前情提要:
一、金融科技网络信息安全合规建议
1.1 概述
监管法规的日渐严苛与监管技术的不断迭代给金融机构带来越来越多的要求和束缚,而金融机构却可以将网络信息安全合规作为促进业务发展和数字化转型的良好机遇。金融机构的合规路径需要健全一整套完整而有效的框架和机制,紧紧围绕最监管要求为核心主线、主动配合监管部门的系统对接要求,重点关注金融科技业务创新所带来的风险,同时确保有效管控金融科技的技术风险,确保信息安全和数据隐私安全。总体而言,为确保金融机构网络信息安全合规,需要在安全战略规划、人员组织架构、文化与意识、流程机制、技术架构五个维度上下功夫。
1.2 安全管理战略
金融的核心是风险管控,网络信息安全风险管控是金融风险管控的重要组成部分,是金融机构合规与业务发展的有力支撑。安全管理战略制定决定了金融机构网络信息安全风险管控的成效。网络信息安全风险管控主要表现在三个层面,一是面向法规监管的合规管控,二是面向内部管理制度的内部控制,三是面向网络信息安全和行业标准。这三者互为促进和补充,合规是网络信息安全工作建设的动力来源和制度输入,同时合规管控的要求也促进内部管控制度的升级优化,网络信息安全管理制度和技术实施的成果进一步加强了内部控制的技术手段和管理能力。因此,金融机构在网络信息安全战略规划层面上要明确与监管合规和内部管控的关系。
金融机构网络信息安全战略规划,需要围绕服务业务为原则开展制定,平衡安全管控、业务发展和成本投入的关系,借鉴行业最佳实践结合自身业务特点,在金融业务、网络空间、数据和隐私以及业务连续性方面明确安全方针。
一是要关注业务安全。
2019年博鳌论坛之后,我国将进一步取消外资银行和资管机构的限制,外资进入中国金融市场所面临的更多是合规监管的挑战,因此金融机构尤其是“走进来”的金融机构需要将网络信息安全的合规工作纳入到安全战略当中。金融机构需要审视业务开展的适宜性,例如开展电子银行业务所需要的定期评估策略;关注采用信息技术及新兴技术如人工智能、大数据、云计算和区块链等技术所带来的科技风险,以及采用新技术的创新业务模式的合规风险,权衡创新业务对现有业务的影响。
二是要关注网络攻击。
网络攻击已不仅是金融机构与攻击者双方对抗的问题,更是国家安全的问题。目前网络攻击的手段变得更加多样化,有传统DDOS等传统网络攻击,有针对Web和App的攻击,更目的性很强的APT攻击,金融机构面临紧迫的防御形势。二是攻击行为已经产业化运作,不再仅是几个脚本小子临时性的攻击尝试,而是有组织、有分工、有预谋的黑色产业。从信息收集与贩卖,到号码注册与维护,再到虚假流量、薅羊毛,甚至是“色情、赌博”的广告宣传。三是病毒木马等恶意程序的快速传播。如2017年5月的Wannacry勒索软件,一经爆发殃及全球多家金融机构,同时该程序不断翻新升级,其所造成的影响持续几个月。
三是要关注数据隐私安全。
随着科技手段的不断演进和迭代,金融机构从信息化向数字化转型,将传统用于统计分析的数据进行进一步的分组、聚合和交换等加工后形成新的业务决策依据。在数据采集和应用生命周期当中,应具备完善的数据安全策略和标准,用于划分数据安全等级、明确相关访问权限,制定相应的控制措施,并实施审计。同时,还需要对数据内容中所包含的个人隐私信息进行加强保护。安全管理战略需要明确合法化获取隐私数据,加强隐私数据的识别,保障隐私数据主体的权利,并应用隐私增强技术。金融机构可以通过相关认证或法规适用,加强隐私安全的管理和合规工作,面向境外尤其是欧盟各国家用户的金融机构或分支机构,可以参考GDPR(通用数据保护条例)进行合规工作,而面向国内的金融机构可以参考《GB/T35273-2017个人信息保护》和《移动互联网应用程序(APP)安全认证实施规则》进行合规工作。
四是要关注业务连续性。
金融机构业务连续性的管理不仅是其应对灾难和危机事件的生存工具,更是其改善经营承担社会责任的必由之路。自2011年银监会正式发布104号文《商业银行业务连续性监管指引》以来,金融机构在IT系统连续性计划和灾难恢复中投入大量的资源,也积累了相当多的经验,但在业务连续性管理当中往往缺乏网络信息安全风险的控制措施,或控制不足的问题。对于金融行业来说,各机构之间的联系越来越频繁和紧密,某个机构如果出现的运营中断可能会产生连锁反应导致相关联的金融机构进入紧急状态,与此同时,如果金融机构所采取的是重流程缺保障的业务连续性策略,那么网络信息安全的有效性将无从谈起。
