亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

銀行網(wǎng)絡(luò)安全合規(guī)建設(shè)思路

風(fēng)險(xiǎn)引入:監(jiān)管趨嚴(yán) 時(shí)刻考驗(yàn)銀行網(wǎng)絡(luò)安全合規(guī)建設(shè)

近年來(lái),銀行數(shù)據(jù)質(zhì)量欠缺、信息安全保障不足、內(nèi)部管理制度存在漏洞等種種問(wèn)題不斷暴露在公眾視野之中,銀行所承擔(dān)的“金融機(jī)構(gòu)”“網(wǎng)絡(luò)運(yùn)營(yíng)者”“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”及“個(gè)人信息控制者”等多重角色進(jìn)一步增加了銀行落實(shí)網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)相關(guān)制度的難度。2020年以來(lái),《商業(yè)銀行互聯(lián)網(wǎng)貸款管理暫行辦法》等一系列監(jiān)管政策文件下發(fā),要求銀行等金融機(jī)構(gòu)認(rèn)真貫徹落實(shí)個(gè)人信息保護(hù)方面的法律法規(guī),加強(qiáng)客戶(hù)隱私保護(hù),對(duì)客戶(hù)信息嚴(yán)格實(shí)行從采集到存儲(chǔ)、銷(xiāo)毀等全流程的制度化管理??梢?jiàn)當(dāng)前銀行業(yè)網(wǎng)絡(luò)安全監(jiān)管力度不斷升級(jí),未來(lái)監(jiān)管水平還將不斷提升。對(duì)此,本文將從分析2020年以來(lái)相關(guān)處罰案例入手,分析銀行在扮演不同角色時(shí)所應(yīng)關(guān)注的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)要點(diǎn),并為未來(lái)銀行網(wǎng)絡(luò)安全合規(guī)建設(shè)提供相應(yīng)參考及指引。

風(fēng)險(xiǎn)梳理:銀行網(wǎng)絡(luò)安全處罰特點(diǎn)分析

2020年4月,中國(guó)裁判文書(shū)網(wǎng)公布了兩份關(guān)于銀行員工侵犯公民個(gè)人信息的刑事判決書(shū),銀行臨時(shí)工和支行行長(zhǎng)利用職務(wù)之便非法對(duì)外提供客戶(hù)個(gè)人信息,法院以侵犯公民個(gè)人信息罪判處被告人有期徒刑并處罰金;2020年5月9日,六大國(guó)有銀行——工商銀行、中國(guó)銀行、交通銀行、農(nóng)業(yè)銀行、建設(shè)銀行、郵儲(chǔ)銀行及兩家股份制銀行——光大銀行、中信銀行均因監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)(EAST)及數(shù)據(jù)報(bào)送存在違法違規(guī)行為,被中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)(以下簡(jiǎn)稱(chēng)“銀保監(jiān)會(huì)”)處以罰款;2020年6月22日,江蘇江南農(nóng)村商業(yè)銀行股份有限公司因存在網(wǎng)絡(luò)安全工作嚴(yán)重不足的違法行為,被中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)江蘇監(jiān)管局依據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》第四十六條第(五)項(xiàng)規(guī)定,處以人民幣30萬(wàn)元罰款。

由此結(jié)合2020年以來(lái)的行政處罰信息來(lái)看,在網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)方面,數(shù)據(jù)質(zhì)量及數(shù)據(jù)報(bào)送,個(gè)人金融信息保護(hù)成為銀行被處罰的主要原因,當(dāng)前值得銀行特別關(guān)注。

合規(guī)解讀:銀行網(wǎng)絡(luò)安全合規(guī)要點(diǎn)解析

目前銀行在經(jīng)濟(jì)生活中承擔(dān)著“金融機(jī)構(gòu)”“網(wǎng)絡(luò)運(yùn)營(yíng)者”“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”“個(gè)人信息控制者”等多重角色,對(duì)此本文結(jié)合銀行不同角色,對(duì)政策文件要求進(jìn)行梳理,總結(jié)相關(guān)網(wǎng)絡(luò)安全和數(shù)據(jù)安全合規(guī)要點(diǎn),為銀行合規(guī)開(kāi)展業(yè)務(wù)提供必要參考。

1、銀行作為“金融機(jī)構(gòu)”的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)要點(diǎn)

