蘇如飛

摘 ? 要：美國(guó)紐約金融服務(wù)局在2017年發(fā)布了金融服務(wù)公司網(wǎng)絡(luò)安全要求，要求金融機(jī)構(gòu)對(duì)自身的信息安全進(jìn)行管理。這強(qiáng)化了金融機(jī)構(gòu)高管層對(duì)金融信息的督促責(zé)任，體現(xiàn)了對(duì)網(wǎng)絡(luò)安全在控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)督等內(nèi)部控制五要素的重視，這種從內(nèi)部控制角度加強(qiáng)網(wǎng)絡(luò)安全合規(guī)管理的做法對(duì)我國(guó)具有較強(qiáng)借鑒意義。

關(guān)鍵詞：金融信息安全;內(nèi)部控制;消費(fèi)者保護(hù)

DOI：10.3969/j.issn.1003-9031.2019.08.009

中圖分類號(hào)：TP393.08 ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? ?文章編號(hào)：1003-9031（2019）08-0057-07

在移動(dòng)互聯(lián)網(wǎng)與大數(shù)據(jù)時(shí)代，各國(guó)紛紛提升了對(duì)個(gè)人信息的保護(hù)力度。2017年，美國(guó)紐約金融服務(wù)局（英文簡(jiǎn)稱DFS）頒布了《金融服務(wù)公司網(wǎng)絡(luò)安全要求》（Cybersecurity requirements for financial services companies）（英文簡(jiǎn)稱23NYCRR 500），在2019年3月份完全實(shí)施，該規(guī)定屬于紐約州法令、法規(guī)、規(guī)章匯編的500編，主要針對(duì)網(wǎng)絡(luò)環(huán)境下金融機(jī)構(gòu)對(duì)信息安全的管理，故簡(jiǎn)稱其為紐約金融機(jī)構(gòu)網(wǎng)絡(luò)安全500編認(rèn)證①。鑒于紐約在全球的金融中心地位，研究美國(guó)紐約網(wǎng)絡(luò)安全500編認(rèn)證，具有較強(qiáng)的理論與實(shí)踐意義。

一、美國(guó)紐約金融網(wǎng)絡(luò)安全500編認(rèn)證背景

美國(guó)紐約一直面臨較大的網(wǎng)絡(luò)安全事故損失，在美國(guó)聯(lián)邦調(diào)查局FBI發(fā)布的《2016網(wǎng)絡(luò)犯罪報(bào)告》當(dāng)中，消費(fèi)者報(bào)告了1260起權(quán)益受損事件，差不多影響到兩百萬的紐約居民。

作為全球金融中心，美國(guó)紐約金融服務(wù)局一直在密切的監(jiān)測(cè)持續(xù)增長(zhǎng)來自民族國(guó)家、恐怖組織和犯罪分子對(duì)信息與金融系統(tǒng)的威脅，紐約消費(fèi)者的隱私信息被使用在非法的目的上，網(wǎng)絡(luò)犯罪將引起明顯的金融損失。鑒于此，紐約金融服務(wù)局認(rèn)為金融機(jī)構(gòu)網(wǎng)絡(luò)安全項(xiàng)目必須與相關(guān)的風(fēng)險(xiǎn)匹配并與技術(shù)的進(jìn)步同步，于是出臺(tái)美國(guó)紐約金融服務(wù)局《金融服務(wù)公司網(wǎng)絡(luò)安全要求》，簡(jiǎn)稱網(wǎng)絡(luò)安全500編認(rèn)證（23NYCRR 500）。該法規(guī)主要依據(jù)美國(guó)金融服務(wù)法（Financial Services Law）的102、201、301、302和408條制定，屬于官方監(jiān)管規(guī)則匯編的500編，包含23條，從2017年3月1日起生效實(shí)施。

根據(jù)紐約金融服務(wù)局的介紹，紐約金融服務(wù)局出臺(tái)23NYCRR 500法令，目的是保護(hù)消費(fèi)者信息和被監(jiān)管機(jī)構(gòu)的信息技術(shù)系統(tǒng)安全，包含23條法令，主要內(nèi)容可以分為三大部分。一是對(duì)金融機(jī)構(gòu)信息安全管理的制度與程序要求，包含網(wǎng)絡(luò)安全計(jì)劃、網(wǎng)絡(luò)安全政策、風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試與漏洞評(píng)估、訪問權(quán)限、應(yīng)用安全、復(fù)合因素認(rèn)證、數(shù)據(jù)保留限制、非公開信息加密、突發(fā)事件應(yīng)對(duì)的要求。二是關(guān)于金融機(jī)構(gòu)信息安全管理的人員配置及管理要求，包含首席信息安全官（CISO）、網(wǎng)絡(luò)安全人員、培訓(xùn)與檢測(cè)、第三方供應(yīng)商管理。三是關(guān)于監(jiān)督與監(jiān)管事項(xiàng)，包含審計(jì)跟蹤、通知監(jiān)管、保密、豁免、法律責(zé)任、生效日期、過渡日期、適用要求。整部法令的核心思想就是要求金融機(jī)構(gòu)自評(píng)估相關(guān)風(fēng)險(xiǎn)并采取適當(dāng)?shù)陌踩胧@種風(fēng)險(xiǎn)為本的立法思想強(qiáng)化了金融機(jī)構(gòu)的信息保護(hù)的合規(guī)義務(wù)，更有利于保護(hù)消費(fèi)者的權(quán)益。