1.3 人员组织架构
金融机构网络和信息安全风险合规工作不仅是信息安全具体措施的落实,更是从公司内部风险控制角度统筹管控风险,这就需要在金融机构内部搭建一个全面统一、各司其职的人员组织架构,为监管合规的落地创造条件。要搭建完善的合规组织架构,在业务部门设立合规专员和责任主体,明确其工作职责和任务清单,同时建立清晰的合规管理三道防线架构,明确操作执行层为第一道防线、监督管理层为第二道防线、合规审计层为第三道防线,各防线合规职责。
第一道防线
操作执行层职责主要由各职能部门和业务单位共同组成,在业务前端识别、评估、应对、监控和报告合规风险。各业务单位处在业务流程的最前沿,是数据流和信息流在金融机构内部流转的边界,也是安全合规风险发生的重灾区。通过建立最小权限、职责分离、和互相制约的业务运作机制,预防和发现工作过程中出现的合规偏差和舞弊,形成员工行为全记录,业务操作可审计的管控模式,防范潜在的风险。而在操作执行层当中同样十分重要的是安全运营人员,他们需要搭建用于风险发现、防控和监督的产品和平台,同时承担安全事件防护与预警、安全态势数据的监控分析,以及事件发生后的响应与处置。同时其他职能部门需要履行职责范围内的合规要求,例如法务部门需要对金融机构所处安全法规环境进行跟进和解读,将具体的法规要求分解到各部门各岗位联动执行;人力部门需要关注信息人力资源管理、外包人员管理相关的合规要求。一线业务人员和安全运营人员共同组成了安全合规的第一道防线。
第二道防线
监督管理层由网络信息安全管理部门和网络信息安全管理委员会共同组成,综合协调制定网络信息安全合规管理制度、标准和规范。安全管理部门根据金融机构业务发展需求、管理特点制定信息安全管理体系规范,加强数据和隐私的安全管理,对网络信息安全工作进行绩效测量。另一方面,安全管理部门与各业务部门联动,为各业务部门提供安全意识、安全规范的培训,提升整体安全能力,同时审查各部门安全合规工作落实情况,进而考核和评价绩效。网络信息安全管理委员会由安全管理部门、各职能部门和业务部门共同组成,负责制定安全战略,领导和推动安全工作的开展,负责管理体系发布和组织架构调整等重大安全事项的决策,监督和指导安全工作实效。各业务部门是安全工作的直接负责单位,部门一把手是安全的第一责任人,通过管理委员会的形式将安全管理和监督职责以互相监督的形式分解到各业务部门,鼓励各部门履行安全工作的尽职监督职责,对同级和下级部门安全工作进行监测、检查、指导和纠偏。结合安全管理与尽职监督的安全管理委员会构成安全合规的第二道防线。
第三道防线
合规审计层由金融机构风险管理委员会和稽核审计部门组成,针对公司已经建立的网络信息安全合规流程和各项控制程序和活动进行监测和审计。稽核部门负责推动和监督一道防线的自我约束、二道防线的尽职监督职责的履行,并通过系统化、规范化的方式评价内部合规管理、风险控制的有效性,评估安全合规运行状况和风险状况,通过风险管理委员会向董事会、监事会和高层管理者报告重大缺陷和舞弊事项。稽核部门通过不断地内部检查和审计,督促一二道防线尽职履责,保证国家政策方针和监管部门管理规定得到有效贯彻执行,形成金融机构网络信息安全合规工作的第三道防线。
外部力量
金融机构不但要具备自我纠偏的能力,也应适时根据发展需要、监管要求聘请外部审查和评估的“蓝军团队”,以更加客观和全面的角度审视安全合规状况,协助内部团队规避损失,防范风险,提升经营效率。而规模较大的金融机构可以考虑与相关安全上下游企业、高校和监管单位构建安全生态环境,满足自身监管合规要求的同时,促进金融行业网络信息安全产业发展和演进。
重点岗位
