一、金融科技网络信息安全法规分析
金融科技网络信息安全在纵向上面临法律、行政法规、央行、银保监会、证监会和公安机关等多层面的监管,在横向的技术层面上以网络安全等级保护基本要求为基础框架,可以识别到金融科技所面临的监管合规风险。
1.1 策略和制度管理
金融机构结合自身业务发展和信息科技发展方向,围绕信息资产的保护措施和监管要求针对网络信息安全策略和制度进行整体规划,将监管要求的网络信息安全指导方针,风险管理、监督和检查管理的流程和机制等内容整合到现有安全管理策略和制度建设当中。
1.1.1安全策略和方针
在国家层面上《网络安全法》要求制定内部安全管理制度和操作规程,同时对从个人信息保护提出明确要求,一是要收集、使用个人信息,应当遵循合法、正当、必要的原则,保障个人信息主体的权利,二是要建立健全用户信息保护制度。
银行业在开展电子银行安全评估时,至少应包括以下内容:(一)安全策略制定的流程与合理性;(二)系统设计与开发的安全策略;(三)系统测试与验收的安全策略;(四)系统运行与维护的安全策略;(五)系统备份与应急的安全策略;(六)安全策略。
银行要制定查询个人信用报告的内部授权制度和查询管理程序,制定相关信用信息报送、查询、使用、异议处理、安全管理等方面的内部管理制度和操作规程,并报中国人民银行备案。
保险公司应当建立信息系统管理制度,规范信息系统的统筹规划、设计开发、运行维护、安全管理、保密管理、灾难恢复管理等控制事项,整合公司的信息系统资源,提高业务和财务处理及办公的信息化水平,建立符合业务发展和管理需要的信息系统。
保险公司应当对信息系统使用实行授权管理,及时更新和完善信息系统安全控制措施,加强保密管理和灾难恢复管理,提高信息系统运行的稳定性和安全性。各公司应按照有效性、可用性和安全性的原则,对信息化基础设施和信息系统的功能、性能和安全保障等方面做出规定并按规定实施。
保险机构自主开展互联网保险业务的,自主运营的信息管理系统应实现与保险机构核心业务系统的无缝实时对接,并确保与保险机构内部其他应用系统的有效隔离,避免信息安全风险在保险机构内外部传递与蔓延,而且具有完善的防火墙、入侵检测、数据加密以及灾难恢复等互联网信息安全管理体系;
保险机构通过第三方网络平台开展互联网保险业务的,第三方网络平台应具有安全可靠的互联网运营系统和信息安全管理体系,实现与保险机构应用系统的有效隔离,避免信息安全风险在保险机构内外部传递与蔓延。
证券机构应当根据行业规划和本机构发展战略,制定信息化与信息安全发展规划,满足业务发展和信息安全管理的需要。信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。一是要建立符合业务要求的信息系统。信息系统应当具有合理的架构,足够的性能、容量、可靠性、扩展性和安全性,能够支持业务的运行和发展。二是要建立完善的信息技术治理架构,明确信息技术决策、管理、执行和内部监督的权责机制。三是要建立健全网络安全体系,统一制定网络安全策略,网络安全策略遵循技术保护和管理保护相结合的原则。
对于网上证券信息系统应统一规划、集中管理,保证在网上开展证券业务安全、有序发展。并针对性制定各项安全管理制度,对安全管理目标、安全管理组织、安全人员配备、安全策略、安全措施、安全培训、安全检查、系统建设、运行管理、应急措施、风险控制、安全审计等方面作出规定。
1.1.2 风险管理
风险管理是网络信息安全合规一项核心工作,监管对于如何执行风险评估,评估的周期和评估的范围都有相应的要求,金融机构应当依据监管要求,将风险管理纳入到安全策略和制度当中。
《网络安全法》要求关键信息基础设施的运营者应当对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送主管部门。
商业银行应建立持续的信息科技风险计量和监测机制,并制定持续的风险识别和评估流程,评估风险地图和其潜在影响,对风险进行排序,依据资源分配和控制措施制定风险处置计划。
金融机构如开展电子银行业务,应按要求开展安全评估,其中包括对风险管理的状况评估。一是何时启动安全评估。金融机构在申请开办电子银行业务时,应当按照有关规定对完成测试的电子银行系统进行安全评估;金融机构开办电子银行业务后,如有下列情形的,应立即组织安全评估:(一)由于安全漏洞导致系统被攻击瘫痪,修复运行的;(二)电子银行系统进行重大更新或升级后,出现系统意外停机12小时以上的;(三)电子银行关键设备与设施更换后,出现重大事故修复后仍不能保持连续不间断运行的;(四)基于电子银行安全管理需要立即评估的。
二是安全评估的内容。(一)电子银行风险管理架构的适应性和合理性;(二)董事会和高级管理层对电子银行安全与风险管理的认知能力与相关政策、策略的制定执行情况;(三)电子银行管理机构职责设置的合理性及对相关风险的管控能力;(四)管理人员配备与培训情况;(五)电子银行风险管理的规章制度与操作规定、程序等的执行情况;(六)电子银行业务的主要风险及管理状况;(七)业务外包管理制度建设与管理状况。
涉及征信服务的应当制定信用信息采集、整理、保存、查询、异议处理、用户管理、安全管理等方面的管理制度和操作规程,明确岗位职责,完善内控制度,保障个人信用数据库的正常运行和个人信用信息的安全。
