安全资讯

银行网络安全合规建设思路

风险引入:监管趋严 时刻考验银行网络安全合规建设

近年来,银行数据质量欠缺、信息安全保障不足、内部管理制度存在漏洞等种种问题不断暴露在公众视野之中,银行所承担的“金融机构”“网络运营者”“关键信息基础设施运营者”及“个人信息控制者”等多重角色进一步增加了银行落实网络安全和数据合规相关制度的难度。2020年以来,《商业银行互联网贷款管理暂行办法》等一系列监管政策文件下发,要求银行等金融机构认真贯彻落实个人信息保护方面的法律法规,加强客户隐私保护,对客户信息严格实行从采集到存储、销毁等全流程的制度化管理。可见当前银行业网络安全监管力度不断升级,未来监管水平还将不断提升。对此,本文将从分析2020年以来相关处罚案例入手,分析银行在扮演不同角色时所应关注的网络安全和数据合规要点,并为未来银行网络安全合规建设提供相应参考及指引。

风险梳理:银行网络安全处罚特点分析

2020年4月,中国裁判文书网公布了两份关于银行员工侵犯公民个人信息的刑事判决书,银行临时工和支行行长利用职务之便非法对外提供客户个人信息,法院以侵犯公民个人信息罪判处被告人有期徒刑并处罚金;2020年5月9日,六大国有银行——工商银行、中国银行、交通银行、农业银行、建设银行、邮储银行及两家股份制银行——光大银行、中信银行均因监管标准化数据(EAST)及数据报送存在违法违规行为,被中国银行保险监督管理委员会(以下简称“银保监会”)处以罚款;2020年6月22日,江苏江南农村商业银行股份有限公司因存在网络安全工作严重不足的违法行为,被中国银行保险监督管理委员会江苏监管局依据《中华人民共和国银行业监督管理法》第四十六条第(五)项规定,处以人民币30万元罚款。

由此结合2020年以来的行政处罚信息来看,在网络安全和数据合规方面,数据质量及数据报送,个人金融信息保护成为银行被处罚的主要原因,当前值得银行特别关注。

合规解读:银行网络安全合规要点解析

目前银行在经济生活中承担着“金融机构”“网络运营者”“关键信息基础设施运营者”“个人信息控制者”等多重角色,对此本文结合银行不同角色,对政策文件要求进行梳理,总结相关网络安全和数据安全合规要点,为银行合规开展业务提供必要参考。

1、银行作为“金融机构”的网络安全和数据合规要点

作为“金融机构”的银行要落实网络安全和数据合规,首先需基于其内外资性质、经营范围及网络运营业务获取相应的许可证或进行备案。就网络运营业务来看,银行若从事增值电信业务,需获得相应的增值电信经营许可证。银行从事互联网金融业务的,除应按规定履行相关金融监管程序外,还应依法向电信主管部门履行网站备案手续。

2、作为“网络运营者”和“关键信息基础设施运营者”的网络安全和数据合规要点

《网络安全法》第三十一条规定,国家对金融等重要行业和领域,在网络安全等级保护制度的基础上,实行重点保护。根据《关键信息基础设施确定指南(试行)》,银行运营为金融行业中的关键业务。因此,银行一般应被认定为关键信息基础设施运营者,在履行网络运营者的一般安全保护义务的基础上,还需履行关键信息基础设施运营者的特殊义务。银行在建设和部署基础设施、设备和信息系统的基础上,需构建与不断完善网络安全保护制度和数据合规制度,从制度上填补安全漏洞。

1)保障银行基础设施、设备与信息系统安全

建设和部署安全稳定的基础设施、设备与信息系统是银行落实网络安全和数据合规的客观前提。不仅要考虑作为关键信息基础设施的合规要求,还需考虑银行运营特点,对重要网络设备和各类信息系统的安全性进行审查。

2)构建网络安全保护制度

银行应从内部治理和外部控制两个角度落实网络安全和数据合规。银行的内部治理需构建风险管理和控制制度、银行部门架构、员工管理制度。内部人员管理制度还需区分普通员工、能够接触到个人金融信息等客户信息的员工以及网络安全负责人等不同岗位的员工。此外,还需制定一系列网络安全保障制度,主要包括网络安全等级保护制度、网络安全应急处置制度和网络产品和服务安全审查几个部分。

《网络安全法》第二十一条要求网络运营者按照网络安全等级保护制度的要求履行安全保护义务,作为网络运营者的银行自不例外。

作为关键信息基础设施运营者的银行在制定网络安全事件应急预案的基础上还需定期进行演练,对重要系统和数据库进行容灾备份。银行还应自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

而外部控制制度则主要针对银行存在业务外包等第三方合作的情形,若银行通过外包开展业务,应充分审查、评估外包服务供应商保护银行数据的能力,并在服务协议中明确外包服务提供商的数据保护和保密义务。在外包业务终止后,银行需确保外包服务提供商已及时彻底删除相应数据,以降低数据泄露的风险。