金融机构安全合规工作除了搭建一套完整的组织架构,还需要设置相应的岗位职责。一是设立首席信息安全官CISO,金融机构信息科技的规划和建设,都需要信息安全官以安全视角审视和评估,满足安全合规需求。信息安全官要牵头网络信息安全管理委员会的工作,制定全面的安全风险管控策略和合规目标方针,保持与各业务单位的长效沟通,以高效双赢和最低的成本满足合规需求。二是设立数据保护官,欧盟GDPR对数据保护官(DPO)有明确要求,中国的《网络安全法》、《关键信息基础设施安全保护条例》、《个人信息安全规范》等法律法规标准都对安全负责人提出明确要求。金融机构内部需要有人专门做数据安全保护,已经成为大势所趋。DPO需要在新业务场景、新技术、新法规当中找寻安全合规的路径。
1.4 文化与意识
要完善合规的基础建设与保障机制,需要将合规文化与意识宣贯到整个金融机构当中。在合规操作与督查方面,以体系化的课程和技术资源建设与培养合规队伍;针对全员开展覆盖所有安全合规要求的培训和宣贯,全面提升安全意识;针对管理层员工,适时发起安全合规领导力的意识提升课程,增强领导层对安全合规的重视程度;最后以正负向激励相结合的方式,将安全合规文化与意识植入到企业当中,不断生根发芽。
合规队伍培养
建设与培养合规队伍,需要让合规人员全面了解网络信息安全合规的全貌,做到安全法规熟稔于心,安全技能敏然于行。金融机构所处安全监管环境是随着金融行业和网络信息安全环境不断变化的,面临的法律法规条款纷繁复杂,同时为了满足合规要求,金融机构内部也会制定不同的内部控制规范,合规人员不但要了解合规要求本身的内容,更要根据业务特点分析合规要求的潜在外延,才能在合规工作实务中有效落地。另一方面,网络信息安全的合规工作涉及到大量的IT技能和安全技能,合规人员需要系统化掌握技术原理和操作技能,使用相应的技术手段进行检查与核实。
全员合规意识教育
全员的合规文化建设,需要面向全员提升安全z合规意识。制作办公安全意识和各种安全法规要求解读的培训课程,针对特定人员编制安全技能课程,通过线上自学,线下面授等多种形式宣导合规文化。结合培训课程和合规要求,利用培训考试系统,对安全合规培训实效进行测量评价,持续提升培训效果。此外,建立正向激励和负向警示相结合的评估形成“合规则生,违规则亡”的文化概念。对发现举报违规事件、提出建设性意见的员工和部门予以奖励和表彰;对违反合规要求、未尽到管控职责的部门予以惩处。
合规文化的外延
需要着重强调的是,安全文化和意识的提升也需要覆盖外部成员。对直接向金融机构提供服务的外包人员,需要与内部员工一样参与安全意识和安全技能的培训,并通过考试。另外,供应链上每个环节都可能给金融机构造成违规风险,需要在尽职调查等流程机制上对供应商进行安全合规进行管控。
另一个层面,合规文化与意识也需要适时地传递给客户。安全合规工作需要投入大量的成本,安全合规成果往往并不是显而易见的,可以通过将合规具体的评价细节,例如个人隐私数据的合规各项内容展示给客户,一方面提升客户对于金融机构自身的信赖程度,另一方面也是向客户传递隐私合规意识,逐步提升社会大众对于隐私合规乃至安全合规的权利意识,引导社会对于金融机构安全合规的期待。
1.5流程与机制
金融机构要将安全合规工作切实推动执行,需要健全和完善工作流程和机制,在现有网络信息安全管理制度基础上融入覆盖安全合规的政策要求,将安全合规要素融入业务流程,并改造为满足合规要求的流程机制。
安全开发流程
金融机构绝大多数业务已通过应用系统来实现,但使用应用系统同样给金融机构引入新的安全合规风险。随着网络信息安全技术的不断发展,修修补补的补丁和上线前的安全检查机制已经不能完全满足应用系统产品安全合规的需求,而是需要在系统建设之初就与安全合规要求相融合。
此外,数据作为金融机构重要的数据资产,也应该在应用系统设计开发阶段,强化数据安全的保护,加之社会大众对个人隐私数据和隐私权益的保护需求更加迫切,应用系统建设和开发过程应该覆盖到数据和隐私的防护需求。
需求分析阶段。需要评估需求进行分析,判断需求实现的可行性,评估和确定应用系统的功能需求。同时需要以安全的视角,识别此次新增需求是否是关键项目,安全的目标是怎么样的。以隐私保护的视角出发,在需求阶段需要识别隐私数据主体是谁,获取的隐私是否是有法律依据,隐私数据有哪些,隐私数据的传输、存储和方式是怎么样的,相关的功能设计是否会影响隐私数据主体的权益。