保险公司是最善于与风险和谐相处的机构。保险公司应当识别和评估经营过程中面临的各类主要风险,网络信息安全风险管理要整合到公司风险管理工作当中,风险管理部门应当每年至少一次向管理层和董事会提交风险评估报告。风险评估报告主要包括以下内容:(一)风险管理组织体系和基本流程;(二)风险管理总体策略及其执行情况;(三)各类风险的评估方法及结果;(四)重大风险事件情况及未来风险状况的预测;(五)对风险管理的改进建议。
在风险评估执行方面,保险公司应设立独立于信息技术部门的信息科技风险审计岗位,负责信息科技审计制度制订和信息系统风险评估与审计。至少每年对信息安全控制策略和措施及落实情况进行检查,至少每两年开展一次信息科技风险评估与审计,并将信息科技风险评估审计报告报送中国保监会。此外,在符合国家有关法律、法规和监管要求的情况下,也可以聘请具备相应资质的外部机构进行外部审计和风险评估。
对于风险控制,保险公司应针对信息系统安全的各层面、各环节,结合各部门和岗位职责,建立职责明确的授权机制、审批流程以及完备有效、相互制衡的内部控制体系,并对审批文档和内部控制过程进行及时记录。
证券基金经营机构应检测并管控信息科技的各类风险,建立一套风险监测机制,便于及时发现和处置风险,并至少每年开展一次风险监测机制及执行情况的有效性评估。开展内部审查和风险评估的内容应包括:(一)业务系统的流程设计、功能设置、参数配置和技术实现应当遵循业务合规的原则,不得违反法律法规及中国证监会的规定;(二) 风险管理系统功能完备、权限清晰,能够与业务系统同步上线运行;(三)具备完善的信息安全防护措施,能够保障经营数据和****的安全、完整;(四) 具备符合要求的信息系统备份及运维管理能力,能够保障相关系统安全、平稳运行。并留存相应的记录文件。
网上开展证券业务的证券公司应将风险管理纳入公司风险控制工作范围,健全网上证券风险控制管理体系,建立定期的网上证券信息系统安全风险评估机制和整改的工作制度,及时发现SQL注入漏洞、弱口令账户、绕过验证、目录遍历、文件上传、跨站脚本等系统存在的安全隐患和漏洞,并进行改进和完善。风险评估的形式应采用内部评估与外部评估相结合的方式进行,评估内容应包括漏洞扫描、攻击测试、病毒扫描、木马检测等,针对不同的威胁设置相应的检查频率。
证券公司提供客户使用的客户端属于向第三方购置或租用的,应当与第三方签署正式的客户端系统购置或租用协议,并做好客户端测试、验收、变更发布管理等工作,对客户端的安全运行、交易账户合规性、交易操作合规性承担全部责任。
证券公司应当加强客户自行开发、购置、租用客户端的管理。证券公司应采用专线、互联网VPN等专用通讯通道,且与关联方签署正式的客户端系统准入协议,对客户端及配套信息系统的信息安全性、功能合规性(包括但不限于交易账户处理方式、用户交易操作方式、交易指令处理方式)等进行充分评估,并持续做好合规性监控和风控管理。证券公司发现客户端有异常行为,应当采取屏蔽应用系统接入、限制账户交易等必要措施。
客户端及配套信息系统属于客户自行运营管理的,证券公司应与客户签署客户端系统准入协议;客户端及配套系统属于客户委托第三方运营管理的,证券公司应分别与客户、第三方签署客户端系统准入协议。
证券公司应当建立对外部接入信息系统的自查制度,严格控制外部机构接入的安全风险。自查内容包括但不限于:(一)是否存在接入未经公司合规审查和协会评估认证的外部信息系统情况;(二)外部接入信息系统开展的业务类型及基本情况;(三)外部接入信息系统的业务合规性和系统安全性;(四)外部接入信息系统开展业务的风险类型及隐患;(五)公司认为必要的其他情况。证券公司应当每年至少自查一次,形成自查报告并存档备查。自查工作中发现存在风险隐患的,应当制定整改方案,及时整改,并向协会报告。
1.1.3 监督和检查管理
金融机构在《网络安全法》的框架下,一方面当然接受主管单位和公安的监督和检查,另一方面当金融机构拓展了其业务范围,开展电子商务、信息传播等业务,则同样接受相应的合规监管。
《网络安全法》第二十二条,网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。第四十九条,网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
《电子商务法》规定在电子商务争议处理中,电子商务经营者应当提供原始合同和交易记录,且要明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件的。
《公安机关互联网安全监督检查规定》(公安部151号令)第十条,公安机关应当根据互联网服务提供者和联网使用单位履行法定网络安全义务的实际情况,依照国家有关规定和标准,对下列内容进行监督检查:(一)是否办理联网单位备案手续,并报送接入单位和用户基本信息及其变更情况;(二)是否制定并落实网络安全管理制度和操作规程,确定网络安全负责人;(六)是否按照法律规定的要求为公安机关依法维护国家安全、防范调查恐怖活动、侦查犯罪提供技术支持和协助;(七)是否履行法律、行政法规规定的网络安全等级保护等义务。
