Title 23 NYCRR 500 部分

Title 23 NYCRR 500 部分概述

为了响应 2017 年对信息和财务系统的网络安全造成的大量不断增加的威胁，纽约州金融服务局对许可或授权在纽约州开展业务的金融机构施加一组新的网络安全要求。 Title 23 纽约法典、规则和法规 500 部分：金融服务公司的网络安全要求旨在保护金融机构的客户数据和信息技术系统（如州立、私营和国际银行、抵押经纪人和保险公司）。

Microsoft 和 Title 23 NYCRR 500 部分

Microsoft 为受到 Title 23 NYCRR 500 部分监管的金融服务提供了综合指南，Microsoft 云服务：支持通过 NYDFS 网络安全要求实现合规性。 该指南详细介绍了 Azure、Office 365 和 Power BI 云服务如何支持通过要求实现合规性。 试图在纽约的全球金融中心经营业务的金融机构必须满足这些要求，因此合规性对于许多机构非常重要。

纽约法规要求每个金融机构：

• 开发并维护强大的网络安全计划，先对机构的特定风险状况进行评估，然后设计用来解决这些问题的计划。 有关使用 Microsoft Cloud for Financial Services 的信息，请参阅 Microsoft Cloud Financial Services。 此外，服务信任门户的 “金融服务 ”页包含特定于国家/地区的资源，可帮助你更好地了解如何满足全球法规要求。
• 实施全面的网络安全策略，该策略可以解决信息安全、数据管理和分类、访问控制、业务连续性等问题。 Microsoft 提供了有关如何开发此策略的指南，其中详细介绍认证和风险评估；业务连续性和灾难恢复指标；以及日志记录和审核的诊断。
• 指定首席信息安全官 (CISO) 管理网络安全计划并强制实施策略。 为了帮助 CISO，Microsoft 通过 Microsoft Defender for Cloud、Office 365高级威胁分析和Power BI 安全性提供有关 Microsoft 云部署的深入网络安全信息。
• 监视和测试其网络安全计划的有效性：Microsoft 提供了有关其网络安全做法的审核信息，其中包括持续监视、定期渗透测试和漏洞评估。 客户可以执行自己的测试，而无需事先获得 Microsoft 批准。
• 维护审核跟踪。 Azure、Office 365 和 Power BI 客户的内置审核功能生成用于重建财务交易和开发审核跟踪信息的信息。
• 对包含非公开信息的信息系统的限制访问：Azure、Office 365 和 Power BI 提供本机到每个服务的基于角色的访问控制 (RBAC) 流程，针对每个 Microsoft 管理员的严格安全和访问要求，以及对提升的访问权限的每个请求的审核。
• 制定用于评估和测试外部开发的应用程序的安全性的过程：对于使用 Visual Studio 的开发人员，托管代码的安全规则可帮助确保在部署代码前检测并缓解应用程序网络安全威胁。
• 使用定期风险评估设计和增强网络安全计划：对于客户，Microsoft 聚合有关安全威胁的信息，提供变更管理的指南，并定期更新有关分包商的信息。 Microsoft 还会定期对自己的服务（即提供给客户的结果）进行风险评估。
• 使用符合资格的人员管理网络安全风险并监督网络安全功能：Microsoft 使用严格的过程供员工访问客户数据。 如果我们聘用了分包商，我们仍负责传递服务，并确保分包商完全遵守 Microsoft 隐私和安全承诺，包括处理敏感数据、背景检查和保密协议的要求。
• 实施策略和过程来确保第三方服务提供商所拥有的信息的安全性：Azure、Office 365 和 Power BI 使多重身份验证可用于公司网络的所有入站连接；实施控制（包括加密）来保护通过外部网络传输及静态的非公开信息；并提供 Microsoft Online Services 条款，这些条款提供客户通知、事件调查和针对安全事件的风险缓解。
• 实施数据保留以及删除策略和过程：你始终可以访问和提取存储在 Azure、Office 365 和 Power BI 中的客户数据。
• 监视授权用户的活动，检测未经授权的访问，并向员工提供定期的网络安全意识培训：Azure、Office 365 和 Power BI 包含由外向内监视，以引发有关事件的警报以及日志记录和审核的大量诊断。 Microsoft Virtual Academy 提供了包含 Microsoft 云服务的网络安全的在线培训。
• 制定计划来响应网络安全事件并从中恢复：Microsoft 可帮助你使用防御策略准备网络安全事件，以在出现安全漏洞之前对其进行检测、预测和防范。 开发自己的计划时，可以制定事件管理计划以响应网络安全漏洞。

Microsoft 范围内的云平台和云服务

• Azure
• Intune
• Office 365

Office 365 和 Title 23 NYCRR 500 部分

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台，同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域（例如，美国）中的其他区域，以实现数据复原，但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境：

• 客户端软件（客户端）：客户设备上运行的商业客户端软件。
• Office 365（商业）：全球范围内提供的商业公共 Office 365 云服务。
• Office 365 政府社区云 (GCC)：Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府，以及代表美国政府持有或处理数据的承包商。
• Office 365 政府社区云 - 高 (GCC High)：Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计，并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
• Office 365 DoD (DoD)：Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计，并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用，请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息，请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议，你应咨询法律顾问，以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性：

适用性	范围内服务
商业	Exchange Online Protection， Exchange Online， Office 365 客户门户， Office Online， Office 服务基础结构， OneDrive for Business， SharePoint Online， Skype for Business

常见问题解答

此法规中包含哪些机构？

请参阅“纽约州金融服务管理局”要监督的机构的网站来确定你的机构是否受到此法规的制约。

资源

• 特色资源
• 纽约州金融服务管理局 23 NYCRR 500：金融服务公司的网络安全要求
• Microsoft 云服务：支持通过 NYDFS 网络安全要求实现合规性
• Microsoft 信任中心内的合规性

针对金融服务的其他 Microsoft 资源

• Microsoft 商业云服务和金融服务
• Microsoft 云金融服务
• 服务 信任门户中的金融服务
• 关于云计算的责任共担-