二、美紐約金融機(jī)構(gòu)網(wǎng)絡(luò)安全500編認(rèn)證具體內(nèi)容

美國(guó)紐約金融服務(wù)局出臺(tái)23NYCRR 500法令主要涵蓋了金融機(jī)構(gòu)信息安全管理的制度與程序要求、人員配置及管理要求、監(jiān)督及監(jiān)管事項(xiàng)三大部分。

（一）金融機(jī)構(gòu)信息安全管理制度與程序要求

在金融機(jī)構(gòu)信息安全管理制度與程序要求當(dāng)中，對(duì)金融機(jī)構(gòu)的主要要求有建立整體的網(wǎng)絡(luò)安全計(jì)劃、具體的網(wǎng)絡(luò)安全政策和風(fēng)險(xiǎn)評(píng)估程序等三方面，其他的要求均為以上三方面的補(bǔ)充或細(xì)化。

1.網(wǎng)絡(luò)安全整體計(jì)劃

根據(jù)23NYCRR 500的02條，每一個(gè)被監(jiān)管的機(jī)構(gòu)應(yīng)該維持一個(gè)網(wǎng)絡(luò)安全計(jì)劃，設(shè)計(jì)來保護(hù)信息系統(tǒng)的保密性、完整性與可用性。該網(wǎng)絡(luò)安全計(jì)劃要依據(jù)機(jī)構(gòu)的風(fēng)險(xiǎn)評(píng)估狀況來制定并執(zhí)行以下功能：（1）辨別與評(píng)估內(nèi)外部的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)將威脅到儲(chǔ)存在機(jī)構(gòu)信息系統(tǒng)非公開信息的安全與完整性;（2）使用防衛(wèi)性基礎(chǔ)設(shè)備（defensive infrastructure）與執(zhí)行政策與程序來保護(hù)機(jī)構(gòu)的信息系統(tǒng)和儲(chǔ)存在系統(tǒng)上的非公開信息遠(yuǎn)離未授權(quán)的獲取、使用或者其他非法行為;（3）監(jiān)測(cè)網(wǎng)絡(luò)安全事件;（4）對(duì)辨別或者監(jiān)測(cè)的網(wǎng)絡(luò)安全事件進(jìn)行回應(yīng)，以緩釋所有的消極效果;（5）做好從網(wǎng)絡(luò)安全事件當(dāng)中恢復(fù)或者進(jìn)行正常操作或者服務(wù)的備份;（6）滿足監(jiān)管的相關(guān)報(bào)告要求職責(zé)。

2.網(wǎng)絡(luò)安全計(jì)劃具體部分

一是加強(qiáng)信息安全監(jiān)測(cè)。這主要是要求做好滲透測(cè)試與漏洞評(píng)估。根據(jù)23NYCRR 500的05條，網(wǎng)絡(luò)安全計(jì)劃應(yīng)該包含依據(jù)風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)的監(jiān)測(cè)與測(cè)試，來評(píng)估其效率性，這種監(jiān)測(cè)與測(cè)試應(yīng)該包含持續(xù)的監(jiān)測(cè)與周期性滲透測(cè)試和漏洞評(píng)估。首先是根據(jù)風(fēng)險(xiǎn)評(píng)估在每年依據(jù)相關(guān)辨認(rèn)出的風(fēng)險(xiǎn)開展信息系統(tǒng)的滲透測(cè)試;其次是每半年進(jìn)行漏洞評(píng)估，含系統(tǒng)的掃描或者在信息系統(tǒng)當(dāng)中依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，依據(jù)公開所知的信息安全漏洞進(jìn)行辨認(rèn)，開展信息系統(tǒng)的審查。

