Title 23 NYCRR Part 500
Title 23 NYCRR Part 500 개요
2017년에 사이버 보안 정보 및 재무 시스템에 대해 계속 증가하는 중대한 위협에 대한 대응으로, 뉴욕주 금융서비스국은 해당 주에서 비즈니스를 수행하도록 허가 또는 승인된 재무 기관에 새로운 사이버 보안 요구 사항을 도입했습니다. Title 23 New York Codes, Rules, and Regulation Part 500: 재무 서비스 기업을 위한 사이버 보안 요구 사항으로, 고객 데이터와 주 정부 허가, 개인 및 국제 은행, 담보 대출 및 보험 회사와 같은 재무 기관의 정보 기술 시스템을 보호하기 위해 설계되었습니다.
Microsoft 및 Title 23 NYCRR Part 500
Microsoft는 Title 23 NYCRR Part 500에 따라 규제되는 재무 서비스를 위한 포괄적인 Microsoft 클라우드 서비스: NYDFS 사이버 보안 요구 사항 규정 준수 지원 가이드를 제공합니다. 이 가이드에는 Azure, Office 365 및 Power BI 클라우드 서비스가 요구 사항 규정 준수를 지원하는 방법에 대해 자세히 설명되어 있습니다. 뉴욕의 국제 금융 센터에서 운영하려는 재무 기관은 이를 충족해야 하므로, 규정 준수는 많은 기관에 중요합니다.
뉴욕 규정에는 각 재무 기관이 다음을 수행해야 합니다.
- 기관의 특정 위험 프로필 평가부터 시작한 다음 문제를 해결하는 프로그램을 설계하는 강력한 사이버 보안 프로그램을 개발하고 유지 관리합니다. Microsoft Cloud for Financial Services에 참여하는 방법에 대한 자세한 내용은 Microsoft Cloud Financial Services를 참조하세요. 또한 서비스 신뢰 포털의 금융 서비스 페이지에는 글로벌 규제 요구 사항을 충족하는 방법을 더 잘 이해하는 데 도움이 되는 국가별 리소스가 포함되어 있습니다.
- 정보 보안, 데이터 관리 및 분류, 액세스 제어, 비즈니스 연속성 등을 처리하는 종합 사이버 보안 정책을 구현합니다. Microsoft는 인증 및 위험 평가, 비즈니스 연속성 및 재해 복구 메트릭, 로깅 및 감사용 진단에 대한 자세한 정보를 포함하여 이 정책을 개발하는 데 대한 참고 자료를 제공합니다.
- 사이버 보안 프로그램을 관리하고 정책을 적용하기 위한 수석 정보 보안 책임자(CISO)를 지정합니다. CISO를 돕기 위해 Microsoft는 클라우드용 Microsoft Defender, Office 365Advanced Threat Analytics 및 Power BI Security를 통해 Microsoft 클라우드 배포에 대한 심층적인 사이버 보안 정보를 제공합니다.
- 사이버 보안 프로그램의 효율성 모니터링 및 테스트: Microsoft에서는 지속적인 모니터링, 주기적인 침투 테스트, 취약점 평가를 포함 하는 사이버 보안 관행 감사에 대한 정보를 제공합니다. 고객은 사전에 Microsoft에서 제공 하는 고급 권한을 사용하지 않고 자체 테스트를 수행할 수 있습니다.
- 감사 내역을 관리합니다. Azure, Office 365 및 Power BI 고객에 대한 기본 제공 감사 기능은 재무 거래를 재구성하고 감사 추적 정보를 개발하는 데 사용할 수 있는 정보를 생성합니다.
- 비공개 정보를 포함하는 정보 시스템에 대한 액세스 제한: Azure, Office 365, Power BI는 각 서비스에 대한 기본 RBAC(역할 기반 액세스 제어) 프로세스, 모든 Microsoft 관리자의 엄격한 보안 및 액세스 요구 사항, 강화된 액세스 권한에 대한 모든 요청 감사를 제공하는지 평가합니다.
