国家标准和技术研究所

大跃进:欧盟不久将出台网络安全和事件报告的宽泛规则

欧盟

2015年12月7日,在第一个草案出台两年半之后,欧盟理事会终于与议会就影响欧盟企业的重要网络和信息安全规则(“nis指令”)达成了重要的非正式协议。这是欧盟委员会(European Commission)网络安全战略努力的高潮,该战略始于2013年2月,当时欧盟委员会(European Commission)提出了一份指令草案,旨在确保网络和信息安全的共同水平。nis指令的最终通过将产生几个重要后果,包括董事会对网络安全风险的关注增加,公司需要增加信息安全投资,准备并实施网络安全事件应对计划,对网络安全事件的情况进行内部全面调查,以遵守即将履行的报告义务。

阅读更多

国防部网络安全规则扩大了承包商和其他国防部受奖人保护敏感数据和报告网络事件的义务

概述

美国国防部(“DoD”)最近发布了两项新规定,对特定敏感数据类别的信息实施更广泛的保护义务,并向政府报告网络事件。这些规则通常适用于已获得新的国防部采购合同的公司,在此类国防部合同下持有分包合同的公司,或在某些情况下,已获得与国防部其他类型的协议的公司。规则:

  • 扩大承包商和分包商报告和调查网络威胁的维护责任和义务;
  • 修改承包商和分包商必须保护的数据范围,以及适用该要求的承包商和分包商的范围;
  • 为使用云计算为国防部提供信息技术服务的承包商和分包商制定要求,包括要求这些承包商将政府数据保存在美国境内,实施国防部批准的安全措施,限制政府数据的公开和访问;
  • 为国防工业基地(“DIB”)协议持有者扩展并强制执行国防部先前的自愿网络事件报告系统;和
  • 向更大范围的协议持有者开放国防部自愿网络安全信息共享计划。

新规定反映出国防部加强了对出口受控技术和其他类别敏感数据的处理。国防部采购合同、分包合同和其他类型的工具(如合作协议)的受惠者应使其数据安全和出口控制合规计划符合这些新要求。

阅读更多

证券交易:美国证券交易委员会报告突出了网络安全防范方面的最佳(和最差)做法

2015年2月3日,美国证券交易委员会发布了一份风险预警,针对经纪公司和咨询公司的网络安全问题,并就如何保护自己和自己的网络账户向投资者提供了建议。美国金融业监管局发布了一份类似的、更广泛的报告。网络安全实践报告“在同一天。”

阅读更多