Title 23 NYCRR Part 500Title 23 NYCRR Part 500

Title 23 NYCRR Part 500 개요Title 23 NYCRR Part 500 overview

2017년에 사이버 보안 정보 및 재무 시스템에 대해 계속 증가하는 중대한 위협에 대한 대응으로, 뉴욕주 금융서비스국은 해당 주에서 비즈니스를 수행하도록 허가 또는 승인된 재무 기관에 새로운 사이버 보안 요구 사항을 도입했습니다.In response to the significant and ever-increasing threats to the cybersecurity of information and financial systems, in 2017, the State of New York Department of Financial Services imposed a new set of cybersecurity requirements on financial institutions that are licensed or authorized to do business in the state. 이 규제는 Title 23 New York Codes, Rules, and Regulation Part 500: 재무 서비스 기업을 위한 사이버 보안 요구 사항으로, 고객 데이터와 주 정부 허가, 개인 및 국제 은행, 담보 대출 및 보험 회사와 같은 재무 기관의 정보 기술 시스템을 보호하기 위해 설계되었습니다.This regulation — Title 23 New York Codes, Rules, and Regulation Part 500: Cybersecurity Requirements for Financial Services Companies — is designed to protect customer data and the information technology systems of financial institutions such as state-chartered, private, and international banks, mortgage brokers, and insurance companies.

Microsoft 및 Title 23 NYCRR Part 500Microsoft and Title 23 NYCRR Part 500

Microsoft는 Title 23 NYCRR Part 500에 따라 규제되는 재무 서비스를 위한 포괄적인 Microsoft 클라우드 서비스: NYDFS 사이버 보안 요구 사항 규정 준수 지원 가이드를 제공합니다.Microsoft provides a comprehensive guide, Microsoft Cloud Services: Supporting Compliance with NYDFS Cybersecurity Requirements, for financial services regulated under Title 23 NYCRR Part 500. 이 가이드에는 Azure, Office 365 및 Power BI 클라우드 서비스가 요구 사항 규정 준수를 지원하는 방법에 대해 자세히 설명되어 있습니다.It explains in depth how Azure, Office 365, and Power BI cloud services support compliance with the requirements. 뉴욕의 국제 금융 센터에서 운영하려는 재무 기관은 이를 충족해야 하므로, 규정 준수는 많은 기관에 중요합니다.Financial institutions that seek to operate in the global financial center of New York must meet them, so compliance is critical for many institutions.

이 참고 자료에 따라 Title 23 NYCRR Part 500: Microsoft 클라우드 서비스: NYDFS 사이버 보안 요구 사항 규정 준수 지원을 준수하는 데 도움을 얻을 수 있습니다.Follow this guidance to accelerate your compliance with Title 23 NYCRR Part 500: Microsoft Cloud Services: Supporting Compliance with NYDFS Cybersecurity Requirements

뉴욕 규정에는 각 재무 기관이 다음을 수행해야 합니다.The New York regulations require each financial institution to:

  • 기관의 특정 위험 프로필 평가부터 시작한 다음 문제를 해결하는 프로그램을 설계하는 강력한 사이버 보안 프로그램을 개발하고 유지 관리합니다.Develop and maintain a robust cybersecurity program starting with an assessment of the institution’s specific risk profile and then designing a program that addresses them. Microsoft 클라우드 금융 서비스 규정 준수 프로그램은 금융 서비스가 Microsoft 클라우드 서비스 사용에 대한 위험을 평가하는 데 도움이 되도록 만들어졌습니다.The Microsoft Cloud Financial Services Compliance Program was created to help financial services assess the risks of using Microsoft cloud services. 여기에는 엔지니어와 회사 위험 관리자의 직접적인 참여와 규정 준수 및 보안 전문가에 대한 액세스 권한이 포함되어 있습니다.It includes direct engagement with our engineers and corporate risk officers and access to our compliance and security experts.
  • 정보 보안, 데이터 관리 및 분류, 액세스 제어, 비즈니스 연속성 등을 처리하는 종합 사이버 보안 정책을 구현합니다.Implement a comprehensive cybersecurity policy that addresses information security, data governance and classification, access controls, business continuity, and the like. Microsoft는 인증 및 위험 평가, 비즈니스 연속성 및 재해 복구 메트릭, 로깅 및 감사용 진단에 대한 자세한 정보를 포함하여 이 정책을 개발하는 데 대한 참고 자료를 제공합니다.Microsoft offers guidance for developing this policy with in-depth information about our certifications and risk assessments; business continuity and disaster recovery metrics; and diagnostics for logging and auditing.
  • 사이버 보안 프로그램을 관리하고 정책을 적용하기 위한 수석 정보 보안 책임자(CISO)를 지정합니다.Designate a chief information security officer (CISO) to manage the cybersecurity program and enforce policy. CISO를 지원하기 위해 Microsoft는 Azure Security Center, Office 365 Advanced Threat AnalyticsPower BI 보안을 통해 Microsoft 클라우드 배포에 대한 심층 사이버 보안 정보를 제공합니다.To help your CISO, Microsoft provides in-depth cybersecurity information about Microsoft cloud deployments through Azure Security Center, Office 365 Advanced Threat Analytics, and Power BI Security.
  • 사이버 보안 프로그램의 효율성 모니터링 및 테스트: Microsoft에서는 지속적인 모니터링, 주기적인 침투 테스트, 취약점 평가를 포함 하는 사이버 보안 관행 감사에 대한 정보를 제공합니다.Monitor and test the effectiveness of its cybersecurity program: Microsoft provides information from audits of its cybersecurity practices that include continuous monitoring, periodic penetration testing, and vulnerability assessments. 고객은 사전에 Microsoft에서 제공 하는 고급 권한을 사용하지 않고 자체 테스트를 수행할 수 있습니다.Customers can conduct their own tests without advance permission from Microsoft.
  • 감사 내역을 관리합니다.Maintain an audit trail. Azure, Office 365 및 Power BI 고객에 대한 기본 제공 감사 기능은 재무 거래를 재구성하고 감사 추적 정보를 개발하는 데 사용할 수 있는 정보를 생성합니다.Built-in audit functionalities of Azure, Office 365, and Power BI customers generate information that can be used to reconstruct financial transactions and develop audit trail information.
  • 비공개 정보를 포함하는 정보 시스템에 대한 액세스 제한: Azure, Office 365, Power BI는 각 서비스에 대한 기본 RBAC(역할 기반 액세스 제어) 프로세스, 모든 Microsoft 관리자의 엄격한 보안 및 액세스 요구 사항, 강화된 액세스 권한에 대한 모든 요청 감사를 제공하는지 평가합니다.Limit access to information systems that contain nonpublic information: Measures that Azure, Office 365, and Power BI offer a role-based access control (RBAC) process native to each service, strict security and access requirements for every Microsoft administrator, and audits of every request for elevated access privileges.
  • 외부 개발 애플리케이션에 대한 보안을 평가하고 테스트하기 위한 절차 도입: Visual Studio를 사용하는 개발자는 관리 코드에 대한 보안 규칙을 코드가 배포되기 전에 애플리케이션 사이버 보안 위협이 감지되고 완화되는지 확인할 수 있습니다.Institute procedures to assess and test the security of externally developed applications: For developers using Visual Studio, Security Rules for managed code can help ensure that application cybersecurity threats are detected and mitigated before the code is deployed.