二是做好信息使用管理。體現(xiàn)在金融信息管理的訪問權(quán)限、應(yīng)用安全、復(fù)合因素認(rèn)證要求上，其中，應(yīng)用安全政策與程序需要由首席信息安全官進(jìn)行固定審查;復(fù)合因素認(rèn)證指編密碼與多方位認(rèn)證程序的使用，對(duì)于從外網(wǎng)訪問金融機(jī)構(gòu)內(nèi)網(wǎng)，將使用復(fù)合因素認(rèn)證并需要首席信息安全官批準(zhǔn)。

三是做好信息維護(hù)管理。主要包含數(shù)據(jù)保留的限制與做好非公開信息的加密。23NYCRR 500的13條指出，金融機(jī)構(gòu)應(yīng)該對(duì)數(shù)據(jù)的保留做出安排，對(duì)開展業(yè)務(wù)不再必要或者其他法律法規(guī)有要求的進(jìn)行安全的處置。15條規(guī)定，作為其網(wǎng)絡(luò)安全計(jì)劃的一部分，根據(jù)其風(fēng)險(xiǎn)評(píng)估，每個(gè)轄屬金融機(jī)構(gòu)應(yīng)實(shí)施加密等控制舉措，以保護(hù)所持有或傳輸?shù)姆枪_信息，包括在外部網(wǎng)絡(luò)中傳輸?shù)男畔⒓办o態(tài)的信息。同時(shí)金融機(jī)構(gòu)決定加密的非公開信息專業(yè)轉(zhuǎn)移到外部網(wǎng)絡(luò)或者相關(guān)控制措施不夠，必須采取相關(guān)的有效控制措施，并經(jīng)首席信息安全官（CISO）批準(zhǔn)或者審查，同時(shí)，相關(guān)的控制措施必須起碼最低每年一次審查。23NYCRR 500當(dāng)中的非公開信息主要指：不當(dāng)披露，可能對(duì)實(shí)體導(dǎo)致重大不利影響的商業(yè)信息;個(gè)人信息如姓名、或與社保號(hào)碼、駕駛證號(hào)碼、金融賬戶相關(guān)的標(biāo)識(shí)符號(hào);某些健康信息。

四是突發(fā)事件應(yīng)對(duì)計(jì)劃。金融機(jī)構(gòu)應(yīng)該建立書面的突發(fā)事件計(jì)劃，以應(yīng)對(duì)網(wǎng)絡(luò)安全事件實(shí)質(zhì)性影響到信息系統(tǒng)保密性、完整性、或者可用性或者金融機(jī)構(gòu)業(yè)務(wù)或者運(yùn)營(yíng)持續(xù)性的任何方面做出即刻的響應(yīng)或者恢復(fù)。含對(duì)網(wǎng)絡(luò)安全事故的響應(yīng)流程、事故回應(yīng)計(jì)劃的目的、決策機(jī)關(guān)及分工職責(zé)、內(nèi)外部聯(lián)系及信息共享、對(duì)糾正辨識(shí)出弱點(diǎn)的信息系統(tǒng)或相關(guān)控制的辨別要求、相關(guān)響應(yīng)行為的文件或者報(bào)告機(jī)制、在網(wǎng)絡(luò)安全事件發(fā)生對(duì)事故響應(yīng)計(jì)劃的修訂或者復(fù)審。

3.網(wǎng)絡(luò)安全政策

每一個(gè)金融機(jī)構(gòu)應(yīng)該執(zhí)行與維持書面的政策，該政策由高級(jí)管理層或者董事會(huì)（或其合適委員會(huì)）或同等管理部門的批準(zhǔn)。該政策應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，并在以下領(lǐng)域適用：信息安全;數(shù)據(jù)治理與分類;資產(chǎn)庫(kù)存與設(shè)備管理;訪問控制與身份管理;業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)規(guī)劃;系統(tǒng)操作與可用性相關(guān)事項(xiàng);系統(tǒng)與網(wǎng)絡(luò)安全性;系統(tǒng)與網(wǎng)絡(luò)監(jiān)測(cè);系統(tǒng)與應(yīng)用程序開發(fā)及質(zhì)量保證;物理安全與環(huán)境控制;客戶數(shù)據(jù)隱私;外包與第三方供應(yīng)商管理;風(fēng)險(xiǎn)評(píng)估;事件響應(yīng)。

4.風(fēng)險(xiǎn)評(píng)估政策與程序

每一個(gè)金融機(jī)構(gòu)應(yīng)該開展對(duì)信息系統(tǒng)定期的風(fēng)險(xiǎn)評(píng)估，以充分的證明網(wǎng)絡(luò)安全計(jì)劃滿足相關(guān)要求。風(fēng)險(xiǎn)評(píng)估應(yīng)通過合理的更新來糾正信息系統(tǒng)、非公開信息、或者業(yè)務(wù)的偏移，應(yīng)該允許控制的修改、回應(yīng)技術(shù)的發(fā)展、演進(jìn)的威脅、考慮機(jī)構(gòu)與網(wǎng)絡(luò)安全的業(yè)務(wù)風(fēng)險(xiǎn)、非公開信息的收集和儲(chǔ)存、信息系統(tǒng)的使用、保護(hù)非公開信息和信息系統(tǒng)的控制可獲得性與有效性。

