什么’第一个NYS DFS网络安全阶段所需的S?

NYS DFS网络安全转型阶段纽约州金融服务部的第一个过渡阶段(NYS DFS)网络安全监管均在我们身上。截至2017年8月28日,涵盖实体必须符合23 NYCRR第500部分标准的第一阶段。

NYS DFS的友好不足以删除所有在企业的全部规定一下,并在过渡阶段内分解依从性。这意味着组织将有机会在未来两年内完成这些过渡阶段的相控方法。

随着第一阶段不久到期,它意味着需要在此时间帧期间具有该调节的这些特定方面。

对于aren的第一阶段涵盖的实体’豁免需要在指导下遵守以下部分。

500.02–网络安全计划

创建与为组织建立的风险评估直接相关的网络安全计划。这是有趣的,因为这一阶段提到了这一阶段,因为在第二阶段没有提升风险评估,但它旨在创建一个程序来保护企业中的关键数据和系统。

500.03–Cyber​​seyity政策

创建和维护的政策和程序是任何网络安全计划的一个重要方面。本节详细介绍了NYS DFS希望在适当的中看到所需的策略和程序,这是有用的(例如资产库存,网络监控,事件响应等)

500.04 - 首席信息安全官

该部分分为两部分(a)和(b)。第一部分(a)是有必要有一个指定给涵盖实体的首席信息安全官。这可能是全日制角色或第三方服务提供商(例如VCISO)。第二部分(b)CISO报告是在第二个过渡阶段建立的。

500.07– Access Privileges

访问权限部分被引导才能限制用户访问敏感数据和系统。这需要定期审核用户访问权限。没有提到一个系统到位,但能够进入特权访问管理系统,以协助这种需求的帮助,基于公司的尺寸。

500.10–网络安全人员和情报

能够管理500.02中规定的网络安全计划很重要。本节详细信息必须接受培训人员,并对网络安全有关。如果这是不可能的,则可以选择使用第三方,如MSSP,以协助此管理。

500.16–事件响应计划

每个受涵盖的实体都需要有建立的事件响应计划,以便从网络安全事件迅速响应和恢复。这需要一些工作来创建并能够在事件发生之前测试此文档非常重要。它没有提到有桌面,但这是验证和提高红外计划的好方法。

500.17–对主管通知

这部分是在提及警告主管的72小时内,即对正常业务活动产生网络安全事件或要求企业注意到另一个监管机构的营运。

通过第一个过渡阶段,到期,重要的是重点验证您的组织在关注其他过渡阶段之前与本阶段的标准相比。肯定是一种符合NYS DFS的路线图方法,并利用这种分阶段推出,允许组织在其生效之前为其他阶段做好准备。通过了解您的组织可能需要在早期需要更多的帮助,使用这些过渡阶段作为路线图,您可以根据风险和当前的安全姿势优先考虑项目计划。

我认为,风险评估应该被投入第一阶段,以便组织将其视图融入他们应该迈向前进的地方。 NYS DFS规则旨在使企业达到最低的安全标准。对关键日期的适当规划和理解对于遵守NYS DFS截止日期并没有被禁止遵守遵守,这是一个重要的。

现在我们在我们的皮带下有第一阶段,让我们开始关注第二阶段。其结束日期为2018年3月1日。

分享这个