  • 주기적인 위험 평가를 사용하여 사이버 보안 프로그램을 설계 및 개선: 고객을 위해 Microsoft는 보안 위협에 대한 정보를 집계하고 변경 관리의 로드맵을 제공하며 하도급업자에 대한 정보를 정기적으로 업데이트합니다.Use periodic risk assessments to design and enhance cybersecurity programs: For customers, Microsoft aggregates information about security threats, provides roadmaps of change management, and regularly updates information about subcontractors. Microsoft는 또한 고객에게 제공되는 결과인 자체 서비스에 대한 위험 평가를 정기적으로 실시합니다.Microsoft also regularly conducts risk assessments of its own services, the results of which are available to customers.
  • 공인 담당자를 통해 사이버 보안 위험을 관리하고 사이버 보안 기능을 감독: Microsoft는 직원들이 고객 데이터에 액세스하는 데 엄격한 절차를 사용합니다.Use qualified personnel to manage cybersecurity risks and oversee cybersecurity functions: Microsoft employs stringent procedures for our employee access to your customer data. 하도급업자를 고용하는 경우 서비스 제공을 관리하고, 중요한 데이터를 처리하는 데 필요한 요구 사항, 신원 조사 및 비공개 계약을 비롯하여 하도급업자가 Microsoft의 개인정보취급방침 및 보안 지침 내용을 완전하게 준수하는지 확인합니다.If we hire subcontractors, we remain responsible for service delivery, and ensure that subcontractors fully comply with Microsoft privacy and security commitments, including requirements for handling sensitive data, background checks, and non-disclosure agreements.
  • 타사 서비스 공급자가 제공하는 정보의 보안을 보장하는 정책 및 절차 구현: Azure, Office 365 및 Power BI는 회사 네트워크에 대한 모든 인바운드 연결에 대해 다단계 인증을 사용할 수 있습니다. 외부 네트워크를 통한 전송에서 비공개 정보를 보호하고 rest에서 보호할 수 있는 암호화를 비롯한 제어를 구현합니다. Microsoft Online Services 사용 약관을 통해 보안 문제에 대한 고객 공지, 인시던트 조사 및 위험 완화를 제공합니다.Implement policies and procedures to ensure the security of information held by third-party service providers: Azure, Office 365, and Power BI make multi-factor authentication available for all inbound connections to company networks; implement controls, including encryption, to protect nonpublic information in transit over external networks and at rest; and offer Microsoft Online Services Terms that provide for customer notification, incident investigation, and risk mitigation for security incidents.
  • 데이터 보존 및 삭제 정책과 절차 구현: Azure, Office 365, Power BI에 저장된 고객 데이터를 언제든지 액세스하고 추출할 수 있습니다.Implement data retention and deletion policies and procedures: You can always access and extract your customer data stored in Azure, Office 365, and Power BI.
  • 권한이 부여된 사용자의 활동을 모니터링하고, 무단 액세스를 감지하고, 직원들에게 정기적인 사이버 보안 인식 교육 제공: Azure, Office 365, 및 Power BI에는 로깅 및 감사에 대한 다양한 진단과 인시던트에 대한 경고를 표시하는 간접적인 상호 작용 모니터링이 포함되어 있습니다.Monitor the activity of authorized users, detect unauthorized access, and offer regular cybersecurity awareness training to employees: Azure, Office 365, and Power BI include outside-in monitoring to raise alerts about incidents, and extensive diagnostics for logging and auditing. Microsoft Virtual Academy는 Microsoft 클라우드 서비스의 사이버 보안을 다루는 온라인 교육을 제공합니다.Microsoft Virtual Academy offers online training that covers the cybersecurity of Microsoft cloud services.
  • 사이버 보안 인시던트에 대응하고 복구하는 계획 개발: Microsoft는보안 위반이 발생하기 전에 이를 감지하고 예측하며 방지하기 위해 방어 전략을 사용하여 사이버 보안 인시던트를 준비할 수 있도록 도움을 줍니다.Develop plans to respond to and recover from cybersecurity incidents: Microsoft helps you prepare for cybersecurity incidents using a defensive strategy to detect, predict, and prevent security breaches before they occur. 직접 계획을 개발할 때는 인시던트 관리 계획을 세워 사이버 보안 위반에 대응할 수 있습니다.When developing your own plans, you can draw on our incident management plan for responding to cybersecurity breaches.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

  • AzureAzure
  • IntuneIntune
  • Office 365Office 365
  • 독립 실행형 서비스 혹은 Office 365에 브랜딩된 플랜 또는 제품군에 포함된 형태로서의 Power BI 클라우드 서비스Power BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite

자주 묻는 질문Frequently asked questions

어떤 기관이 이 규제의 적용을 받나요?What institutions are covered under this regulation?

뉴욕주 금융서비스국 감독 대상에 문의하여 해당 기관에 이 규제가 적용되는지 여부를 확인하세요.Consult the New York Department of Financial Services Who We Supervise to determine whether your institution is governed by this regulation.

리소스Resources

금융 서비스에 대한 기타 Microsoft 리소스Other Microsoft resources for financial services