風(fēng)險(xiǎn)評(píng)估書面政策與程序應(yīng)該包含：評(píng)價(jià)的標(biāo)準(zhǔn)及對(duì)所辨認(rèn)風(fēng)險(xiǎn)的分門別類;評(píng)估信息系統(tǒng)及非公開信息的保密性、完整性、安全性和可獲得性的標(biāo)準(zhǔn);含辨識(shí)風(fēng)險(xiǎn)存在控制的充分性;以及根據(jù)風(fēng)險(xiǎn)評(píng)估怎樣對(duì)所辨認(rèn)風(fēng)險(xiǎn)緩釋或者接受相關(guān)要求以及網(wǎng)絡(luò)安全計(jì)劃如何糾正風(fēng)險(xiǎn)。

（二）人員配置及管理要求

美國(guó)紐約23NYCRR 500對(duì)人員的配置體現(xiàn)在首席信息安全官（CISO）、網(wǎng)絡(luò)安全人員、第三方服務(wù)提供商管理、培訓(xùn)與監(jiān)測(cè)四方面的要求上。

一是首席信息安全官的相關(guān)規(guī)定。首席信息安全官的規(guī)定處于人員配置管理要求的核心地位，每一個(gè)機(jī)構(gòu)要任命一個(gè)適格的人員作為首席信息安全官，監(jiān)督與執(zhí)行機(jī)構(gòu)的網(wǎng)絡(luò)安全計(jì)劃和執(zhí)行網(wǎng)絡(luò)安全政策。首席信息安全官可由企業(yè)雇傭、也可來自分支機(jī)構(gòu)或者第三方服務(wù)提供商中。在網(wǎng)絡(luò)服務(wù)外包的情形下，企業(yè)應(yīng)任命一名高級(jí)職員，作為與第三方網(wǎng)絡(luò)供應(yīng)商的聯(lián)絡(luò)人。

首席信息安全官應(yīng)該每年至少一次給董事會(huì)或者同等地位的人員書面報(bào)告網(wǎng)絡(luò)安全計(jì)劃及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，要是沒有董事會(huì)，應(yīng)該給機(jī)構(gòu)負(fù)責(zé)網(wǎng)絡(luò)安全計(jì)劃的高管報(bào)告。書面報(bào)告應(yīng)包含非公開信息的保密性、金融機(jī)構(gòu)信息系統(tǒng)的完整性與安全性、網(wǎng)絡(luò)安全政策與程序、實(shí)質(zhì)性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)安全計(jì)劃的整體效果、報(bào)告期的重要網(wǎng)絡(luò)安全事件等。

二是網(wǎng)絡(luò)安全人員。金融機(jī)構(gòu)要配置合格的網(wǎng)絡(luò)安全管理人員，能夠充分管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并執(zhí)行與監(jiān)督網(wǎng)絡(luò)安全管理的核心功能。對(duì)網(wǎng)絡(luò)安全人員要提供及時(shí)和充分培訓(xùn)以應(yīng)對(duì)相關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)。對(duì)網(wǎng)絡(luò)安全核心崗位員工，應(yīng)有步驟，做好充足培訓(xùn)以應(yīng)對(duì)持續(xù)改變的網(wǎng)絡(luò)威脅并能夠采取應(yīng)對(duì)措施。

三是第三方服務(wù)提供商管理。金融機(jī)構(gòu)應(yīng)當(dāng)制定第三方供應(yīng)商的政策。包含辨認(rèn)與評(píng)估第三方服務(wù)提供商的風(fēng)險(xiǎn);第三方與金融機(jī)構(gòu)開展業(yè)務(wù)的最低準(zhǔn)入網(wǎng)絡(luò)安全要求;評(píng)估第三方服務(wù)商網(wǎng)絡(luò)安全要求充分性的盡職調(diào)查程序;對(duì)第三方服務(wù)提供的定期評(píng)審。同時(shí)，在有關(guān)評(píng)估第三方的盡職調(diào)查程序或金融機(jī)構(gòu)與第三方服務(wù)提供商簽訂的合同中應(yīng)該包含相關(guān)要求，保障符合本編認(rèn)證的復(fù)合因素認(rèn)證與非公開信息加密要求。擁有大量服務(wù)提供商的金融機(jī)構(gòu)，必須采取舉措來確保每個(gè)服務(wù)提供商都遵從加密要求。

