保证;物理安全与环境控制;客户数据隐私;外包与第三方供应商管理;风险评估;事件响应。
4.风险评估政策与程序
每一个金融机构应该开展对信息系统定期的风险评估,以充分的证明网络安全计划满足相关要求。风险评估应通过合理的更新来纠正信息系统、非公开信息、或者业务的偏移,应该允许控制的修改、回应技术的发展、演进的威胁、考虑机构与网络安全的业务风险、非公开信息的收集和储存、信息系统的使用、保护非公开信息和信息系统的控制可获得性与有效性。
风险评估书面政策与程序应该包含:评价的标准及对所辨认风险的分门别类;评估信息系统及非公开信息的保密性、完整性、安全性和可获得性的标准;含辨识风险存在控制的充分性;以及根据风险评估怎样对所辨认风险缓释或者接受相关要求以及网络安全计划如何纠正风险。
(二)人员配置及管理要求
美国纽约23NYCRR 500对人员的配置体现在首席信息安全官(CISO)、网络安全人员、第三方服务提供商管理、培训与监测四方面的要求上。
一是首席信息安全官的相关规定。首席信息安全官的规定处于人员配置管理要求的核心地位,每一个机构要任命一个适格的人员作为首席信息安全官,监督与执行机构的网络安全计划和执行网络安全政策。首席信息安全官可由企业雇佣、也可来自分支机构或者第三方服务提供商中。在网络服务外包的情形下,企业应任命一名高级职员,作为与第三方网络供应商的联络人。
首席信息安全官应该每年至少一次给董事会或者同等地位的人员书面报告网络安全计划及网络安全风险,要是没有董事会,应该给机构负责网络安全计划的高管报告。书面报告应包含非公开信息的保密性、金融机构信息系统的完整性与安全性、网络安全政策与程序、实质性网络安全风险、网络安全计划的整体效果、报告期的重要网络安全事件等。
二是网络安全人员。金融机构要配置合格的网络安全管理人员,能够充分管理网络安全风险并执行与监督网络安全管理的核心功能。对网络安全人员要提供及时和充分培训以应对相关网络风险。对网络安全核心岗位员工,应有步骤,做好充足培训以应对持续改变的网络威胁并能够采取应对措施。
三是第三方服务提供商管理。金融机构应当制定第三方供应商的政策。包含辨认与评估第三方服务提供商的风险;第三方与金融机构开展业务的最低准入网络安全要求;评估第三方服务商网络安全要求充分性的尽职调查程序;对第三方服务提供的定期评审。同时,在有关评估第三方的尽职调查程序或金融机构与第三方服务提供商签订的合同中应该包含相关要求,保障符合本编认证的复合因素认证与非公开信息加密要求。拥有大量服务提供商的金融机构,必须采取举措来确保每个服务提供商都遵从加密要求。
四是培训与监测。金融机构要对所有人提供固定的网络安全意识训练,及时反映金融机构在风险评估当中辨认出的风险。要执行风险为本的政策、程序与控制来监测授权使用者的活动和追踪非授权者的访问、使用、或篡改授权使用者的非公开信息。
(三)监督及监管事项
1.监督事项
监督主要是审计跟踪。每个金融机构要安全的维持系统,并依据风险评估的程度采取相关措施。审计跟踪要设计来对很大可能实质性伤害到金融机构正常业务运营的网络安全事故进行审计跟踪,并对相關资料按照要求保存。
2.监管事项
一是做好网络安全事件通知。要是发生网络安全事件,每一个金融机构在以下情形下必须在不迟于72小时内通知监管机构:一是网络安全事件影响到金融机构,需要提供通知给政府机构、自律组织和其他监管;二是网络安全事件有合理的很大可能性会实质性的伤害到金融机构正常运营的任何实质性部分。
二是提交认证声明。每一个金融机构要评估自身的具体风险、设计一个网络安全计划来纠正其风险,以保障其稳健经营。金融机构的网络安全计划必须确保机构的安全与稳健和消费者利益保护。高级管理层必须重视该计划并对机构的网络信息安全负责,每年2月15日提交一个声明证实已经遵守《金融服务公司网络安全要求》的规定,完成相关的合规认证。
3.相关责任及适用
在法律责任上,如果23NYCRR 500的要求没有得到遵守,23NYCRR 500的第20条规定,相关要求将“在任何适用法律”下得到执行,为 DFS 或消费者对银行、保险公司和其他金融服务公司违反此类证明的行为索赔提供基础,也意味着故意向 DFS 做出错误陈述将承担相应民事甚至刑事惩罚。
