安全合规，你不可不知的五则新网络安全法

当情况变得糟糕时，立法机构通常会通过法律来加以限制。但在打击网络安全违规方面，全球各地立法和监管机构显得很迟缓，难以对当前正在发生的数据泄露和全球化攻击行动作出反应。过去十多年里，不断涌现各种重大安全事件，随着全球化和对IT系统依赖的增加，这些事件的后果还将继续扩大。

少数立法机构正在尝试改进，Trustwave汇总了目前全球范围最新通过的五则网络安全法，分别来自美国、欧盟、澳大利亚、中国。在不久的将来，这几项法规将对我们造成切实影响，所有需要安全合规的公司都应该关注一下。

纽约州金融服务部规定

编号：23 NYCRR 500

状态：今年3月1日生效，企业需在生效后18个月内完全合规

介绍：纽约州为在其境内开展业务的银行和保险公司（超过10名员工）颁布的法律规定。作为全球金融枢纽，纽约的这些要求肯定会在美国其它州乃至全球范围内引发效仿，就像加利福尼亚州首创的SB 1386数据泄露通知规定一样。

纽约新政要求在监管公司：

指定CISO（可以从第三方雇佣）
定期进行风险评估，包括外部供应商（比如合作律师事务所），这是近期越来越多违规事件的来源之一
巡查安全事件
每年进行一次滲透测试，每两年进行一次脆弱性评估
确保使用安全开发实践进行开发
限制非公开信息的用户访问权限
限制数据留存
制定书面的事件响应计划
使用合规的安全人员和第三方供应商来管理风险和核心安全功能

欧盟通用数据保护条例/GDPR

编号：Regulation (EU) 2016/679

状态：2018年5月法定生效

介绍：针对所有在欧盟经营的企业颁布的数据保护法规。欧盟协调联盟内28个成员国，以“让公民重新掌握个人资料，简化业务监管环境”为目标，最终商议出的成果。该法规针对收集和管理欧盟公民个人信息的企业作出了明确规定，以保护信息不被滥用。

2017年网络安全披露法

编号：S. 536

状态：美国参议院提出

介绍：我们都知道，企业的IT部门很少有懂安全的人，但董事会呢？弗吉尼亚州民主党参议员马克·华纳提案，建议要求公共公司董事会向证劵交易所说明其成员是否有人拥有安全技能，如果没有，那么他们需要说明如何改进这一弱点。据说消费者权益拥护者很赞同这一提案，还有呼吁发生安全事件后应该增加对董事会的问责制度。

2016年隐私修正案（数据泄露通知）

状态：今年2月澳大利亚议会通过，预计于2018年2月生效

介绍：如果发现敏感数据泄露，公司需要向澳大利亚隐私和信息官员进行报告，说明严重程度并进行披露。

中国的网络安全法

状态：去年通过，预计今年6月1日开始实施

介绍：以国家安全为由进行关键基础设施保护，但许多国外公司和机构发生争议声音，认为可能会加剧网络监管，以及需要将用户信息储存到国内来。