作為“金融機(jī)構(gòu)”的銀行要落實(shí)網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī),首先需基于其內(nèi)外資性質(zhì)、經(jīng)營(yíng)范圍及網(wǎng)絡(luò)運(yùn)營(yíng)業(yè)務(wù)獲取相應(yīng)的許可證或進(jìn)行備案。就網(wǎng)絡(luò)運(yùn)營(yíng)業(yè)務(wù)來(lái)看,銀行若從事增值電信業(yè)務(wù),需獲得相應(yīng)的增值電信經(jīng)營(yíng)許可證。銀行從事互聯(lián)網(wǎng)金融業(yè)務(wù)的,除應(yīng)按規(guī)定履行相關(guān)金融監(jiān)管程序外,還應(yīng)依法向電信主管部門(mén)履行網(wǎng)站備案手續(xù)。

2、作為“網(wǎng)絡(luò)運(yùn)營(yíng)者”和“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)要點(diǎn)

《網(wǎng)絡(luò)安全法》第三十一條規(guī)定,國(guó)家對(duì)金融等重要行業(yè)和領(lǐng)域,在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù)。根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》,銀行運(yùn)營(yíng)為金融行業(yè)中的關(guān)鍵業(yè)務(wù)。因此,銀行一般應(yīng)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,在履行網(wǎng)絡(luò)運(yùn)營(yíng)者的一般安全保護(hù)義務(wù)的基礎(chǔ)上,還需履行關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的特殊義務(wù)。銀行在建設(shè)和部署基礎(chǔ)設(shè)施、設(shè)備和信息系統(tǒng)的基礎(chǔ)上,需構(gòu)建與不斷完善網(wǎng)絡(luò)安全保護(hù)制度和數(shù)據(jù)合規(guī)制度,從制度上填補(bǔ)安全漏洞。

1)保障銀行基礎(chǔ)設(shè)施、設(shè)備與信息系統(tǒng)安全

建設(shè)和部署安全穩(wěn)定的基礎(chǔ)設(shè)施、設(shè)備與信息系統(tǒng)是銀行落實(shí)網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)的客觀前提。不僅要考慮作為關(guān)鍵信息基礎(chǔ)設(shè)施的合規(guī)要求,還需考慮銀行運(yùn)營(yíng)特點(diǎn),對(duì)重要網(wǎng)絡(luò)設(shè)備和各類(lèi)信息系統(tǒng)的安全性進(jìn)行審查。

2)構(gòu)建網(wǎng)絡(luò)安全保護(hù)制度

銀行應(yīng)從內(nèi)部治理和外部控制兩個(gè)角度落實(shí)網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)。銀行的內(nèi)部治理需構(gòu)建風(fēng)險(xiǎn)管理和控制制度、銀行部門(mén)架構(gòu)、員工管理制度。內(nèi)部人員管理制度還需區(qū)分普通員工、能夠接觸到個(gè)人金融信息等客戶(hù)信息的員工以及網(wǎng)絡(luò)安全負(fù)責(zé)人等不同崗位的員工。此外,還需制定一系列網(wǎng)絡(luò)安全保障制度,主要包括網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、網(wǎng)絡(luò)安全應(yīng)急處置制度和網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查幾個(gè)部分。

《網(wǎng)絡(luò)安全法》第二十一條要求網(wǎng)絡(luò)運(yùn)營(yíng)者按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù),作為網(wǎng)絡(luò)運(yùn)營(yíng)者的銀行自不例外。

作為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的銀行在制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的基礎(chǔ)上還需定期進(jìn)行演練,對(duì)重要系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行容災(zāi)備份。銀行還應(yīng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估,并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)。

而外部控制制度則主要針對(duì)銀行存在業(yè)務(wù)外包等第三方合作的情形,若銀行通過(guò)外包開(kāi)展業(yè)務(wù),應(yīng)充分審查、評(píng)估外包服務(wù)供應(yīng)商保護(hù)銀行數(shù)據(jù)的能力,并在服務(wù)協(xié)議中明確外包服務(wù)提供商的數(shù)據(jù)保護(hù)和保密義務(wù)。在外包業(yè)務(wù)終止后,銀行需確保外包服務(wù)提供商已及時(shí)徹底刪除相應(yīng)數(shù)據(jù),以降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

3)構(gòu)建數(shù)據(jù)管理制度

銀行應(yīng)從數(shù)據(jù)收集和使用、數(shù)據(jù)存儲(chǔ)及數(shù)據(jù)治理等角度,遵循全覆蓋原則、匹配性原則、持續(xù)性原則、有效性原則,根據(jù)《銀行業(yè)金融機(jī)構(gòu)數(shù)據(jù)治理指引》制定全面科學(xué)有效的數(shù)據(jù)管理制度,包括但不限于組織管理、部門(mén)職責(zé)、協(xié)調(diào)機(jī)制、安全管控、系統(tǒng)保障、監(jiān)督檢查和數(shù)據(jù)質(zhì)量控制等各項(xiàng)具體制度,并根據(jù)管理要求和實(shí)際需要進(jìn)行持續(xù)評(píng)價(jià)更新。銀行應(yīng)建立數(shù)據(jù)安全策略與標(biāo)準(zhǔn),依法合規(guī)采集、應(yīng)用數(shù)據(jù),依法保護(hù)客戶(hù)隱私,劃分?jǐn)?shù)據(jù)安全等級(jí),明確訪問(wèn)和拷貝等權(quán)限,監(jiān)控訪問(wèn)和拷貝等行為,完善數(shù)據(jù)安全技術(shù),定期審計(jì)數(shù)據(jù)安全。