四是培訓(xùn)與監(jiān)測(cè)。金融機(jī)構(gòu)要對(duì)所有人提供固定的網(wǎng)絡(luò)安全意識(shí)訓(xùn)練，及時(shí)反映金融機(jī)構(gòu)在風(fēng)險(xiǎn)評(píng)估當(dāng)中辨認(rèn)出的風(fēng)險(xiǎn)。要執(zhí)行風(fēng)險(xiǎn)為本的政策、程序與控制來監(jiān)測(cè)授權(quán)使用者的活動(dòng)和追蹤非授權(quán)者的訪問、使用、或篡改授權(quán)使用者的非公開信息。

（三）監(jiān)督及監(jiān)管事項(xiàng)

1.監(jiān)督事項(xiàng)

監(jiān)督主要是審計(jì)跟蹤。每個(gè)金融機(jī)構(gòu)要安全的維持系統(tǒng)，并依據(jù)風(fēng)險(xiǎn)評(píng)估的程度采取相關(guān)措施。審計(jì)跟蹤要設(shè)計(jì)來對(duì)很大可能實(shí)質(zhì)性傷害到金融機(jī)構(gòu)正常業(yè)務(wù)運(yùn)營(yíng)的網(wǎng)絡(luò)安全事故進(jìn)行審計(jì)跟蹤，并對(duì)相關(guān)資料按照要求保存。

2.監(jiān)管事項(xiàng)

一是做好網(wǎng)絡(luò)安全事件通知。要是發(fā)生網(wǎng)絡(luò)安全事件，每一個(gè)金融機(jī)構(gòu)在以下情形下必須在不遲于72小時(shí)內(nèi)通知監(jiān)管機(jī)構(gòu)：一是網(wǎng)絡(luò)安全事件影響到金融機(jī)構(gòu)，需要提供通知給政府機(jī)構(gòu)、自律組織和其他監(jiān)管;二是網(wǎng)絡(luò)安全事件有合理的很大可能性會(huì)實(shí)質(zhì)性的傷害到金融機(jī)構(gòu)正常運(yùn)營(yíng)的任何實(shí)質(zhì)性部分。

二是提交認(rèn)證聲明。每一個(gè)金融機(jī)構(gòu)要評(píng)估自身的具體風(fēng)險(xiǎn)、設(shè)計(jì)一個(gè)網(wǎng)絡(luò)安全計(jì)劃來糾正其風(fēng)險(xiǎn)，以保障其穩(wěn)健經(jīng)營(yíng)。金融機(jī)構(gòu)的網(wǎng)絡(luò)安全計(jì)劃必須確保機(jī)構(gòu)的安全與穩(wěn)健和消費(fèi)者利益保護(hù)。高級(jí)管理層必須重視該計(jì)劃并對(duì)機(jī)構(gòu)的網(wǎng)絡(luò)信息安全負(fù)責(zé)，每年2月15日提交一個(gè)聲明證實(shí)已經(jīng)遵守《金融服務(wù)公司網(wǎng)絡(luò)安全要求》的規(guī)定，完成相關(guān)的合規(guī)認(rèn)證。

3.相關(guān)責(zé)任及適用

在法律責(zé)任上，如果23NYCRR 500的要求沒有得到遵守，23NYCRR 500的第20條規(guī)定，相關(guān)要求將“在任何適用法律”下得到執(zhí)行，為 DFS 或消費(fèi)者對(duì)銀行、保險(xiǎn)公司和其他金融服務(wù)公司違反此類證明的行為索賠提供基礎(chǔ)，也意味著故意向 DFS 做出錯(cuò)誤陳述將承擔(dān)相應(yīng)民事甚至刑事懲罰。

在適用紐約23NYCRR 500法令上，紐約金融服務(wù)局采用逐步推進(jìn)的方法，該規(guī)定在2017年3月份1日開始生效，設(shè)立相關(guān)過渡期，并對(duì)機(jī)構(gòu)遵循相關(guān)規(guī)定進(jìn)行限定，在2018年2月15日開始要求金融機(jī)構(gòu)提供首份認(rèn)證聲明，對(duì)部分條款提供優(yōu)先認(rèn)證，如網(wǎng)絡(luò)安全計(jì)劃、網(wǎng)絡(luò)安全政策優(yōu)先要求機(jī)構(gòu)遵循，到2019 年 3 月 1 日，兩年過渡期結(jié)束，適用實(shí)體被要求全面遵從全部規(guī)定。