在应用系统设计阶段。开发人员针对需求的具体要求进行设计,包括技术框架、架构和环境、输入和输出、资源和性能、接口和数据存储等方面。安全合规人员,需要评估系统架构的安全性,评估和识别潜在的攻击面,识别威胁,定义软件系统的最终交付标准;并以隐私视角评估个人隐私权益风险,基于风险设计出隐私功能,以及隐私数据的传输、存储、处理和销毁等安全防护功能的设计。
在开发阶段。系统开发人员实现设计的功能和安全合规需求,通过及时的单元测试规避潜在风险。安全合规人员向开发人员提供安全编码规范,并对代码进行扫描分析和评估审核,预防安全漏洞。
在系统测试阶段。系统开发人员针对功能进行测试和验证,安全合规人员基于合规设计的要求,采用白盒测试与黑盒测试结合的方式参与到系统集成测试当中,验证安全合规需求是否得到满足。
在系统发布阶段,按照系统建设要求、安全合规要求进行评审,通过评审后系统自动发布。
在维护阶段。安全合规人员定期对系统存在的风险进行评估,并响应安全事件。
风险评估流程
金融机构应当按照监管要求定期开展特定业务的风险评估,而最优的方式是金融机构将风险评估作为安全合规管理的重要组成部分进行运作。《网络安全法》要求关键基础设施应每年开展一次风险评估;《电子银行安全评估指引》要求开办电子银行业务的金融机构,至少每两年开展一次风险评估;《商业银行信息科技风险管理指引》要求每年向监管派出机构报送信息科技风险管理的年度报告,并至少每三年开展全面审计。金融机构在流程和制度上将风险管理成为安全合规管理的有机组成部分,贯穿网络信息安全工作的全过程。
金融机构在开展风险评估时,结合金融机构自身的发展特点,借鉴国内外先进风险评估规范的经验做法,建设安全合规风险评估体系。例如《GB/T 20984-2007 信息安全技术 信息安全风险评估规范》《JR/T0058-2010保险信息安全风险评估指标体系规范》、ISO27001:2013、COBIT等规范都可以作为金融机构风险评估过程的标准方法和流程依据,以风险管理和安全合规的视角系统所存在的漏洞、威胁及脆弱性,评估发生信息安全事件时可能造成的危害,并提出整改措施和相应对策,提升金融机构信息安全风险的防范与应对能力。
除了上述传统的风险评估模式,还可以形成更为灵活的安全评估机制。一是利用“蓝军”对现有安全措施的有效性进行逐项验证;二是针对重要系统或业务领域风险评估工作例行化常态化,提高评估频率。
应急事件响应流程
随着金融科技发展,突发事件也呈现出发生频度高、资金损失大、持续时间长、影响范围广的态势。金融机构通过加强信息系统监控、制定应急预案、组织应急演练等方式对信息科技突发事件进行防范,但是在实际执行中仍然有诸多方面可以提升。
一是提升预警信息联动机制。100次安全事态,其中会发生一次安全事件。收集并分析主机、终端、中间件、数据库、云平台、安全设备,乃至系统操作日志等信息,及时发现异常状态,防范风险的发生和蔓延。另外,与同业、监管单位或安全供应商保持良好的信息共享机制,也能起到预警联动的作用。
二是增强应急预案实效。金融机构按照监管要求,应年度例行进行应急演练,而应急预案覆盖的场景较为单一,重形式而轻实质,很难起到实质性地应急处置的作用。金融机构定期收集安全事件,形成应急事件库,并针对性制定、评审应急事件响应预案。在执行应急演练时,随机抽取事件场景进行演练,演练结束后,对演练过程和预案执行情况进行评估,进一步完善预案。
三是引入外部评价。应急响应机制和能力的有效性,不能仅仅来自于金融机构自我评价,还应建立外部第三方评估机制,进行风险防范,保障金融科技的信息安全。
四是加强事件应急响应报告机制。安全事件的报告是监管机构最为关注的处理流程。金融机构应将报告机制与安全事件响应流程进行有效结合,保持与监管单位的长效沟通,满足合规的监管要求。《商业银行信息科技风险管理指引》要求及时上报发生的重大信息科技事故或突发事件。《银行业重要信息系统突发事件应急管理规范(试行)》要求在重要信息系统突发事件后60分钟之内将突发事件相关情况上报,并在事件发生后12小时内提交正式书面报告。如果是Ⅰ级突发事件,应每2小时上报处置进展。《保险业重大突发事件应急处理规定》要求保险公司计算机系统发生系统性故障,造成大量****资料丢失的情况应及时上报。《网络安全法》要求在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。即按照《中华人民共和国计算机信息系统安全保护条例》《计算机信息网络国际联网安全保护管理办法》等规定,在24小时内向当地公安机关或主管单位报告。
