美國紐約金融網絡安全500編認證研究

蘇如飛

摘 ? 要：美國紐約金融服務局在2017年發布了金融服務公司網絡安全要求，要求金融機構對自身的信息安全進行管理。這強化了金融機構高管層對金融信息的督促責任，體現了對網絡安全在控制環境、風險評估、控制活動、信息與溝通、監督等內部控制五要素的重視，這種從內部控制角度加強網絡安全合規管理的做法對我國具有較強借鑒意義。

關鍵詞：金融信息安全;內部控制;消費者保護

DOI：10.3969/j.issn.1003-9031.2019.08.009

中圖分類號：TP393.08 ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ?文章編號：1003-9031（2019）08-0057-07

在移動互聯網與大數據時代，各國紛紛提升了對個人信息的保護力度。2017年，美國紐約金融服務局（英文簡稱DFS）頒布了《金融服務公司網絡安全要求》（Cybersecurity requirements for financial services companies）（英文簡稱23NYCRR 500），在2019年3月份完全實施，該規定屬于紐約州法令、法規、規章匯編的500編，主要針對網絡環境下金融機構對信息安全的管理，故簡稱其為紐約金融機構網絡安全500編認證①。鑒于紐約在全球的金融中心地位，研究美國紐約網絡安全500編認證，具有較強的理論與實踐意義。

一、美國紐約金融網絡安全500編認證背景

美國紐約一直面臨較大的網絡安全事故損失，在美國聯邦調查局FBI發布的《2016網絡犯罪報告》當中，消費者報告了1260起權益受損事件，差不多影響到兩百萬的紐約居民。

作為全球金融中心，美國紐約金融服務局一直在密切的監測持續增長來自民族國家、恐怖組織和犯罪分子對信息與金融系統的威脅，紐約消費者的隱私信息被使用在非法的目的上，網絡犯罪將引起明顯的金融損失。鑒于此，紐約金融服務局認為金融機構網絡安全項目必須與相關的風險匹配并與技術的進步同步，于是出臺美國紐約金融服務局《金融服務公司網絡安全要求》，簡稱網絡安全500編認證（23NYCRR 500）。該法規主要依據美國金融服務法（Financial Services Law）的102、201、301、302和408條制定，屬于官方監管規則匯編的500編，包含23條，從2017年3月1日起生效實施。

根據紐約金融服務局的介紹，紐約金融服務局出臺23NYCRR 500法令，目的是保護消費者信息和被監管機構的信息技術系統安全，包含23條法令，主要內容可以分為三大部分。一是對金融機構信息安全管理的制度與程序要求，包含網絡安全計劃、網絡安全政策、風險評估、滲透測試與漏洞評估、訪問權限、應用安全、復合因素認證、數據保留限制、非公開信息加密、突發事件應對的要求。二是關于金融機構信息安全管理的人員配置及管理要求，包含首席信息安全官（CISO）、網絡安全人員、培訓與檢測、第三方供應商管理。三是關于監督與監管事項，包含審計跟蹤、通知監管、保密、豁免、法律責任、生效日期、過渡日期、適用要求。整部法令的核心思想就是要求金融機構自評估相關風險并采取適當的安全措施，這種風險為本的立法思想強化了金融機構的信息保護的合規義務，更有利于保護消費者的權益。

二、美紐約金融機構網絡安全500編認證具體內容

美國紐約金融服務局出臺23NYCRR 500法令主要涵蓋了金融機構信息安全管理的制度與程序要求、人員配置及管理要求、監督及監管事項三大部分。

（一）金融機構信息安全管理制度與程序要求

在金融機構信息安全管理制度與程序要求當中，對金融機構的主要要求有建立整體的網絡安全計劃、具體的網絡安全政策和風險評估程序等三方面，其他的要求均為以上三方面的補充或細化。