三、從內(nèi)部控制理論看美國(guó)紐約金融網(wǎng)絡(luò)安全500編認(rèn)證

美國(guó)紐約金融網(wǎng)絡(luò)安全500編認(rèn)證，雖然只有23條，但內(nèi)容龐雜，涉及到網(wǎng)絡(luò)信息安全管理的各個(gè)方面，從網(wǎng)絡(luò)安全500編認(rèn)證本質(zhì)來看，這是當(dāng)前的網(wǎng)絡(luò)安全嚴(yán)峻形勢(shì)下，DFS要求金融機(jī)構(gòu)加強(qiáng)對(duì)網(wǎng)絡(luò)安全的內(nèi)部控制，從而確保能夠遵循相關(guān)要求，對(duì)消費(fèi)者信息安全與金融機(jī)構(gòu)自身信息系統(tǒng)安全提供合理保證。依據(jù)美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)（COSO）發(fā)布2013年內(nèi)部控制整體框架，網(wǎng)絡(luò)安全500編認(rèn)證對(duì)內(nèi)部控制五要素的要求主要體現(xiàn)在：

一是在控制環(huán)境方面，網(wǎng)絡(luò)安全500編認(rèn)證要求金融機(jī)構(gòu)任命首席信息官，并每年至少一次給董事會(huì)或者同等地位的人員書面報(bào)告網(wǎng)絡(luò)安全計(jì)劃及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，以確保公司最高層能夠?qū)W(wǎng)絡(luò)安全管理進(jìn)行監(jiān)督，這符合了COSO要求建立組織架構(gòu)、報(bào)告路徑及適當(dāng)?shù)臋?quán)利和責(zé)任的控制原則。二是在風(fēng)險(xiǎn)評(píng)估方面，網(wǎng)絡(luò)安全500編認(rèn)證要求金融機(jī)構(gòu)制定風(fēng)險(xiǎn)評(píng)估書面政策與程序，對(duì)信息系統(tǒng)開展定期的風(fēng)險(xiǎn)評(píng)估。三是在控制活動(dòng)方面，COSO控制原則要求企業(yè)選擇并設(shè)定一般IT控制活動(dòng)，并通過政策與程序來部署控制活動(dòng)。而網(wǎng)絡(luò)安全500編認(rèn)證要求建立整體網(wǎng)絡(luò)安全計(jì)劃，并部署具體的網(wǎng)絡(luò)安全政策來完成網(wǎng)絡(luò)風(fēng)險(xiǎn)的控制過程。四是在信息與溝通方面，網(wǎng)絡(luò)安全500編認(rèn)證對(duì)金融機(jī)構(gòu)的要求是做好信息使用管理，體現(xiàn)在金融信息管理的訪問權(quán)限、應(yīng)用安全、復(fù)合因素認(rèn)證要求上，這滿足COSO控制原則要求能夠獲取、生產(chǎn)和使用高質(zhì)量的信息的要求。五是在監(jiān)督方面上，網(wǎng)絡(luò)安全500編認(rèn)證要求開展審計(jì)跟蹤，這是COSO控制原則監(jiān)督方面持續(xù)的內(nèi)部控制評(píng)估的體現(xiàn)。

美國(guó)紐約網(wǎng)絡(luò)安全500編認(rèn)證的核心要求體現(xiàn)在建立整體網(wǎng)絡(luò)安全計(jì)劃，并制定實(shí)施具體的網(wǎng)絡(luò)安全政策，鑒于500認(rèn)證在內(nèi)部控制五要素上都有所要求，因此，一個(gè)金融機(jī)構(gòu)要完成紐約金融網(wǎng)絡(luò)安全500編認(rèn)證，必須完善信息安全管理內(nèi)部控制機(jī)制，才能夠確保合規(guī)。

四、美國(guó)紐約金融網(wǎng)絡(luò)安全500編認(rèn)證影響及相關(guān)啟示

“互聯(lián)網(wǎng)金融”依靠電子技術(shù)運(yùn)行，其核心基礎(chǔ)是應(yīng)用金融信息。大數(shù)據(jù)時(shí)代下，對(duì)個(gè)人信息的掌握程度，將很大決定一個(gè)金融機(jī)構(gòu)的競(jìng)爭(zhēng)力。對(duì)個(gè)人信息的收集與使用，應(yīng)該以個(gè)人信息獲得充分保護(hù)為前提。紐約網(wǎng)絡(luò)安全500編認(rèn)證本身是對(duì)金融機(jī)構(gòu)的網(wǎng)絡(luò)安全的要求，但最終的指向是個(gè)人的信息保護(hù)。