商业银行内部开展信息科技专项审计,包括对信息科技安全事故进行的调查、分析和评估,或根据风险评估结果对认为必要的特殊事项进行的审计。
开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估。金融机构应接受银保监会的监督指导,应建立电子银行安全评估的规章制度体系和工作规程,保证电子银行安全评估能够及时、客观地得以实施。
针对电子银行内控制度的评估,应至少包括以下内容:(一)内部控制体系总体建设的科学性与适宜性;(二)董事会和高级管理层在电子银行安全和风险管理体系中的职责,以及相关部门职责和责任的合理性;(三)安全监控机制的建设与运行情况;(四)内部审计制度的建设与运行情况。
商业银行查询个人信用报告时应当取得被查询人的书面授权,书面授权可以通过在贷款、贷记卡、准贷记卡以及担保申请书中增加相应条款取得。
银保监会及其派出机构依法对保险公司合规管理实施监督检查和评估。银保监会根据保险公司发展实际,采取区别对待、分类指导的原则,加强督导,推动保险公司建立和完善合规管理体系。
保险公司应按照国家有关规定和监管要求,对信息系统进行安全等级划分,按照安全等级实施信息系统安全等级保护;建立信息化工作的风险评估机制和信息系统审计制度,由独立于信息技术部门的有关部门负责审计工作,至少每两年进行一次审计。审计结果应在审计完成后三个月内报保监会备案。
鼓励保险公司在符合国家有关法律、法规和监管要求情况下,聘请具备相应资质的外部机构进行外部审计和风险评估。
申请信息安全管理体系认证的公司应按国家及监管部门要求,加强信息安全管理体系认证安全管理,选择国家认证认可监督管理部门批准的机构进行认证,并与认证机构签订安全和保密协议。
保险公司在实施信息科技等重要外包时应格外谨慎,在准备实施重要外包时应以书面材料正式报告银保监会。
证监会的信息安全管理部门负责证券期货业信息安全工作的组织、协调和指导;相关业务监管部门依照职责范围对核心机构和经营机构的信息安全进行监督、检查;派出机构根据授权对辖区内经营机构的信息安全进行监督、检查。其派出机构依照职责范围,采用渗透测试、漏洞扫描及信息技术风险评估等方式开展现场检查及非现场检查,并对对发现的系统漏洞、安全隐患、产品缺陷进行全行业通报。
证券基金经营机构应当在报送年度报告的同时报送年度信息技术管理专项报告,说明报告期内信息技术治理、信息技术合规与风险管理、信息技术安全管理、信息技术审计等情况,并报送相关资料。
当信息技术服务出现重大变化或存在明显缺陷,应当立即报告住所地中国证监会派出机构。
证券基金经营机构新建或更换重要信息系统所在机房、证券基金交易相关信息系统,应向证监会报送内部审查意见、机房基本信息、技术架构设计、操作流程、信息安全管理资料、业务制度、合规管理及风险管理制度等内部资料。
核心机构和经营机构应当建立信息安全内部审计制度,定期开展内部审计,对发现的问题进行整改。
证券业公司如开展网上证券业务的,应将网上证券业务纳入到审计工作范围,特别强调的是证券公司网上证券信息系统应部署在中华人民共和国境内,满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。
证券基金经营机构应当定期开展信息技术内部审计,三年内完成所有审核内容,且每年不少于一次;定期开展外部审计,频率不低于每三年一次;并跟踪审计发现问题的整改情况。证券基金经营机构应当妥善保存审计报告,保存期限不得少于二十年。
证券公司不得向非授权的第三方运营的客户端提供网上证券服务端与证券交易相关的接口。第三方运营的客户端如果接入了证券公司,则证券公司应当对上述客户端的合规性负责。
1.2 机构和人员管理
1.2.1 岗位设置
《网络安全法》要求网络运营者应确定网络安全负责人,落实网络安全保护责任,设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查。
在组织设置上,商业银行应设立信息科技管理委员会,责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。并设立一个负责信息科技风险管理工作的部门,直接向风险管理委员会报告工作。
承担电子银行安全评估工作的机构,可以是金融机构外部的社会专业化机构,也可以是内部的独立部门。从事电子银行安全评估的金融机构内部部门,必须独立于电子银行业务系统开发部门、运营部门和管理部门、且未直接参与过有关电子银行设备的选购工作。
在岗位设置上,商业银行一是要在内部审计部门设立专门的信息科技风险审计岗位;二是要求管理员用户、数据上报用户和查询用户不得互相兼职。
证券公司应设置专职的应用管理员、系统管理员、网络管理员、数据管理员和安全专员,分别负责集中交易系统的应用管理、系统管理、网络管理、数据管理和安全管理。
证券公司应根据网上证券业务的特性,设立相应的职能岗位,明确在网上开展证券业务管理的责任,配备合格、足够的管理人员和技术人员,包括安全管理员、安全审计员等。
集中交易系统日常运维岗位的描述应明确清晰,应建立重要岗位的双人、双职、双责制,并加强对单人单岗的监控.