- 외부 개발 애플리케이션에 대한 보안을 평가하고 테스트하기 위한 절차 도입: Visual Studio를 사용하는 개발자는 관리 코드에 대한 보안 규칙을 코드가 배포되기 전에 애플리케이션 사이버 보안 위협이 감지되고 완화되는지 확인할 수 있습니다.
- 주기적인 위험 평가를 사용하여 사이버 보안 프로그램을 설계 및 개선: 고객을 위해 Microsoft는 보안 위협에 대한 정보를 집계하고 변경 관리의 로드맵을 제공하며 하도급업자에 대한 정보를 정기적으로 업데이트합니다. Microsoft는 또한 고객에게 제공되는 결과인 자체 서비스에 대한 위험 평가를 정기적으로 실시합니다.
- 공인 담당자를 통해 사이버 보안 위험을 관리하고 사이버 보안 기능을 감독: Microsoft는 직원들이 고객 데이터에 액세스하는 데 엄격한 절차를 사용합니다. 하도급업자를 고용하는 경우 서비스 제공을 관리하고, 중요한 데이터를 처리하는 데 필요한 요구 사항, 신원 조사 및 비공개 계약을 비롯하여 하도급업자가 Microsoft의 개인정보취급방침 및 보안 지침 내용을 완전하게 준수하는지 확인합니다.
- 타사 서비스 공급자가 제공하는 정보의 보안을 보장하는 정책 및 절차 구현: Azure, Office 365 및 Power BI는 회사 네트워크에 대한 모든 인바운드 연결에 대해 다단계 인증을 사용할 수 있습니다. 외부 네트워크를 통한 전송에서 비공개 정보를 보호하고 rest에서 보호할 수 있는 암호화를 비롯한 제어를 구현합니다. Microsoft Online Services 사용 약관을 통해 보안 문제에 대한 고객 공지, 인시던트 조사 및 위험 완화를 제공합니다.
- 데이터 보존 및 삭제 정책과 절차 구현: Azure, Office 365, Power BI에 저장된 고객 데이터를 언제든지 액세스하고 추출할 수 있습니다.
- 권한이 부여된 사용자의 활동을 모니터링하고, 무단 액세스를 감지하고, 직원들에게 정기적인 사이버 보안 인식 교육 제공: Azure, Office 365, 및 Power BI에는 로깅 및 감사에 대한 다양한 진단과 인시던트에 대한 경고를 표시하는 간접적인 상호 작용 모니터링이 포함되어 있습니다. Microsoft Virtual Academy는 Microsoft 클라우드 서비스의 사이버 보안을 다루는 온라인 교육을 제공합니다.
- 사이버 보안 인시던트에 대응하고 복구하는 계획 개발: Microsoft는보안 위반이 발생하기 전에 이를 감지하고 예측하며 방지하기 위해 방어 전략을 사용하여 사이버 보안 인시던트를 준비할 수 있도록 도움을 줍니다. 직접 계획을 개발할 때는 인시던트 관리 계획을 세워 사이버 보안 위반에 대응할 수 있습니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure
- Intune
- Office 365
Office 365 및 Title 23 NYCRR Part 500
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| 상업용 | Exchange Online Protection, Exchange Online, Office 365 고객 포털, Office Online, Office 서비스 인프라, 비즈니스용 OneDrive, SharePoint Online, 비즈니스용 Skype |
자주 묻는 질문
어떤 기관이 이 규제의 적용을 받나요?
뉴욕주 금융서비스국 감독 대상 사이트에 문의하여 해당 기관에 이 규제가 적용되는지 여부를 확인하세요.
리소스
- 주요 리소스
- New York State Department of Financial Services 23 NYCRR 500: 재무 서비스 기업을 위한 사이버 보안 요구 사항
- Microsoft 클라우드 서비스: NYDFS 사이버 보안 요구 사항 규정 준수 지원
- Microsoft 보안 센터의 규정 준수
금융 서비스에 대한 기타 Microsoft 리소스
- Microsoft 비즈니스 클라우드 서비스 및 금융 서비스
- Microsoft Cloud Financial Services
- Service Trust Portal의 금융 서비스
- 클라우드 컴퓨팅에 대한 공동 책임-
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기