（一）美紐約金融網(wǎng)絡(luò)安全500編認(rèn)證對(duì)我國(guó)金融機(jī)構(gòu)影響

美紐約23NYCRR 500對(duì)我國(guó)金融機(jī)構(gòu)影響主要體現(xiàn)在：一是我國(guó)金融機(jī)構(gòu)總部要從整體上監(jiān)督與支持在紐約機(jī)構(gòu)落實(shí)23NYCRR 500要求。美紐約23NYCRR 500法令在2018年2月15日開始生效，在紐約機(jī)構(gòu)已經(jīng)根據(jù)要求開展認(rèn)證。國(guó)內(nèi)的總部機(jī)構(gòu)在對(duì)在美紐約機(jī)構(gòu)落實(shí)23NYCRR 500要求進(jìn)行監(jiān)督時(shí)，必須從加強(qiáng)該分支機(jī)構(gòu)的網(wǎng)絡(luò)信息安全管理的內(nèi)部控制的角度進(jìn)行著手，根據(jù)內(nèi)部控制五要素要求，分類逐條對(duì)在紐約機(jī)構(gòu)落實(shí)23NYCRR 500情況進(jìn)行評(píng)估，確保全面合規(guī)。

二是在美紐約機(jī)構(gòu)，要全面對(duì)標(biāo)23NYCRR 500要求，不僅要建立網(wǎng)絡(luò)安全計(jì)劃、部署具體的網(wǎng)絡(luò)安全政策，并建立健全相應(yīng)的風(fēng)險(xiǎn)評(píng)估機(jī)制，更要加大網(wǎng)絡(luò)安全的管理資源投入，做好人員配置與培訓(xùn)，開展好第三方供應(yīng)商管理，做好審計(jì)監(jiān)督等相關(guān)事項(xiàng)。同時(shí)應(yīng)跳出傳統(tǒng)的被動(dòng)合規(guī)思維，以此為契機(jī)，全面加強(qiáng)紐約屬地的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)管理。

（二）對(duì)我國(guó)做好網(wǎng)絡(luò)安全管理，加強(qiáng)金融信息保護(hù)的相關(guān)啟示

美紐約23NYCRR 500法令雖然為紐約州的地方性規(guī)章，但其相關(guān)的立法理念及執(zhí)法的要求卻是走在全球前列，體現(xiàn)了全球金融中心的金融個(gè)人信息保護(hù)的趨勢(shì)。對(duì)我國(guó)加強(qiáng)個(gè)人金融信息保護(hù)具有以下啟示：

1.加強(qiáng)監(jiān)管力度，強(qiáng)化網(wǎng)絡(luò)環(huán)境下個(gè)人金融信息保護(hù)不力的追責(zé)

在個(gè)人信息保護(hù)上的法律法規(guī)上，我國(guó)尚未出臺(tái)專門的個(gè)人信息保護(hù)法律。對(duì)金融信息保護(hù)，我國(guó)相關(guān)規(guī)定層次豐富，內(nèi)容廣泛。一是在法律層面，如2017年《民法總則》第111條對(duì)個(gè)人信息的保護(hù)規(guī)定、2017年6月1日開始實(shí)施的《網(wǎng)絡(luò)安全法》在40到44條規(guī)定的個(gè)人信息保護(hù)的原則與框架。二是司法解釋，如2017 年5 月，最高人民法院和最高人民檢察院聯(lián)合發(fā)布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10 號(hào)）。三是規(guī)范性文件，如2011 年中國(guó)人民銀行《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》、全國(guó)信息安全技術(shù)標(biāo)準(zhǔn)化委員會(huì)2017年發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》、銀保監(jiān)會(huì)2018年5月21日實(shí)施的《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》等。

但相關(guān)規(guī)定在金融機(jī)構(gòu)個(gè)人信息保護(hù)上針對(duì)性上存在不足。銀保監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》24條規(guī)定，“銀行業(yè)金融機(jī)構(gòu)采集、應(yīng)用數(shù)據(jù)涉及到個(gè)人信息的，應(yīng)遵循國(guó)家個(gè)人信息保護(hù)法律法規(guī)要求，符合與個(gè)人信息安全相關(guān)的國(guó)家標(biāo)準(zhǔn)?！睆亩鴮ⅰ缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》納入銀行業(yè)的個(gè)人信息保護(hù)體系。只是在相關(guān)的監(jiān)管責(zé)任追究上，并沒有彰顯銀行業(yè)個(gè)人信息保護(hù)的責(zé)任力度。除了銀行業(yè)以外，其他金融機(jī)構(gòu)也存在廣泛的個(gè)人信息保護(hù)需求。參考紐約23NYCRR 500對(duì)相關(guān)責(zé)任的規(guī)定及歐盟《通用數(shù)據(jù)保護(hù)條例》對(duì)個(gè)人數(shù)據(jù)保護(hù)不力的責(zé)任追究，未來我國(guó)應(yīng)修改相關(guān)責(zé)任規(guī)定，督促金融監(jiān)管部門加大對(duì)金融信息個(gè)人監(jiān)管力度，在互聯(lián)網(wǎng)時(shí)代，除了民事、刑事的方式提供保護(hù)，更應(yīng)該加強(qiáng)對(duì)金融機(jī)構(gòu)及其工作人員在個(gè)人金融信息保護(hù)上不力的行政處罰力度。