核心网络的管理应设置专职、双岗网络管理员,实行网络分级管理;网络管理员应具备相应的素质和技能,持有相应的资格证书,核心网络的安全运维应设置专门的安全管理岗位,配备专业的安全管理人员。
1.2.2 人员配备
商业银行应设立首席信息官,直接向行长汇报,并参与决策。商业银行内部如设立电子银行安全评估机构,在申请资质时需提供主要人员的简历,证明人员资质符合要求。
保险公司是信息系统安全的责任主体,公司法定代表人或主要负责人为信息系统安全的第一责任人。
核心机构和经营机构应当对信息技术人员进行培训,确保其具有履行岗位职责的能力。
1.2.3 授权和审批
商业银行应建立有效管理用户认证和访问控制的流程,用户对数据和系统的访问必须选择相应认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。应严格控制第三方人员进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;应加强信息科技相关外包管理工作,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查,确保商业银行的****等敏感信息的安全。
商业银行管理员用户应当根据操作规程,为得到相关授权的人员创建相应用户。管理员用户不得直接查询个人信用信息。
商业银行管理员用户、数据上报用户和查询用户须报中国人民银行征信管理部门和征信服务中心备案。相关工作人员发生变动时,商业银行应当在2个工作日内向中国人民银行征信管理部门和征信服务中心变更备案。
管理员用户应当加强对同级查询用户、数据上报用户与下一级管理员用户的日常管理。查询用户工作人员调离,该用户应当立即予以停用。
保险公司明确信息系统安全相关人员角色和职责,建立必要的岗位分离和职责权限制约机制,实行最小授权,避免单一人员权限过于集中引发风险,重要岗位应设定候补员工及工作接替计划。配备足够的具有专业知识和技能的信息系统安全工作人员。
证券公司要在系统管理和业务操作的各层面建立相应的操作权限制约机制,如实行权限集中管理,统一授权;在权限体系中支持前台业务操作、中台业务管理与后台业务支持的分离;帐户和口令专人专用,加强对缺省帐户和口令的管理;禁止为客户设置统一的、有规律的、易猜测的初始口令;所设置的管理员户和口令应由专人负责,口令长度应在12位以上,由字母、数字、特殊字符等混合组成,并定期更换;数据安全管理应符合《证券公司信息技术管理规范》的要求等等。
证券公司应对网上证券信息系统中包括网络安全设备、服务器以及应用系统在内的账户进行严格管理,账户权限应按最小权限原则设置,清除所有冗余、与应用无关的账户,并严格限制各管理员账户的使用,禁止用最高权限账户执行一般操作,尽量避免以最高权限账户运行****系统服务端应用软件。
开发、测试和运营人员未经授权不得访问、修改非职责范围内的网上证券信息系统。
证券公司应严格限制人工对数据库操作的账户权限,并应分别使用不同权限的账户执行查询、插入、更新、删除等操作。
1.2.4 安全意识教育和培训
《网络安全法》要求定期对从业人员进行网络安全教育、技术培训和技能考核。
银行应对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。Y银行要建立和实施信息分类和保护制度,使所有员工都了解信息安全的重要性,并组织必要的培训,让员工充分了解其职责范围内的信息保护流程。
保险公司按照“谁主管、谁负责,谁运营、谁负责,谁使用、谁负责”的原则,明确信息安全各相关方的责任,加强人员管理,强化信息安全意识,全面落实信息安全管理责任制。
1.3 安全建设管理
1.3.1 安全方案设计
《网络安全法》要求关键信息基础设施在建设时应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
保险公司应将信息安全与信息系统的同步规划和同步建设,构建完善的信息安全保障体系。通过管理机制和技术手段,确保信息系统安全,保证重要信息的可用、保密、完整及真实,保障业务活动的连续性。信息系统安全工作应按照“积极防御、综合防范”的原则,构建完备的信息系统安全保障体系。
证券基金经营机构借助信息技术手段从事证券基金业务活动的,应当在业务系统上线时,同步上线与风险管理系统,对风险进行识别、监控、预警和干预。
集中交易系统建设总体上要满足系统业务功能符合国家法规、证券交易规则;项目管理过程符合国家法律要求;外部接口定义清晰、架构边界明确,便于维护管理;可用性应按照99.99%可用性和7x24小时连续性指标进行整体设计;系统最大处理能力应达到日常实际处理量的5倍以上;建立灾难备份系统,主备系统实际切换时间应不超过60分钟,灾备系统处理能力应不低于主用系统处理能力的50%;配备独立的测试系统,并与交易所测试系统联网,实现完整的交易测试环境,测试系统应具有与主用系统相同的技术架构;安全等级应达到等保要求三级以上。
网上证券客户端应具备反调试能力。
接入上海证券交易所的的证券公司在建设、运行、维护与本所交易及相关系统的接入终端和网络时,选用的软、硬件应当符合《上海证券交易所市场端软件使用和登录规范说明》。
1.3.2 应用软件开发
商业银行应采取适当的系统开发方法,控制信息系统的生命周期,所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。应制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性。一是生产系统与开发系统、测试系统有效隔离;二是上述系统的管理职能相分离。三是除得到管理层批准执行紧急修复任务外,禁止开发和维护人员进入生产系统,且所有操作均需进行记录。四是系统上线或系统变更时,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