1.網絡安全整體計劃

根據23NYCRR 500的02條，每一個被監管的機構應該維持一個網絡安全計劃，設計來保護信息系統的保密性、完整性與可用性。該網絡安全計劃要依據機構的風險評估狀況來制定并執行以下功能：（1）辨別與評估內外部的網絡安全風險，這種風險將威脅到儲存在機構信息系統非公開信息的安全與完整性;（2）使用防衛性基礎設備（defensive infrastructure）與執行政策與程序來保護機構的信息系統和儲存在系統上的非公開信息遠離未授權的獲取、使用或者其他非法行為;（3）監測網絡安全事件;（4）對辨別或者監測的網絡安全事件進行回應，以緩釋所有的消極效果;（5）做好從網絡安全事件當中恢復或者進行正常操作或者服務的備份;（6）滿足監管的相關報告要求職責。

2.網絡安全計劃具體部分

一是加強信息安全監測。這主要是要求做好滲透測試與漏洞評估。根據23NYCRR 500的05條，網絡安全計劃應該包含依據風險評估為基礎的監測與測試，來評估其效率性，這種監測與測試應該包含持續的監測與周期性滲透測試和漏洞評估。首先是根據風險評估在每年依據相關辨認出的風險開展信息系統的滲透測試;其次是每半年進行漏洞評估，含系統的掃描或者在信息系統當中依據風險評估結果，依據公開所知的信息安全漏洞進行辨認，開展信息系統的審查。

二是做好信息使用管理。體現在金融信息管理的訪問權限、應用安全、復合因素認證要求上，其中，應用安全政策與程序需要由首席信息安全官進行固定審查;復合因素認證指編密碼與多方位認證程序的使用，對于從外網訪問金融機構內網，將使用復合因素認證并需要首席信息安全官批準。

三是做好信息維護管理。主要包含數據保留的限制與做好非公開信息的加密。23NYCRR 500的13條指出，金融機構應該對數據的保留做出安排，對開展業務不再必要或者其他法律法規有要求的進行安全的處置。15條規定，作為其網絡安全計劃的一部分，根據其風險評估，每個轄屬金融機構應實施加密等控制舉措，以保護所持有或傳輸的非公開信息，包括在外部網絡中傳輸的信息及靜態的信息。同時金融機構決定加密的非公開信息專業轉移到外部網絡或者相關控制措施不夠，必須采取相關的有效控制措施，并經首席信息安全官（CISO）批準或者審查，同時，相關的控制措施必須起碼最低每年一次審查。23NYCRR 500當中的非公開信息主要指：不當披露，可能對實體導致重大不利影響的商業信息;個人信息如姓名、或與社保號碼、駕駛證號碼、金融賬戶相關的標識符號;某些健康信息。

四是突發事件應對計劃。金融機構應該建立書面的突發事件計劃，以應對網絡安全事件實質性影響到信息系統保密性、完整性、或者可用性或者金融機構業務或者運營持續性的任何方面做出即刻的響應或者恢復。含對網絡安全事故的響應流程、事故回應計劃的目的、決策機關及分工職責、內外部聯系及信息共享、對糾正辨識出弱點的信息系統或相關控制的辨別要求、相關響應行為的文件或者報告機制、在網絡安全事件發生對事故響應計劃的修訂或者復審。

3.網絡安全政策

每一個金融機構應該執行與維持書面的政策，該政策由高級管理層或者董事會（或其合適委員會）或同等管理部門的批準。該政策應該根據風險評估為基礎，并在以下領域適用：信息安全;數據治理與分類;資產庫存與設備管理;訪問控制與身份管理;業務連續性與災難恢復規劃;系統操作與可用性相關事項;系統與網絡安全性;系統與網絡監測;系統與應用程序開發及質量保證;物理安全與環境控制;客戶數據隱私;外包與第三方供應商管理;風險評估;事件響應。

4.風險評估政策與程序

每一個金融機構應該開展對信息系統定期的風險評估，以充分的證明網絡安全計劃滿足相關要求。風險評估應通過合理的更新來糾正信息系統、非公開信息、或者業務的偏移，應該允許控制的修改、回應技術的發展、演進的威脅、考慮機構與網絡安全的業務風險、非公開信息的收集和儲存、信息系統的使用、保護非公開信息和信息系統的控制可獲得性與有效性。

