第 23 號 NYCRR 第 500 編

發行項
02/21/2024

標題 23 NYCRR 第 500 部分概觀

為應對資訊和金融系統的網路安全性顯著且持續增加的威脅，在 2017 年，紐約州金融服務部針對在該州進行商業活動的已授權金融機構，加諸了一組新的網路安全性需求。標題 23 紐約法規、規則和法規第 500 部分：適用於金融服務公司的網路安全性需求專為保護客戶資料和金融機構的資訊技術系統 (例如國家特許私人國際銀行、抵押貸款經紀人和保險公司) 所設計。

Microsoft 和標題 23 NYCRR 第 500 部分

Microsoft 針對受標題 23 NYCRR 第 500 部分管制的金融服務，提供全方位的指南：《Microsoft 雲端服務：支援符合 NYDFS 網路安全性需求》。它深入解釋 Azure、Office 365 和 Power BI 雲端服務如何支援符合該需求。尋求在紐約全球金融中心運營的金融機構必須符合這些需求，因此合規性對許多機構至關重要。

紐約法規要求每個金融機構：

從評估機構的特定風險狀況開始，然後設計解決方案，以開發並維護強大的網路安全性計劃。如需與 Microsoft Cloud for Financial Services 互動的相關信息，請參閱 Microsoft 雲端金融服務。此外，服務信任入口網站的 [金融服務 ] 頁面包含國家/地區特定資源，可協助您進一步瞭解如何符合您的全球法規需求。
實作全方位網路安全性原則，以解決資訊安全性、資料控管和分類、存取控制、商務持續性等問題。 Microsoft 透過有關我們認證與風險評估、商務持續性和災害復原指標和記錄與稽核診斷的深入資訊，提供此原則的指導方針。
指定首席資訊安全官 (CISO) 以管理網路安全性計劃和執行原則。為了協助您的 CISO，Microsoft 透過雲端 Microsoft Defender、Office 365 進階威脅分析和 Power BI 安全性，提供有關 Microsoft 雲端部署的深入網路安全性資訊。
監控並測試其網路安全性計劃的有效性：Microsoft 從其網路安全性做法的稽核提供資訊，其中包含持續監控、週期滲透測試和弱點評定。客戶可以在未經 Microsoft 預先授權的情況下進行自己的測試。
維護稽核線索 Azure、Office 365 和 Power BI 客戶的內建稽核功能可產生可用於重新建立金融交易和開發稽核線索資訊。
限制存取包含非公開資訊的資訊系統：Azure、Office 365 和 Power BI 提供針對每個服務原生的角色型存取控制 (RBAC) 程序，針對每個 Microsoft 系統管理員的嚴格安全性和存取需求，以及對每項提升權限要求之稽核的量值。
制定評估和測試外部開發應用程式安全性的程序：針對使用 Visual Studio 的開發人員，受管理程式碼的安全性規則可協助確保在部署程式碼之前可檢測並減輕應用程式網路安全性威脅。
使用週期風險評估來設計並擴展網路安全性計劃：針對客戶，Microsoft 彙總了有關安全性威脅的資訊，提供變更管理的藍圖，以及有關轉包商的定期更新資訊。 Microsoft 也會定期執行自有服務的風險評估，評估結果可供客戶瀏覽。
使用合格人員來管理網路安全風險和監督網路安全性功能：Microsoft 針對我們的員工採用嚴密程序存取您的客戶資料。如果我們雇用轉包商，我們仍負責服務傳遞，並確保轉包商完全遵守 Microsoft 隱私權和安全性承諾，包括處理敏感性資料的需求、背景調查和保密合約。
實作原則和程序以確保協力廠商服務提供者持有資訊安全性：Azure、Office 365 和 Power BI 讓多重要素驗證可供所有傳入公司網路的連結使用；實作控制措施 (包括加密) 以保護傳輸到外部網路和待用的非公開資訊，並提供 Microsoft Online Services 條款，可為客戶提供通知、事件調查和安全性事件的風險減輕。
實作資料保留和刪除原則與程序：您永遠可以存取和擷取儲存在 Azure、Office 365 和 Power BI 的客戶資料。
監控已授權使用者的活動、偵測未授權的存取，以及為員工提供一般網路安全性認知訓練：Azure、Office 365 和 Power BI 包括由外而內的監控以引發有關事件的警示，以及記錄和稽核的大量診斷。 Microsoft Virtual Academy 提供的線上訓練涵蓋 Microsoft 雲端服務的網路安全性。
制定計劃以應對網路安全性事件和從中復原：Microsoft 使用防禦策略來偵測、預測和在發生前避免安全性漏洞。當制定您的計劃時，您可以利用我們的事件管理計劃來應對網路安全漏洞。

Microsoft 範圍內雲端平台與服務

Azure
Intune
Office 365

Office 365 和標題 23 NYCRR 第 500 部分

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台，也是全球數個區域客戶可用的應用程式和服務整合式體驗。大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如，美國) 以復原資料，但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境：

用戶端軟體 (用戶端)：客戶裝置上執行的商業用戶端軟體。
Office 365 (商業)：全球都可使用的商業公用 Office 365 雲端服務。
Office 365 政府社群雲端 (GCC)：Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
Office 365 政府社群雲端 - High (GCC High)：Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計，嚴格控制和支援受監管的聯邦和國防資訊。此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
Office 365 DoD (DoD)：Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計，控制和支援嚴格的聯邦和國防法規。此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。若要了解哪些地區提供哪些服務，請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。如需 Office 365 政府版雲端環境的詳細資訊，請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。本節中提供的資訊不構成法律建議，如果您對組織的法規合規性有任何疑問，您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性：

適用性	範圍內服務
商業	Exchange Online Protection、Exchange Online、Office 365 客戶入口網站、Office Online、Office 服務基礎結構、商務用 OneDrive、SharePoint Online、商務用 Skype

常見問題集

哪些機構受到此法規約束？

請諮詢紐約金融服務部我們監管的對象網站，以確定您的機構是否受此法規約束。