保险公司应制定信息系统开发、实施过程相关制度规范,保存项目相关文档和记录,并制定信息系统代码编写安全规范,规范开发人员对源代码访问权限的管理,有效保护公司信息资产安全。涉及公司核心或机密数据的信息系统,应采取必要的保密措施确保其开发实施安全,不得使用敏感生产数据用于开发、测试环境。
集中交易系统应用软件的开发应在系统总体设计时同步进行安全保密设计,利用成熟的安全技术确保数据的保密性、完整性、可用性和可控性,对重要数据在采集、传输、使用和存储过程中进行加密,使用经国家密码管理机构认可的加密产品和加密算法;重要环节应采取冗余备份措施,如报盘系统、重要的数据库服务器和中间件服务器等。
集中交易系统在系统构架和功能上,保证客户端操作与数据库服务端的物理无关性;具有完备的操作日志和错误报告,便于记录和审计;业务数据在通信网络上以加密方式传输;客户口令等关键数据不得以明码存放;防止异常中断后非法进入系统;能防止强力试探口令,并具有超时自动锁定功能;具有防止数据的重发攻击、篡改和伪造等功能。
1.3.3 服务供应商选择
金融机构在使用网络关键设备或网络安全设备时,应该审慎选择,一方面要遵循《网络安全法》的要求,产品厂商应当按照相关国家标准的强制性要求,具备相关资格;另一方面在使用网络产品和服务时,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
商业银行在选择外包或签订协议时,应做相应的准备,一是分析外包是否适合商业银行的业务战略、总体风险控制,是否满足商业银行履行对外包服务商的监督义务。二是充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估。三是在签订的书面服务协议中,必须含有明确的保密条款和保密责任。
此外,在特定业务场景下,需要对供应商做额外的评估分析。如委托金融机构以外的供应商识别客户身份的,能够证明供应商按法律法规要求,采取了客户身份识别和身份资料保存的必要措施,且不存在制度和技术障碍。
商业银行所有信息科技外包合同应由信息科技风险管理部门、法律部门和信息科技管理委员会审核通过,并定期审阅和修订服务水平协议。
保险公司应按照监管要求,结合外包服务实际需要,制订外包服务的基本规范,确保对信息系统安全的控制能力,不得将信息化管理责任外包。建立健全外包承包方考核、评估机制,定期对承包方财务状况、技术实力、安全资质、风险控制水平和诚信记录等进行审查、评估与考核,确保其设施和能力满足外包要求。保险公司应优先选用通过信息安全管理体系认证的信息技术服务机构提供外包服务。在与外包承包方签订书面外包服务合同中应明确外包服务范围、安全保密、知识产权、业务连续性要求、争端解决机制、合同变更或终止的过渡安排、违约责任等条款,且承包方须承诺配合保险公司接受保险监督管理机构的检查。严格控制外包承包方的再转包行为。对于确有第三方外包供应商参与实施的项目,应采取有力措施,确保外包服务质量和安全不受影响和不衰减。
证券业核心机构和经营机构应当建立供应商管理制度,定期对供应商的资质、专业经验、产品和服务的质量进行了解和评估。在采购软硬件产品或者技术服务时,应当与供应商签订合同和保密协议,并在合同和保密协议中明确约定信息安全和保密的权利和义务。涉及证券期货交易、行情、开户、结算等软件产品或者技术服务的采购合同,应当约定供应商须接受中国证监会及其派出机构的信息安全延伸检查。证券公司实施技术外包,其安全运营的最终管理责任依然由证券公司承担。
证券公司应建立产品提供、系统开发和运营服务厂商的退出机制,以保障其退出之后集中交易系统的持续运行和系统重要数据的安全。由证券公司组织定制开发的核心业务系统,应要求开发商提供源代码或对源代码实行第三方托管。
证券公司的网上证券信息系统应自主运营、自主管理。如涉及第三方,应与第三方签订保密协议和服务级别协议,并明确责任,采取措施防止通过第三方泄露用户信息,明确客户端、服务端以及数据传输过程均无后门,明确软件开发商应用软件中使用的插件具备合法版权,以确保****、交易资料不被泄漏,保障证券公司的权益。
1.4 安全运维管理
1.4.1 资产管理
金融机构要建立信息系统资产安全管理制度,编制资产清单,明确资产管理责任部门与人员,规范资产分配、使用、存储、维护和销毁等各种行为,定期对资产清单进行一致性检查并保留检查记录。
1.4.2 设备维护管理
金融机构应规范化管理信息系统相关硬件设备,规范设备选型、购置、登记、保养、维修、报废等相关流程,实时动态监控设备运行状态,定期进行巡检、维护和保养并保留相关记录。对重要设施、设备的接触、检查、维修和应急处理,应有明确的权限规定、责任划分和操作流程,并建立日志文件管理制度,如实记录并妥善保管相关记录。
1.4.3 漏洞和脆弱性管理
《网络安全法》要求网络运营者在发现其产品或服务存在安全漏洞时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
《公安机关互联网安全监督检查规定》(公安部151号令)在国家重大网络安全保卫任务期间,公安机关可以针对性开展专项安全监督检查,包括是否组织开展网络安全风险评估,并采取相应风险管控措施堵塞网络安全漏洞隐患,以及是否按照要求向公安机关报告网络安全防范措施及落实情况。