風險評估書面政策與程序應該包含：評價的標準及對所辨認風險的分門別類;評估信息系統及非公開信息的保密性、完整性、安全性和可獲得性的標準;含辨識風險存在控制的充分性;以及根據風險評估怎樣對所辨認風險緩釋或者接受相關要求以及網絡安全計劃如何糾正風險。

（二）人員配置及管理要求

美國紐約23NYCRR 500對人員的配置體現在首席信息安全官（CISO）、網絡安全人員、第三方服務提供商管理、培訓與監測四方面的要求上。

一是首席信息安全官的相關規定。首席信息安全官的規定處于人員配置管理要求的核心地位，每一個機構要任命一個適格的人員作為首席信息安全官，監督與執行機構的網絡安全計劃和執行網絡安全政策。首席信息安全官可由企業雇傭、也可來自分支機構或者第三方服務提供商中。在網絡服務外包的情形下，企業應任命一名高級職員，作為與第三方網絡供應商的聯絡人。

首席信息安全官應該每年至少一次給董事會或者同等地位的人員書面報告網絡安全計劃及網絡安全風險，要是沒有董事會，應該給機構負責網絡安全計劃的高管報告。書面報告應包含非公開信息的保密性、金融機構信息系統的完整性與安全性、網絡安全政策與程序、實質性網絡安全風險、網絡安全計劃的整體效果、報告期的重要網絡安全事件等。

二是網絡安全人員。金融機構要配置合格的網絡安全管理人員，能夠充分管理網絡安全風險并執行與監督網絡安全管理的核心功能。對網絡安全人員要提供及時和充分培訓以應對相關網絡風險。對網絡安全核心崗位員工，應有步驟，做好充足培訓以應對持續改變的網絡威脅并能夠采取應對措施。

三是第三方服務提供商管理。金融機構應當制定第三方供應商的政策。包含辨認與評估第三方服務提供商的風險;第三方與金融機構開展業務的最低準入網絡安全要求;評估第三方服務商網絡安全要求充分性的盡職調查程序;對第三方服務提供的定期評審。同時，在有關評估第三方的盡職調查程序或金融機構與第三方服務提供商簽訂的合同中應該包含相關要求，保障符合本編認證的復合因素認證與非公開信息加密要求。擁有大量服務提供商的金融機構，必須采取舉措來確保每個服務提供商都遵從加密要求。

四是培訓與監測。金融機構要對所有人提供固定的網絡安全意識訓練，及時反映金融機構在風險評估當中辨認出的風險。要執行風險為本的政策、程序與控制來監測授權使用者的活動和追蹤非授權者的訪問、使用、或篡改授權使用者的非公開信息。

（三）監督及監管事項

1.監督事項

監督主要是審計跟蹤。每個金融機構要安全的維持系統，并依據風險評估的程度采取相關措施。審計跟蹤要設計來對很大可能實質性傷害到金融機構正常業務運營的網絡安全事故進行審計跟蹤，并對相關資料按照要求保存。

2.監管事項

一是做好網絡安全事件通知。要是發生網絡安全事件，每一個金融機構在以下情形下必須在不遲于72小時內通知監管機構：一是網絡安全事件影響到金融機構，需要提供通知給政府機構、自律組織和其他監管;二是網絡安全事件有合理的很大可能性會實質性的傷害到金融機構正常運營的任何實質性部分。

二是提交認證聲明。每一個金融機構要評估自身的具體風險、設計一個網絡安全計劃來糾正其風險，以保障其穩健經營。金融機構的網絡安全計劃必須確保機構的安全與穩健和消費者利益保護。高級管理層必須重視該計劃并對機構的網絡信息安全負責，每年2月15日提交一個聲明證實已經遵守《金融服務公司網絡安全要求》的規定，完成相關的合規認證。

3.相關責任及適用

在法律責任上，如果23NYCRR 500的要求沒有得到遵守，23NYCRR 500的第20條規定，相關要求將“在任何適用法律”下得到執行，為 DFS 或消費者對銀行、保險公司和其他金融服務公司違反此類證明的行為索賠提供基礎，也意味著故意向 DFS 做出錯誤陳述將承擔相應民事甚至刑事懲罰。