3)构建数据管理制度

银行应从数据收集和使用、数据存储及数据治理等角度,遵循全覆盖原则、匹配性原则、持续性原则、有效性原则,根据《银行业金融机构数据治理指引》制定全面科学有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等各项具体制度,并根据管理要求和实际需要进行持续评价更新。银行应建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。

外商投资银行具有特殊的安全管理义务,“数据本地化”是其保存和处理个人信息和重要数据的重要原则。外商投资银行在中国境内运营中收集和产生的个人信息和重要数据应在境内存储。确需向境外提供的,则需按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

3、银行作为“个人信息控制者”的网络安全和数据合规要点

银行因其自身经营属性,掌握着大量个人信息,其中不乏与个人人身和财产安全密切相关的个人敏感信息。近年来,《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》《中国人民银行金融消费者权益保护实施办法》《个人金融信息保护技术规范》(JR/T 0171-2020)相继出台,个人信息保护在银行网络安全和数据合规中的地位不断凸显。

2020年来银行处罚信息可发现,“未按规定保存客户身份资料和交易记录”是处罚的重要理由。2020年3月,中信银行在未经客户本人授权的情况下,向第三方提供个人银行账户交易明细,违背为存款人保密的原则,涉嫌违反《中华人民共和国商业银行法》和银保监会关于个人信息保护的监管规定,严重侵害消费者信息安全权,损害了消费者合法权益。中国银保监会消费者权益保护局于5月9日通报该情况并决定按照相应法律法规启动立案调查程序。银保监会对此事的快速响应也折射出监管机关对个人信息保护日益重视的态度。

除满足一般个人信息控制者需承担的个人信息保护责任外,银行还需注意法律对个人金融信息的特殊保护要求。以个人信用信息为例,根据《征信业管理条例》第四十条,银行不得未经同意查询个人信息,否则监管机关可对单位处5万元以上50万元以下的罚款,对直接负责的主管人员或其他直接责任人处以1万元以上10万元以下罚款,构成犯罪的,依法追究刑事责任等处罚。

业务建议:银行应在八个方面不断提高网络安全建设

尽管明确上述网络安全合规要点能为银行开展网络安全建设带来较大的政策依据,但在合规建设的同时,商业银行网络安全这根弦须臾不可放松。为此,建议银行未来还应持续在八个方面不断加大工作力度,保证银行网络安全合规能力不断提升。

一是切实增强总体网络安全观,严格落实网络安全工作责任制。金融系统要加强信息基础设施网络安全防护,要站在讲政治、讲大局、讲责任的高度,站在金融为民的政治高度,为维护一方金融安全、经济安全作出贡献。

二是加强金融核心基础设施建设,支撑转型发展。要充分利用大数据、云计算、移动互联网、区块链、人工智能等技术来改变银行原有的技术架构,打造分布式的云架构,进一步提升核心业务系统、管理信息系统、数据存储系统、分析系统等的智能性、便捷性和安全性,为业务发展与管理创新提供技术支撑平台。

三是提升应急综合处置及容灾能力。定期实施基础设施、网络及系统各科目的应急演练,分别组织系统级、应用级、业务级运营中断事件恢复演练,持续提高风险防控的实践能力,增强业务连续性能力。进一步加快灾备体系建设,防范系统级和数据中心级灾难风险。

四是增强网络安全主动防御能力。要不断健全和完善已有的安全保障体系,建立用户态势感知、行为分析以及操作审计平台,逐步实现对攻击模型和路径进行分析、对未知安全威胁进行判断预警、对多维度实时流量进行监控,以技术支撑实现全方位的态势感知

五是明晰风险,提升金融风险甄别、防范与化解能力。正确处理好安全与发展的关系,将网络安全风险纳入各金融机构风险管理体系。注重利用好等级保护测评、风险评估和内部审计等手段,强化对自身信息系统风险的梳理,做到信息系统风险心中有数,实现风险识别和预防关口前移。

六是构建网络安全标准化统筹协调工作机制。从全局的角度思考网络安全标准化工作的实施路径,将标准化建设纳入本行网络安全发展战略体系,积极协调各专业、各层级广泛参与,整体构建起统一完善的标准化工作机制。

七是做好信息科技外包风险管理。信息系统的开发、维护可以外包,但风险防控不能外包。应严格要求外包公司遵守业务连续性管理、信息安全管理方面的要求,在业务流程、运维监控和人员教育等方面强化管理,确保风险管理的全面性、有效性。

八是突出重点领域人才培养。加强信息安全人才培养力度,特别是应加强注册信息安全人员专业培训,使其能够具有为信息系统安全提供技术保障所应具备的专业资质和能力。加强地方法人金融机构高层管理人才在金融科技和网络安全领域的视野和领导才能,树立科技在业务发展中的引领作用。

服务热线

400-1021-996

产品和特性

价格和优惠

安徽灵狐网络公众号

微信公众号