2.改進(jìn)保護(hù)路徑，采用風(fēng)險(xiǎn)為本方法，提升金融機(jī)構(gòu)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)應(yīng)對(duì)能力

紐約金融服務(wù)局的23NYCRR 500法令，總體上存在金融機(jī)構(gòu)對(duì)個(gè)人信息保護(hù)的風(fēng)險(xiǎn)為本（risk-based approach）方法要求。該法令通篇貫徹了該種方法，如在網(wǎng)絡(luò)安全計(jì)劃的規(guī)定中，23NYCRR 500的02條規(guī)定，“網(wǎng)絡(luò)安全計(jì)劃要依據(jù)機(jī)構(gòu)的風(fēng)險(xiǎn)評(píng)估狀況來制定并執(zhí)行以下功能”，在23NYCRR 500的03條網(wǎng)絡(luò)安全政策上指出，“該政策應(yīng)該根據(jù)風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，并在以下領(lǐng)域適用”，此外在非公開信息的加密、培訓(xùn)與監(jiān)測(cè)等多領(lǐng)域均有相關(guān)表述，這是要求金融企業(yè)做好自身的風(fēng)險(xiǎn)評(píng)估并采取適當(dāng)與風(fēng)險(xiǎn)匹配的措施。我國(guó)也可以采納同樣的方法，在金融機(jī)構(gòu)具體落實(shí)個(gè)人信息保護(hù)要求的時(shí)候，要求建立健全相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制，并采取項(xiàng)適應(yīng)的風(fēng)險(xiǎn)管理措施。

3.改善實(shí)現(xiàn)機(jī)制，加強(qiáng)金融機(jī)構(gòu)網(wǎng)絡(luò)安全的內(nèi)部控制，健全完善金融機(jī)構(gòu)信息保護(hù)機(jī)制

整體上，紐約金融服務(wù)局的網(wǎng)絡(luò)安全500編認(rèn)證是對(duì)轄屬金融機(jī)構(gòu)在網(wǎng)絡(luò)安全管理的一種內(nèi)部控制要求。完成網(wǎng)絡(luò)安全500認(rèn)證的過程，就是轄屬金融機(jī)構(gòu)的內(nèi)部控制環(huán)境、風(fēng)險(xiǎn)評(píng)估機(jī)制、控制活動(dòng)、信息溝通與監(jiān)督五要素的達(dá)標(biāo)過程，這啟示我們要改進(jìn)網(wǎng)絡(luò)安全管理的實(shí)現(xiàn)機(jī)制，在推動(dòng)金融機(jī)構(gòu)加強(qiáng)網(wǎng)絡(luò)安全管理的時(shí)候從機(jī)構(gòu)的整體機(jī)制著手，對(duì)內(nèi)部控制的各個(gè)要素進(jìn)行評(píng)價(jià)，而不是等到網(wǎng)絡(luò)安全事件發(fā)生后，再進(jìn)行處罰糾正，從強(qiáng)化金融機(jī)構(gòu)的網(wǎng)絡(luò)安全保護(hù)內(nèi)部控制機(jī)制著手，這樣才能夠?yàn)閷?shí)現(xiàn)互聯(lián)網(wǎng)時(shí)代下金融信息的保護(hù)提供合理的保證。

參考文獻(xiàn)：

[1]惠平，童頻.商業(yè)銀行內(nèi)部控制[M].北京：中國(guó)金融出版社，2017.

[2]張健華.美國(guó)金融制度[M].北京：中國(guó)金融出版社，2016.

[3]王瑞.歐盟《通用數(shù)據(jù)保護(hù)條例》主要內(nèi)容與影響分析[J].金融會(huì)計(jì)，2018（8）.

[4]洪延青.透析金融數(shù)據(jù)保護(hù)的美歐中立法要點(diǎn)和趨勢(shì)[J].中國(guó)銀行業(yè)，2018（11）.

[5]中國(guó)工商銀行江蘇省分行課題組.我國(guó)商業(yè)銀行個(gè)人金融信息保護(hù)策略研究[J].金融縱橫，2018（7）.