在適用紐約23NYCRR 500法令上，紐約金融服務局采用逐步推進的方法，該規定在2017年3月份1日開始生效，設立相關過渡期，并對機構遵循相關規定進行限定，在2018年2月15日開始要求金融機構提供首份認證聲明，對部分條款提供優先認證，如網絡安全計劃、網絡安全政策優先要求機構遵循，到2019 年 3 月 1 日，兩年過渡期結束，適用實體被要求全面遵從全部規定。

三、從內部控制理論看美國紐約金融網絡安全500編認證

美國紐約金融網絡安全500編認證，雖然只有23條，但內容龐雜，涉及到網絡信息安全管理的各個方面，從網絡安全500編認證本質來看，這是當前的網絡安全嚴峻形勢下，DFS要求金融機構加強對網絡安全的內部控制，從而確保能夠遵循相關要求，對消費者信息安全與金融機構自身信息系統安全提供合理保證。依據美國反虛假財務報告委員會下屬的發起人委員會（COSO）發布2013年內部控制整體框架，網絡安全500編認證對內部控制五要素的要求主要體現在：

一是在控制環境方面，網絡安全500編認證要求金融機構任命首席信息官，并每年至少一次給董事會或者同等地位的人員書面報告網絡安全計劃及網絡安全風險，以確保公司最高層能夠對網絡安全管理進行監督，這符合了COSO要求建立組織架構、報告路徑及適當的權利和責任的控制原則。二是在風險評估方面，網絡安全500編認證要求金融機構制定風險評估書面政策與程序，對信息系統開展定期的風險評估。三是在控制活動方面，COSO控制原則要求企業選擇并設定一般IT控制活動，并通過政策與程序來部署控制活動。而網絡安全500編認證要求建立整體網絡安全計劃，并部署具體的網絡安全政策來完成網絡風險的控制過程。四是在信息與溝通方面，網絡安全500編認證對金融機構的要求是做好信息使用管理，體現在金融信息管理的訪問權限、應用安全、復合因素認證要求上，這滿足COSO控制原則要求能夠獲取、生產和使用高質量的信息的要求。五是在監督方面上，網絡安全500編認證要求開展審計跟蹤，這是COSO控制原則監督方面持續的內部控制評估的體現。

美國紐約網絡安全500編認證的核心要求體現在建立整體網絡安全計劃，并制定實施具體的網絡安全政策，鑒于500認證在內部控制五要素上都有所要求，因此，一個金融機構要完成紐約金融網絡安全500編認證，必須完善信息安全管理內部控制機制，才能夠確保合規。

四、美國紐約金融網絡安全500編認證影響及相關啟示

“互聯網金融”依靠電子技術運行，其核心基礎是應用金融信息。大數據時代下，對個人信息的掌握程度，將很大決定一個金融機構的競爭力。對個人信息的收集與使用，應該以個人信息獲得充分保護為前提。紐約網絡安全500編認證本身是對金融機構的網絡安全的要求，但最終的指向是個人的信息保護。

（一）美紐約金融網絡安全500編認證對我國金融機構影響

美紐約23NYCRR 500對我國金融機構影響主要體現在：一是我國金融機構總部要從整體上監督與支持在紐約機構落實23NYCRR 500要求。美紐約23NYCRR 500法令在2018年2月15日開始生效，在紐約機構已經根據要求開展認證。國內的總部機構在對在美紐約機構落實23NYCRR 500要求進行監督時，必須從加強該分支機構的網絡信息安全管理的內部控制的角度進行著手，根據內部控制五要素要求，分類逐條對在紐約機構落實23NYCRR 500情況進行評估，確保全面合規。

二是在美紐約機構，要全面對標23NYCRR 500要求，不僅要建立網絡安全計劃、部署具體的網絡安全政策，并建立健全相應的風險評估機制，更要加大網絡安全的管理資源投入，做好人員配置與培訓，開展好第三方供應商管理，做好審計監督等相關事項。同時應跳出傳統的被動合規思維，以此為契機，全面加強紐約屬地的網絡信息安全風險管理。

（二）對我國做好網絡安全管理，加強金融信息保護的相關啟示

美紐約23NYCRR 500法令雖然為紐約州的地方性規章，但其相關的立法理念及執法的要求卻是走在全球前列，體現了全球金融中心的金融個人信息保護的趨勢。對我國加強個人金融信息保護具有以下啟示：