在适用纽约23NYCRR 500法令上,纽约金融服务局采用逐步推进的方法,该规定在2017年3月份1日开始生效,设立相关过渡期,并对机构遵循相关规定进行限定,在2018年2月15日开始要求金融机构提供首份认证声明,对部分条款提供优先认证,如网络安全计划、网络安全政策优先要求机构遵循,到2019 年 3 月 1 日,两年过渡期结束,适用实体被要求全面遵从全部规定。 三、从内部控制理论看美国纽约金融网络安全500编认证
美国纽约金融网络安全500编认证,虽然只有23条,但内容庞杂,涉及到网络信息安全管理的各个方面,从网络安全500编认证本质来看,这是当前的网络安全严峻形势下,DFS要求金融机构加强对网络安全的内部控制,从而确保能够遵循相关要求,对消费者信息安全与金融机构自身信息系统安全提供合理保证。依据美国反虚假财务报告委员会下属的发起人委员会(COSO)发布2013年内部控制整体框架,网络安全500编认证对内部控制五要素的要求主要体现在:
一是在控制环境方面,网络安全500编认证要求金融机构任命首席信息官,并每年至少一次给董事会或者同等地位的人员书面报告网络安全计划及网络安全风险,以确保公司最高层能够对网络安全管理进行监督,这符合了COSO要求建立组织架构、报告路径及适当的权利和责任的控制原则。二是在风险评估方面,网络安全500编认证要求金融机构制定风险评估书面政策与程序,对信息系统开展定期的风险评估。三是在控制活动方面,COSO控制原则要求企业选择并设定一般IT控制活动,并通过政策与程序来部署控制活动。而网络安全500编认证要求建立整体网络安全计划,并部署具体的网络安全政策来完成网络风险的控制过程。四是在信息与沟通方面,网络安全500编认证对金融机构的要求是做好信息使用管理,体现在金融信息管理的访问权限、应用安全、复合因素认证要求上,这满足COSO控制原则要求能够获取、生产和使用高质量的信息的要求。五是在监督方面上,网络安全500编认证要求开展审计跟踪,这是COSO控制原则监督方面持续的内部控制评估的体现。
美国纽约网络安全500编认证的核心要求体现在建立整体网络安全计划,并制定实施具体的网络安全政策,鉴于500认证在内部控制五要素上都有所要求,因此,一个金融机构要完成纽约金融网络安全500编认证,必须完善信息安全管理内部控制机制,才能够确保合规。
四、美国纽约金融网络安全500编认证影响及相关启示
“互联网金融”依靠电子技术运行,其核心基础是应用金融信息。大数据时代下,对个人信息的掌握程度,将很大决定一个金融机构的竞争力。对个人信息的收集与使用,应该以个人信息获得充分保护为前提。纽约网络安全500编认证本身是对金融机构的网络安全的要求,但最终的指向是个人的信息保护。
(一)美纽约金融网络安全500编认证对我国金融机构影响
美纽约23NYCRR 500对我国金融机构影响主要体现在:一是我国金融机构总部要从整体上监督与支持在纽约机构落实23NYCRR 500要求。美纽约23NYCRR 500法令在2018年2月15日开始生效,在纽约机构已经根据要求开展认证。国内的总部机构在对在美纽约机构落实23NYCRR 500要求进行监督时,必须从加强该分支机构的网络信息安全管理的内部控制的角度进行着手,根据内部控制五要素要求,分类逐条对在纽约机构落实23NYCRR 500情况进行评估,确保全面合规。
二是在美纽约机构,要全面对标23NYCRR 500要求,不仅要建立网络安全计划、部署具体的网络安全政策,并建立健全相应的风险评估机制,更要加大网络安全的管理资源投入,做好人员配置与培训,开展好第三方供应商管理,做好审计监督等相关事项。同时应跳出传统的被动合规思维,以此为契机,全面加强纽约属地的网络信息安全风险管理。
(二)对我国做好网络安全管理,加强金融信息保护的相关启示