金融机构应对信息系统的运行维护负责,应定期对进行风险评估和安全检查,加强安全入侵检测监控,及时发现并处置安全事件。建立有效可靠的安全信息获取渠道,获取与公司信息系统运营相关的外部安全预警信息,汇总、整理公司内部安全信息,形成有效的安全态势情报,进一步发现和预防潜在风险。
1.4.4 恶意代码防范管理
金融机构要建立恶意代码防范管理制度,集中进行防病毒产品的选型测试和部署实施,对防恶意代码软件的授权使用、恶意代码库升级、定期汇报等做出明确规定,采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的能力。对互联网服务的系统应部署防篡改系统,当网站上的页面内容、提供下载的文件被异常修改时,能自动告警或自动恢复,防止被捆绑木马程序。
此外,证券企业接入证券交易所应当保障相关系统接口的安全,及时修改交易单元初始密码,定期检测接入终端,及时修补系统漏洞,清除存在的病毒及恶意代码。
1.4.5 配置管理
在日常运行管理方面要对重要设备和系统建立运行档案和配置变更文档,确保重要参数、运行环境的可恢复性;未经许可,不得修改应用软件配置,不得在生产系统、操作终端上安装、运行未经授权许可的应用软件。
1.4.6 监控和审计管理
公安机关依照《公安机关互联网安全监督检查规定》的要求对金融机构进行的安全监督检查,其中包括对提供互联网信息服务的,监督检查是否依法采取用户发布信息管理措施,是否对已发布或者传输的违法违规发布或传输的信息依法采取处置措施,并保存相关记录;对提供互联网内容分发服务的,监督检查是否记录内容分发网络与内容源网络链接对应情况;对提供互联网公共上网服务的,监督检查是否采取符合国家标准的网络与信息安全保护技术措施。
金融机构应当建立持续的信息科技风险计量和监测机制,对于信息安全风险进行全面把控,同时要建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正。此外还要建立敏感数据访问策略及相应的监控制度,防范敏感数据的非法使用和入侵。
1.4.7 备份与恢复管理
《网络安全法》要求对重要系统和数据库进行容灾备份。具体到金融行业来讲,金融机构应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。一方面需要确定数据的全面性,即保留的数据应至少包括业务交易数据、系统操作记录,以及系统运行记录。另一方面,需要确切遵照各行业的具体要求,如证券业明确要求备份所保存的物理位置、不同级别系统所应遵循的备份要求,等等。
1.4.8 应急预案管理
《网络安全法》规定网络运营者要制定网络安全事件应急预案,并定期进行演练。
公安机关也根据《公安机关互联网安全监督检查规定》(公安部151号令)对网络运营者的安全保卫工作方案、职责分工、预案制定和演练情况,以及相应的网络安全防范措施进行监督检查。
金融机构应根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,确保在出现无法预见的业务中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。证券业对预案的演练及报告都做出明确要求。保险行业的应急响应预案除应考虑信息系统发生故障时的预案情况,同时应该考虑当发生重大突发事件时预案场景。
1.4.9 安全事件处置
《网络安全法》要求当发生网络安全事件时,网络运营者应当采取相应的补救措施,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,并按照规定向有关主管部门报告。当发生或者可能发生个人信息泄露、毁损、丢失的情况时,除采取补救措施外,按照规定及时告知用户并向有关主管部门报告。
金融机构应建立事故管理及处置机制,及时响应信息系统运行事故,逐级向相关的管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。同时,还应上主要监管单位进行报告,涉及公众个人信息的,还应通报安全事件处置情况等。
1.4.10 网络和系统安全管理
金融机构要部署有效的安全防护与监控子系统,包括防火墙,防病毒、防木马系统,入侵检测系统或入侵防护系统,并正确配置。应及时更新病毒库,定期对系统进行全面的病毒扫描,加强相关系统的日志审查工作,提高安全防护能力。
金融机构要制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。为了便于操作人员掌握,应制定详尽的运行操作说明,其中说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求,严格控制信息系统身份访问、资源访问等情况。
1.4.11 变更管理
金融机构要制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性。尤其涉及业务交易系统的变更,应由业务方发起,经评审后组织开发,经过充分的测试和安全检测;变更实施前,应得到信息科技部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
所有变更都应记入日志(包括紧急变更),并由信息科技部门和业务部门共同审核确认。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。
1.5 物理和环境安全
金融机构机房等级应达到《电子计算机机房设计规范》(GB50174)B类以上(含B类),其中证券业机房建设、机房环境、供电系统等还要符合《证券公司信息技术管理规范》(JR/T 0023—2004)第五章“机房与设备管理”的相关要求。
数据中心管理还要达到:
1. 机房进出口和重要通道应安装监视系统和门禁系统;监视资料应完备、清晰,妥善存放,便于检查且保存足够长的时间;
2. 安装环境监控系统和设备监控系统,对环境和设备的异常情况及时报警。"
3. 建立人员和设备的进出管理制度;
4. 实施7x24小时安全保卫值班;
5. 建立机房设备管理制度,并根据设备的运行状况定期对其进行更新和保养,提高设备的可靠性,降低故障隐患;
6. 机房供电系统由专人负责管理,定期进行检修和维护;
7. 对机房的照明、空调、防火、门禁等机房环境系统进行定期检查,确保其处于正常工作状态;严禁易燃、易爆、强磁及其它与机房工作无关的物品进入机房。
1.6 设备和计算安全
金融机构在计算环境所面临的监管合规风险,主要体现在以下几方面,计算设备本身的安全性,计算设备上所承载用户权限的使用与分配,计算设备防范入侵的能力,以及在发生安全事件后计算设备所能提供的审计能力。
《网络安全法》规定金融机构要采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。金融机构应配备切实有效的系统,确保所有计算机操作系统和系统软件的安全,包括终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。
1.7 网络和通信安全
金融机构在网络环境方面需要抵御网络攻击保障金融系统的可用性和保密性,其所面临的监管合规风险可以参考纵深防御思路,主要体现在以下几方面,边界防护、访问控制、入侵防范、通信传输、安全审计、网络设备防护。
边界防护。金融机构应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
访问控制。金融机构应根据信息安全级别,将网络划分为不同的逻辑安全域。根据安全级别定义和风险评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
入侵防范。《网络安全法》和《公安机关互联网安全监督检查规定》均要求金融机构采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。在公共信息服务中对法律、行政法规禁止发布或者传输的信息依法采取相关防范措施。
通信传输。金融机构应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度。《电子签名法》中,要求数据电文在交换、传输和存储过程中保证完整性,也是对金融机构通信传输过程的原则性约束。
安全审计。金融机构应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。同时,对于敏感信息(如个人征信信息)的查询、使用、变更和销毁等所有行为进行记录,以便进行安全审计。
此外,《网络安全法》要求金融机构监测和记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月。《公安机关互联网安全监督检查规定》要求应采取记录并留存用户注册信息和上网日志信息的技术措施。
网络设备防范。金融机构应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放置网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
1.8 应用和数据安全
金融机构在网络环境方面需要抵御网络攻击保障金融系统的可用性和保密性,其所面临的监管合规风险可以参考纵深防御思路,主要体现在以下几方面,身份鉴别、软件审核与检测、数据完整性、数据保密性、数据备份恢复、数据存储、数据治理适用范围、数据治理原则、监管数据、数据治理架构、数据管理、数据治理控制、数据价值实现、监督管理。
身份鉴别。金融机构要建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户发生岗位变动时,应在系统中及时检查、更新或注销用户身份。金融机构要定期检查口令控制执行情况,用户权限的授予和撤销情况。
《电子签名法》对数据电文不可抵赖性有相应的要求,金融机构在标识用户信息系统操作行为时,可参考并遵守相关要求。
数据完整性。金融机构应按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。金融机构应采取必要管理措施和技术措施,防止客户身份资料和交易记录的缺失、损毁,防止泄漏客户身份信息和交易信息。在收集个人信息时进行客观整理、保存,不得擅自更改原始数据。
《电子签名法》要求数据电文可供随时调取查用,能够可靠地保证自最终形成时起,内容保持完整、未被更改,视为满足法律法规要求的形式。数据电文在保存时能够有效地表现所载内容并可供随时调取查用,能够识别数据电文的发件人、收件人以及发送、接收的时间,则视为满足法律、法规规定的文件保存要求。
数据保密性。《网络安全法》要求金融机构采取数据分类、重要数据备份和加密等措施。
在保障数据保密性方面,金融机构应采取在关键的接合点进行输入验证或输出核对;采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改;确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息,等方式。未经授权或同意,金融机构不得对外提供个人信息,不得擅自修改或删除用户上传的信息;依法维护用户上载信息的安全,保障用户对上载信息的使用、修改和删除。
《电子银行安全评估指引》(银监发[2006]9号)要求在开展电子银行系统安全性的评估时,应对银行密钥管理和****认证与保密进行安全评估。