外商投資銀行具有特殊的安全管理義務(wù),“數(shù)據(jù)本地化”是其保存和處理個(gè)人信息和重要數(shù)據(jù)的重要原則。外商投資銀行在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)在境內(nèi)存儲(chǔ)。確需向境外提供的,則需按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估。

3、銀行作為“個(gè)人信息控制者”的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)要點(diǎn)

銀行因其自身經(jīng)營(yíng)屬性,掌握著大量個(gè)人信息,其中不乏與個(gè)人人身和財(cái)產(chǎn)安全密切相關(guān)的個(gè)人敏感信息。近年來(lái),《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》《中國(guó)人民銀行關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶(hù)個(gè)人金融信息保護(hù)工作的通知》《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》(JR/T 0171-2020)相繼出臺(tái),個(gè)人信息保護(hù)在銀行網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)中的地位不斷凸顯。

2020年來(lái)銀行處罰信息可發(fā)現(xiàn),“未按規(guī)定保存客戶(hù)身份資料和交易記錄”是處罰的重要理由。2020年3月,中信銀行在未經(jīng)客戶(hù)本人授權(quán)的情況下,向第三方提供個(gè)人銀行賬戶(hù)交易明細(xì),違背為存款人保密的原則,涉嫌違反《中華人民共和國(guó)商業(yè)銀行法》和銀保監(jiān)會(huì)關(guān)于個(gè)人信息保護(hù)的監(jiān)管規(guī)定,嚴(yán)重侵害消費(fèi)者信息安全權(quán),損害了消費(fèi)者合法權(quán)益。中國(guó)銀保監(jiān)會(huì)消費(fèi)者權(quán)益保護(hù)局于5月9日通報(bào)該情況并決定按照相應(yīng)法律法規(guī)啟動(dòng)立案調(diào)查程序。銀保監(jiān)會(huì)對(duì)此事的快速響應(yīng)也折射出監(jiān)管機(jī)關(guān)對(duì)個(gè)人信息保護(hù)日益重視的態(tài)度。

除滿(mǎn)足一般個(gè)人信息控制者需承擔(dān)的個(gè)人信息保護(hù)責(zé)任外,銀行還需注意法律對(duì)個(gè)人金融信息的特殊保護(hù)要求。以個(gè)人信用信息為例,根據(jù)《征信業(yè)管理?xiàng)l例》第四十條,銀行不得未經(jīng)同意查詢(xún)個(gè)人信息,否則監(jiān)管機(jī)關(guān)可對(duì)單位處5萬(wàn)元以上50萬(wàn)元以下的罰款,對(duì)直接負(fù)責(zé)的主管人員或其他直接責(zé)任人處以1萬(wàn)元以上10萬(wàn)元以下罰款,構(gòu)成犯罪的,依法追究刑事責(zé)任等處罰。

業(yè)務(wù)建議:銀行應(yīng)在八個(gè)方面不斷提高網(wǎng)絡(luò)安全建設(shè)

盡管明確上述網(wǎng)絡(luò)安全合規(guī)要點(diǎn)能為銀行開(kāi)展網(wǎng)絡(luò)安全建設(shè)帶來(lái)較大的政策依據(jù),但在合規(guī)建設(shè)的同時(shí),商業(yè)銀行網(wǎng)絡(luò)安全這根弦須臾不可放松。為此,建議銀行未來(lái)還應(yīng)持續(xù)在八個(gè)方面不斷加大工作力度,保證銀行網(wǎng)絡(luò)安全合規(guī)能力不斷提升。

一是切實(shí)增強(qiáng)總體網(wǎng)絡(luò)安全觀,嚴(yán)格落實(shí)網(wǎng)絡(luò)安全工作責(zé)任制。金融系統(tǒng)要加強(qiáng)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù),要站在講政治、講大局、講責(zé)任的高度,站在金融為民的政治高度,為維護(hù)一方金融安全、經(jīng)濟(jì)安全作出貢獻(xiàn)。