美纽约23NYCRR 500法令虽然为纽约州的地方性规章,但其相关的立法理念及执法的要求却是走在全球前列,体现了全球金融中心的金融个人信息保护的趋势。对我国加强个人金融信息保护具有以下启示:
1.加强监管力度,强化网络环境下个人金融信息保护不力的追责
在个人信息保护上的法律法规上,我国尚未出台专门的个人信息保护法律。对金融信息保护,我国相关规定层次丰富,内容广泛。一是在法律层面,如2017年《民法总则》第111条对个人信息的保护规定、2017年6月1日开始实施的《网络安全法》在40到44条规定的个人信息保护的原则与框架。二是司法解释,如2017 年5 月,最高人民法院和最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干問题的解释》(法释〔2017〕10 号)。三是规范性文件,如2011 年中国人民银行《关于银行业金融机构做好个人金融信息保护工作的通知》、全国信息安全技术标准化委员会2017年发布的《信息安全技术个人信息安全规范》、银保监会2018年5月21日实施的《银行业金融机构数据治理指引》等。
但相关规定在金融机构个人信息保护上针对性上存在不足。银保监会《银行业金融机构数据治理指引》24条规定,“银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。”从而将《信息安全技术个人信息安全规范》纳入银行业的个人信息保护体系。只是在相关的监管责任追究上,并没有彰显银行业个人信息保护的责任力度。除了银行业以外,其他金融机构也存在广泛的个人信息保护需求。参考纽约23NYCRR 500对相关责任的规定及欧盟《通用数据保护条例》对个人数据保护不力的责任追究,未来我国应修改相关责任规定,督促金融监管部门加大对金融信息个人监管力度,在互联网时代,除了民事、刑事的方式提供保护,更应该加强对金融机构及其工作人员在个人金融信息保护上不力的行政处罚力度。
2.改进保护路径,采用风险为本方法,提升金融机构的网络安全风险应对能力
纽约金融服务局的23NYCRR 500法令,总体上存在金融机构对个人信息保护的风险为本(risk-based approach)方法要求。该法令通篇贯彻了该种方法,如在网络安全计划的规定中,23NYCRR 500的02条规定,“网络安全计划要依据机构的风险评估状况来制定并执行以下功能”,在23NYCRR 500的03条网络安全政策上指出,“该政策应该根据风险评估为基础,并在以下领域适用”,此外在非公开信息的加密、培训与监测等多领域均有相关表述,这是要求金融企业做好自身的风险评估并采取适当与风险匹配的措施。我国也可以采纳同样的方法,在金融机构具体落实个人信息保护要求的时候,要求建立健全相关的网络安全风险评估机制,并采取项适应的风险管理措施。
3.改善实现机制,加强金融机构网络安全的内部控制,健全完善金融机构信息保护机制
整体上,纽约金融服务局的网络安全500编认证是对辖属金融机构在网络安全管理的一种内部控制要求。完成网络安全500认证的过程,就是辖属金融机构的内部控制环境、风险评估机制、控制活动、信息沟通与监督五要素的达标过程,这启示我们要改进网络安全管理的实现机制,在推动金融机构加强网络安全管理的时候从机构的整体机制着手,对内部控制的各个要素进行评价,而不是等到网络安全事件发生后,再进行处罚纠正,从强化金融机构的网络安全保护内部控制机制着手,这样才能够为实现互联网时代下金融信息的保护提供合理的保证。
参考文献:
[1]惠平,童频.商业银行内部控制[M].北京:中国金融出版社,2017.
[2]张健华.美国金融制度[M].北京:中国金融出版社,2016.
[3]王瑞.欧盟《通用数据保护条例》主要内容与影响分析[J].金融会计,2018(8).
[4]洪延青.透析金融数据保护的美欧中立法要点和趋势[J].中国银行业,2018(11).
[5]中国工商银行江苏省分行课题组.我国商业银行个人金融信息保护策略研究[J].金融纵横,2018(7).
转载注明来源:https://www.xzbu.com/3/view-15002905.htm