NYDFS发布第三方服务提供商风险管理指南:强化网络安全与合规实践

纽约金融服务部发布行业指南,详细阐述金融机构管理第三方服务提供商风险的完整生命周期方法,涵盖尽职调查、合同条款、持续监控和关系终止等关键环节,助力企业加强网络安全防护。

NYDFS发布关于管理第三方服务提供商风险的指南

2025年10月27日 作者:Kate Hanniford、Lance Taubin 和 Carson Kuck

2025年10月21日,纽约金融服务部发布了一份行业信函,概述了管理第三方服务提供商风险的指南。NYDFS认识到,随着受监管实体越来越依赖TPSP,管理TPSP"仍然是受监管实体网络安全计划的关键要素"。该信函概述了受监管实体在与TPSP关系的生命周期中应采取的行动和建议:(1) 识别、尽职调查和选择;(2) 合同签订;(3) 持续监控和监督;以及 (4) 终止。虽然信函明确表示并未对受监管实体施加新的要求或义务,而是旨在澄清第500部分(特别是500.11)并推荐最佳实践,但这一规范性指南在实践中可能被视为某些(或许多)受监管实体的操作基准。

识别、尽职调查和选择

由于与TPSP关系相关的风险增加,受监管实体可能希望在与TPSP达成任何安排之前谨慎行事并进行尽职调查。因此,信函概述了对TPSP进行尽职调查的非详尽考虑因素清单。其中一些考虑因素包括:

  • TPSP访问信息系统和非公开信息的类型和范围;
  • TPSP在行业内的声誉,包括其网络安全历史和财务稳定性;
  • TPSP为其自身系统和数据实施的控制措施,特别是在受监管实体的系统未完全隔离的情况下;
  • TPSP是否接受外部审计和独立评估;
  • TPSP选择、监控和与下游服务提供商签订合同的实践;以及
  • TPSP、其关联公司或供应商是否在因地缘政治、法律、社会经济、运营或监管因素而被视为高风险的司法管辖区运营或从这些地区运营。

除上述考虑因素外,信函强调受监管实体应考虑如何最佳地获取、审查和验证潜在TPSP提供的信息。虽然标准化问卷可能有助于从TPSP收集所需信息的过程,但受监管实体必须确保这些问卷由合格人员解读,以便做出基于风险的明智决策。换句话说,供应商尽职调查问卷不是"打勾"要求;完成的问卷必须由合格人员仔细评估并适当采取行动。此外,如果供应商选择有限,受监管实体应做出基于风险的决策,记录相关风险,并采取措施实施补偿性控制。

合同签订

使用TPSP的受监管实体需要制定并实施书面政策和程序,以解决尽职调查和合同保护问题。在信函中,NYDFS提供了一些"基线合同条款"的示例,受监管实体应考虑将这些条款纳入与TPSP的协议中。其中一些条款包括:

  • 制定并实施解决访问控制问题的政策和程序;
  • 制定并实施解决传输中和静态数据加密问题的政策和程序;
  • 在发生直接影响受监管实体信息的网络安全事件时,立即或及时通知受监管实体;
  • 要求TPSP披露数据可能存储、处理或访问的位置;以及
  • 要求TPSP披露分包商的使用情况,并允许受监管实体拒绝使用某些分包商,这实质上使受监管实体能够控制第四方的使用,有点类似于GDPR。

除上述条款外,信函还强化了NYDFS在2024年提供的类似指南,涉及在TPSP协议中插入与人工智能产品可接受使用相关的条款。

NYDFS澄清,信函中提供的清单既非详尽无遗,也并非在所有情况下都适用,但受监管实体应继续寻求"合理保护,如违规通知条款、数据使用以及关于访问控制和数据处理的保证"。此外,受监管实体应制定中长期战略,以减少对TPSP的整体依赖。

持续监控和监督

使用TPSP的受监管实体必须制定政策,解决基于每个"TPSP所呈现风险以及[TPSP]网络安全实践持续充分性"对TPSP进行定期评估的问题。受监管实体进行的评估可能包括从TPSP获取安全认证(例如SOC2、ISO 27001)以及要求提供渗透测试摘要、政策更新、安全意识培训证据和合规审计证明。

除定期评估外,受监管实体应要求TPSP提供漏洞管理更新,评估补丁实践,并确认先前识别缺陷的修复情况。尽管这对受监管实体来说可能是一项广泛的工作,但信函指出,受监管实体应记录识别出的重大或未解决风险,并酌情升级这些风险。

终止

当受监管实体终止与TPSP的关系时,应采取一些行动以减轻任何潜在风险。信函概述的一些行动是规范性的,包括:

  • 撤销身份联合工具、API集成和外部存储访问;
  • 要求认证NPI的销毁、数据的安全返回或数据迁移到另一个TPSP或内部环境;
  • 确认任何剩余的快照、备份或缓存数据集已被删除,并且对任何共享资源的访问已被撤销;
  • 特别关注常规访问配置系统之外的残留或未监控访问点;以及
  • 让关键利益相关者参与,包括IT、法律、合规、采购和业务部门,以在计划终止时确定减轻潜在风险的策略。

值得注意的是,除受监管实体在终止期间应采取上述行动外,受监管实体还应确保离职流程得到适当记录,并保留所有相关审计日志以支持问责制和未来验证。

NYDFS明确表示,将继续"在其检查、调查和执法行动中考虑受监管实体缺乏适当TPSP风险管理实践的情况"。因此,尽管信函并未正式对受监管实体施加任何新要求,但强烈鼓励受监管实体审查该信函并实施NYDFS确定的实践,以加强其网络安全态势。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次