1.6技术架构
金融机构安全技术架构规划可参考TOGAF、SABSA等架构模型,从企业战略和业务需求出发,规划系统架构、设计技术架构、实施管理、进而迎接新业务和架构变更的全生命周期安全规划框架,达到规划的持续性、实施的可操作性以及应用实施时的弹性。技术架构是金融机构业务实现和良性运转的支撑和保障,通过规划技术架构,可以有效管控金融科技的技术风险,确保安全合规。金融机构在提升金融服务质量和效率的同时,也带来了技术风险与数据安全风险,具体包括数据泄露风险、窃取账号及服务、外部恶意攻击风险等。诸如此类的技术风险可以通过构建一个纵向分层,横向分区,应用分级的纵深防御架构,实现“外部零入侵、内部零泄漏”的安全目标。
安全域划分
金融机构根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对域内应用程序和用户的重要程度、域的可信程度、不同域之间的连通性等安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
在各安全域边界设置访问控制机制,实施相应的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权访问,部署入侵检测、网络流量分析设备,监视网络异常行为。
安全运营中心
安全域边界的网络日志、终端用户的邮件外发、应用系统遭到攻击,诸如此类安全事件,仅靠单个安全设备和系统难以高效处置,搭建一套全景图的安全运营中心,能够便于金融机构安全人员第一时间掌握安全态势、综合分析安全状态,调查安全事件或是立即响应。
安全运营中心实现安全日志的统一管理,将网络产品、安全产品、主机、应用系统的日志集中统一管理、查询、分析更加透明的视角管控整体网络安全状态。其次,安全运营中心,将安全事件预警、告警、响应、处置、反馈流程化和标准化,结合金融机构内部事件管理规范和工单、OA系统,将安全风险可视、可控并且流程化处置。
自主可控
加强金融机构信息安全合规能力建设,应该在基础架构资源上实现自主可控,在核心业务上去除对国外技术产品的依赖,在业务关键领域和关键环节使用国产化技术,提升安全风险防范能力。金融机构要以国家层面自主可控的战略发展作为系统架构升级的机遇,化被动升级为主动防御,围绕业务发展的实际场景为核心统筹规划,一方面逐步减少对国外品牌的依赖,向金融云平台进行迁移,另一方面,加强行业内资源互通,促进金融科技创新,以信息安全为基础,建立基于云计算和大数据的金融标准体系,从整个金融行业层面来实现长效的安全合规。
二、总结
当前国际网络空间安全竞争越来越激烈,各国纷纷出台网络安全法、关键基础设施保护法等法令,以便在网络空间博弈中占据有利位置,而欧盟发布的通用数据保护条例更是将数据安全管理的长臂伸出来,扰动国际网络空间安全局势。
随着移动通信技术的进一步发展,网络空间已成为国家安全的“第五空间”,网络信息安全的法制化,已经成为我国立法的必然趋势。同时,我们也应该看到,我国网络信息安全相关法律还存在着诸如配套不完善、执法操作难等问题。金融机构作为我国关键设施,应当按照国家监管要求主动做好网络信息安全合规,保障社会稳定、抵御网络信息安全风险。与此同时,金融机构还要以行业发展和国家安全的视角促进网络信息安全技术发展和立法进程。
从客观上来说,我国金融科技相较于其他国家已经存在一定的领先优势,而在网络信息安全立法方面的发展是落后于西方发达国家的。而正是由于法律环境的相对宽松,给我国信息科技发展,尤其是金融科技发展提供了前所未有的发展机遇,为我国在新型技术领域创新提供了环境。发展和监管是协调共生的,放羊式监管会导致疾病丛生,禁锢式监管也必然会损失技术进步的活力。发展与监管兼顾的网络信息安全监管模式,才是符合未来我国金融行业期望的监管方向。
*本文原创作者:當春日漸暖,本文属于FreeBuf原创奖励计划,未经许可禁止转载