1.加強監管力度，強化網絡環境下個人金融信息保護不力的追責

在個人信息保護上的法律法規上，我國尚未出臺專門的個人信息保護法律。對金融信息保護，我國相關規定層次豐富，內容廣泛。一是在法律層面，如2017年《民法總則》第111條對個人信息的保護規定、2017年6月1日開始實施的《網絡安全法》在40到44條規定的個人信息保護的原則與框架。二是司法解釋，如2017 年5 月，最高人民法院和最高人民檢察院聯合發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10 號）。三是規范性文件，如2011 年中國人民銀行《關于銀行業金融機構做好個人金融信息保護工作的通知》、全國信息安全技術標準化委員會2017年發布的《信息安全技術個人信息安全規范》、銀保監會2018年5月21日實施的《銀行業金融機構數據治理指引》等。

但相關規定在金融機構個人信息保護上針對性上存在不足。銀保監會《銀行業金融機構數據治理指引》24條規定，“銀行業金融機構采集、應用數據涉及到個人信息的，應遵循國家個人信息保護法律法規要求，符合與個人信息安全相關的國家標準。”從而將《信息安全技術個人信息安全規范》納入銀行業的個人信息保護體系。只是在相關的監管責任追究上，并沒有彰顯銀行業個人信息保護的責任力度。除了銀行業以外，其他金融機構也存在廣泛的個人信息保護需求。參考紐約23NYCRR 500對相關責任的規定及歐盟《通用數據保護條例》對個人數據保護不力的責任追究，未來我國應修改相關責任規定，督促金融監管部門加大對金融信息個人監管力度，在互聯網時代，除了民事、刑事的方式提供保護，更應該加強對金融機構及其工作人員在個人金融信息保護上不力的行政處罰力度。

2.改進保護路徑，采用風險為本方法，提升金融機構的網絡安全風險應對能力

紐約金融服務局的23NYCRR 500法令，總體上存在金融機構對個人信息保護的風險為本（risk-based approach）方法要求。該法令通篇貫徹了該種方法，如在網絡安全計劃的規定中，23NYCRR 500的02條規定，“網絡安全計劃要依據機構的風險評估狀況來制定并執行以下功能”，在23NYCRR 500的03條網絡安全政策上指出，“該政策應該根據風險評估為基礎，并在以下領域適用”，此外在非公開信息的加密、培訓與監測等多領域均有相關表述，這是要求金融企業做好自身的風險評估并采取適當與風險匹配的措施。我國也可以采納同樣的方法，在金融機構具體落實個人信息保護要求的時候，要求建立健全相關的網絡安全風險評估機制，并采取項適應的風險管理措施。

3.改善實現機制，加強金融機構網絡安全的內部控制，健全完善金融機構信息保護機制

整體上，紐約金融服務局的網絡安全500編認證是對轄屬金融機構在網絡安全管理的一種內部控制要求。完成網絡安全500認證的過程，就是轄屬金融機構的內部控制環境、風險評估機制、控制活動、信息溝通與監督五要素的達標過程，這啟示我們要改進網絡安全管理的實現機制，在推動金融機構加強網絡安全管理的時候從機構的整體機制著手，對內部控制的各個要素進行評價，而不是等到網絡安全事件發生后，再進行處罰糾正，從強化金融機構的網絡安全保護內部控制機制著手，這樣才能夠為實現互聯網時代下金融信息的保護提供合理的保證。

參考文獻：

[1]惠平，童頻.商業銀行內部控制[M].北京：中國金融出版社，2017.

[2]張健華.美國金融制度[M].北京：中國金融出版社，2016.

[3]王瑞.歐盟《通用數據保護條例》主要內容與影響分析[J].金融會計，2018（8）.

[4]洪延青.透析金融數據保護的美歐中立法要點和趨勢[J].中國銀行業，2018（11）.

[5]中國工商銀行江蘇省分行課題組.我國商業銀行個人金融信息保護策略研究[J].金融縱橫，2018（7）.