数据安全管理。金融机构应当制定全面科学有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等方面。银行业金融机构应当根据监管要求和实际需要,持续评价更新数据管理制度。
金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。
金融机构应当建立数据治理自我评估机制,明确评估周期、流程、结果应用、组织保障等要素的相关要求。评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面,并按年度向银行业监督管理机构报送。
1.9 个人信息保护
《银行业金融机构数据治理指引》(银保监发〔2018〕22号)第二十四条,银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。这里提到的国家标准即是《GBT 35273-2017 信息安全技术个人信息安全规范》。
金融机构应当按照安全、准确、完整、保密的原则,妥善保存客户身份资料和交易记录;制定相关制度和流程,严格管理****的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。未经用户同意,金融机构不得收集用户个人信息,不得将用户个人信息提供给他人。不得收集与服务无关的****,不得购买或使用非法获取或来源不明的数据。在收集用户个人信息前,应当明确告知用户收集和处理用户个人信息的方式、内容和用途,不得收集其提供服务所必需以外的信息,不得将用户个人信息用于其提供服务之外的目的。
金融机构应当妥善保管用户个人信息;保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向监管机构报告,并配合相关部门进行的调查处理。金融机构不得允许或者配合其他机构、个人截取、留存****,不得以任何方式向其他机构、个人提供****。
1.10 数据出境
《网络安全法》第二十一条,采取数据分类、重要数据备份和加密等措施。第三十七条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
保监会要求保险公司建设的机房应设置在中华人民共和国境内(不包括港、澳、台地区)。
上海证券交易所技术规范白皮书要求交易会员单位在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
证券公司网上证券信息系统应部署在中华人民共和国境内,满足技术审计、监管部门现场检查及中国司法机构调查取证等要求。部署网上证券信息系统的有形场所,应符合国家安全标准的有关要求。
1.11知识产权保护
金融机构应加强知识产权保护工作,优先采购自主可控的硬件设备和软件产品,严禁侵权盗版,禁止复制、传播或使用非授权软件;根据自身实际情况,积极研发具有自主知识产权的信息产品,并采取有效措施保护公司信息化工作成果。
1.12 内容风险
信息科技的快速发展,使得信息传递的效率更高,也使得行业间的界限变得模糊。金融机构往往在其移动应用上增加公众号、用户评论等功能,增加用户粘性。但金融机构一方面需要审核自身发布的信息合法合规,同时也有义务按照法规要求,对用户发布的信息进行鉴定。
如按照《互联网新闻信息服务管理规定》(国家互联网信息办公室令第1号)要求,提供互联网新闻信息服务的,应当遵守宪法、法律和行政法规,坚持为人民服务、为社会主义服务的方向,坚持正确舆论导向,发挥舆论监督作用,促进形成积极健康、向上向善的网络文化,维护国家利益和公共利益。
第五条,通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式向社会公众提供互联网新闻信息服务,应当取得互联网新闻信息服务许可,禁止未经许可或超越许可范围开展互联网新闻信息服务活动。
同时,金融机构在承担互联网信息服务提供者的角色时,不得有下列行为:(一)无正当理由擅自修改或者删除用户上载信息;(二)未经用户同意,向他人提供用户上载信息,但是法律、行政法规另有规定的除外;(三)擅自或者假借用户名义转移用户上载信息,或者欺骗、误导、强迫用户转移其上载信息;(四)其他危害用户上载信息安全的行为。
1.13 业务风险
金融业务在逐步向信息化科技化迁移的同时,也将金融业务风险迁移到金融科技当中。金融机构应建立健全客户身份识别制度,加强对大额交易和可疑交易的监控和报告,严格遵守反洗钱有关规定。
金融机构应当勤勉尽责,建立健全和执行客户身份识别制度,遵循“了解你的客户”的原则,针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易,采取相应的措施,了解客户及其交易目的和交易性质,了解实际控制客户的自然人和交易的实际受益人。
金融机构应当按照安全、准确、完整、保密的原则,妥善保存****和交易记录,确保能足以重现每项交易,以提供识别客户身份、监测分析交易情况、调查可疑交易活动和查处洗钱案件所需的信息。
如在保险行业,保险机构应要求投保人原则上使用本人账户支付保险费,退保时保险费应退还至原交费账户,赔款资金应支付到投保人本人、被保险人账户或受益人账户。对保险期间超过一年的人身保险业务,保险机构应核对投保人账户信息的真实性,确保付款人、收款人为投保人本人。
保险机构应建立健全互联网保险反欺诈制度,加强对互联网保险欺诈的监控和报告,第三方网络平台应协助保险机构开展反欺诈监控和调查。
*本文原创作者:當春日漸暖,本文属于FreeBuf原创奖励计划,未经许可禁止转载