标准简介
NYDFS 23 NYCRR 500 是由 纽约州金融服务局(NYDFS) 发布的有效标准,常用于金融银行、服务业等行业,并适用于美国等市场。
本页汇总了 NYDFS 23 NYCRR 500 的官方文档、当前状态以及常见相关认证或评估机构,便于快速理解要求与落地路径。
实施路线图
定义金融服务网络安全监管范围
识别 NYDFS 23 NYCRR 500 覆盖的产品、服务、系统、实体、司法辖区、团队、供应商和相关方。确认责任人、边界、适用义务、文件和证据期望,范围包括覆盖实体分类、网络安全项目、政策、CISO 问责、治理、风险评估、资产清单、MFA、访问控制、漏洞管理、监控、事件响应、业务连续性、第三方服务提供商安全和 DFS 报告。
评估义务和差距
将当前实践与预期的金融服务网络安全监管方法进行比较。审查风险评估、董事会或高级管理人员监督、网络安全政策、CISO 报告、MFA、特权访问管理、漏洞扫描、渗透测试、端点检测、备份、事件响应、业务连续性、供应商安全和年度证明,并按法律暴露、财务报告影响、安全或隐私影响、客户承诺、运营依赖和审核准备度排列差距优先级。
实施控制和证据
部署所需程序、技术控制、评审关口、培训、供应商流程、报告路径和运行记录。维护风险评估、董事会纪要、CISO 报告、政策、资产清单、访问评审、MFA 记录、测试结果、漏洞修复日志、事件记录、BCDR 测试、供应商评估、DFS 通知和年度证明支持材料作为可追溯证据。
评审、报告并改进
开展管理评审、内部检查、适用情况下的独立评估、纠正措施和变更评审。当产品、供应商、法律、事件、保证期望或相关方需求变化时刷新项目。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与保证
常见问题解答
谁需要 NYDFS 23 NYCRR 500?
expand_more
NYDFS 23 NYCRR 500 最适用于受纽约金融服务部监管的覆盖实体及其网络安全治理团队。具体范围取决于产品、服务、司法辖区、客户承诺、保证要求,以及组织在相关生态中的角色。
NYDFS 23 NYCRR 500 是否可认证?
expand_more
NYDFS Part 500 是法律监管义务,不是认证。覆盖实体必须维护监管要求的项目、证明、通知和记录,以支持 DFS 监督。
实施时应先关注什么?
expand_more
先定义范围、义务、责任人,以及监管机构、审计师、客户或治理机构期望的证据。然后对照当前控制开展差距评估,并按风险和期限确定整改优先级。
NYDFS 23 NYCRR 500 需要哪些证据?
expand_more
有用证据包括风险评估、董事会纪要、CISO 报告、政策、资产清单、访问评审、MFA 记录、测试结果、漏洞修复日志、事件记录、BCDR 测试、供应商评估、DFS 通知和年度证明支持材料。证据应进行版本控制,能够追溯到责任人,关联义务和控制,并按所需评审或审核期间保留。
项目应多久评审一次?
expand_more
应按计划周期评审,并在法律、产品、供应商、事件、客户承诺、报告周期或保证期望变化时评审。较高风险义务应更频繁地监控并向管理层报告。