二是加強(qiáng)金融核心基礎(chǔ)設(shè)施建設(shè),支撐轉(zhuǎn)型發(fā)展。要充分利用大數(shù)據(jù)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、區(qū)塊鏈、人工智能等技術(shù)來(lái)改變銀行原有的技術(shù)架構(gòu),打造分布式的云架構(gòu),進(jìn)一步提升核心業(yè)務(wù)系統(tǒng)、管理信息系統(tǒng)、數(shù)據(jù)存儲(chǔ)系統(tǒng)、分析系統(tǒng)等的智能性、便捷性和安全性,為業(yè)務(wù)發(fā)展與管理創(chuàng)新提供技術(shù)支撐平臺(tái)。

三是提升應(yīng)急綜合處置及容災(zāi)能力。定期實(shí)施基礎(chǔ)設(shè)施、網(wǎng)絡(luò)及系統(tǒng)各科目的應(yīng)急演練,分別組織系統(tǒng)級(jí)、應(yīng)用級(jí)、業(yè)務(wù)級(jí)運(yùn)營(yíng)中斷事件恢復(fù)演練,持續(xù)提高風(fēng)險(xiǎn)防控的實(shí)踐能力,增強(qiáng)業(yè)務(wù)連續(xù)性能力。進(jìn)一步加快災(zāi)備體系建設(shè),防范系統(tǒng)級(jí)和數(shù)據(jù)中心級(jí)災(zāi)難風(fēng)險(xiǎn)。

四是增強(qiáng)網(wǎng)絡(luò)安全主動(dòng)防御能力。要不斷健全和完善已有的安全保障體系,建立用戶(hù)態(tài)勢(shì)感知、行為分析以及操作審計(jì)平臺(tái),逐步實(shí)現(xiàn)對(duì)攻擊模型和路徑進(jìn)行分析、對(duì)未知安全威脅進(jìn)行判斷預(yù)警、對(duì)多維度實(shí)時(shí)流量進(jìn)行監(jiān)控,以技術(shù)支撐實(shí)現(xiàn)全方位的態(tài)勢(shì)感知

五是明晰風(fēng)險(xiǎn),提升金融風(fēng)險(xiǎn)甄別、防范與化解能力。正確處理好安全與發(fā)展的關(guān)系,將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)納入各金融機(jī)構(gòu)風(fēng)險(xiǎn)管理體系。注重利用好等級(jí)保護(hù)測(cè)評(píng)、風(fēng)險(xiǎn)評(píng)估和內(nèi)部審計(jì)等手段,強(qiáng)化對(duì)自身信息系統(tǒng)風(fēng)險(xiǎn)的梳理,做到信息系統(tǒng)風(fēng)險(xiǎn)心中有數(shù),實(shí)現(xiàn)風(fēng)險(xiǎn)識(shí)別和預(yù)防關(guān)口前移。

六是構(gòu)建網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化統(tǒng)籌協(xié)調(diào)工作機(jī)制。從全局的角度思考網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的實(shí)施路徑,將標(biāo)準(zhǔn)化建設(shè)納入本行網(wǎng)絡(luò)安全發(fā)展戰(zhàn)略體系,積極協(xié)調(diào)各專(zhuān)業(yè)、各層級(jí)廣泛參與,整體構(gòu)建起統(tǒng)一完善的標(biāo)準(zhǔn)化工作機(jī)制。

七是做好信息科技外包風(fēng)險(xiǎn)管理。信息系統(tǒng)的開(kāi)發(fā)、維護(hù)可以外包,但風(fēng)險(xiǎn)防控不能外包。應(yīng)嚴(yán)格要求外包公司遵守業(yè)務(wù)連續(xù)性管理、信息安全管理方面的要求,在業(yè)務(wù)流程、運(yùn)維監(jiān)控和人員教育等方面強(qiáng)化管理,確保風(fēng)險(xiǎn)管理的全面性、有效性。

八是突出重點(diǎn)領(lǐng)域人才培養(yǎng)。加強(qiáng)信息安全人才培養(yǎng)力度,特別是應(yīng)加強(qiáng)注冊(cè)信息安全人員專(zhuān)業(yè)培訓(xùn),使其能夠具有為信息系統(tǒng)安全提供技術(shù)保障所應(yīng)具備的專(zhuān)業(yè)資質(zhì)和能力。加強(qiáng)地方法人金融機(jī)構(gòu)高層管理人才在金融科技和網(wǎng)絡(luò)安全領(lǐng)域的視野和領(lǐng)導(dǎo)才能,樹(shù)立科技在業(yè)務(wù)發(fā)展中的引領(lǐng)作用。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)