|
閱讀:
912
《網(wǎng)絡(luò)安全法》正式出臺��,對于加強互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全方面的法律約束具有重要意義�����,對金融機構(gòu)提出新的網(wǎng)絡(luò)安全工作思路和要求����,起到推進作用。本文梳理的關(guān)注點分布在工作依據(jù)����、工作原則、網(wǎng)絡(luò)運行���、個人信息���、監(jiān)測與預(yù)警、內(nèi)部審計6個方面��,期許通過完善和加強這些方面的管理機制和技術(shù)防護措施��,從而整體提升金融行業(yè)網(wǎng)絡(luò)安全防護水平。
《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)安法》)規(guī)定了網(wǎng)絡(luò)安全等級保護�����、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護�����、網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報���、用戶信息保護、網(wǎng)絡(luò)信息安全投訴舉報等制度���,以及網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案/處置��、漏洞等網(wǎng)絡(luò)安全信息發(fā)布�、網(wǎng)絡(luò)安全人員背景審查和從業(yè)禁止�����、網(wǎng)絡(luò)安全教育和培訓�、數(shù)據(jù)留存和協(xié)助執(zhí)法等制度。本文根據(jù)《網(wǎng)安法》的要求��,對金融機構(gòu)在網(wǎng)絡(luò)安全方面需要關(guān)注的內(nèi)容進行梳理。
【關(guān)注點一】金融機構(gòu)需根據(jù)網(wǎng)絡(luò)安全等級保護制度的要求履行安全保護義務(wù)
【法律要求】原文第二十一條提到“國家實行網(wǎng)絡(luò)安全等級保護制度?���!痹牡谌臈l提到“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者安全保護義務(wù)……”。第三十八條提到“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估……”�����。
【專家解讀】《網(wǎng)安法》新提出“網(wǎng)絡(luò)安全等級保護制度”和“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者”����、“網(wǎng)絡(luò)運營者”這些概念���?��!毒W(wǎng)安法》未對“網(wǎng)絡(luò)安全等級保護制度”做進一步規(guī)定,既未解釋該制度的內(nèi)涵�����、也沒有說明該制度將如何實施��,以及“網(wǎng)絡(luò)安全等級”具體如何劃分和確定�����。建議銀行業(yè)金融機構(gòu)進一步關(guān)注未來中央網(wǎng)信辦和銀監(jiān)會具體如何劃分和確定網(wǎng)絡(luò)安全等級保護制度的文件和通知要求。
根據(jù)銀監(jiān)辦發(fā)[2016]107號《中國銀監(jiān)會辦公廳關(guān)于開展銀行業(yè)網(wǎng)絡(luò)安全風險專項評估治理及配合做好關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作的通知》(以下簡稱“107號通知”)通知指出��,銀行業(yè)網(wǎng)絡(luò)和重要信息系統(tǒng)是國家關(guān)鍵信息基礎(chǔ)設(shè)施�。因此,明確銀行業(yè)金融機構(gòu)是關(guān)鍵信息基礎(chǔ)設(shè)施的運營者�����,證券�����、基金����、保險行業(yè),以及互聯(lián)網(wǎng)金融行業(yè)暫未明確是否屬于國家關(guān)鍵信息基礎(chǔ)設(shè)施��,需按照網(wǎng)絡(luò)運營者要求執(zhí)行���。
《網(wǎng)安法》對關(guān)鍵信息基礎(chǔ)設(shè)施的運營者要求一系列安全保護義務(wù)����,如監(jiān)測記錄網(wǎng)絡(luò)運行狀態(tài)并留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月,又如對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估��,相較于人民銀行發(fā)布《金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》【JR/T 0071—2012】要求�����,延長了日志保存時限����,提高了風險評估頻率��。對于銀行業(yè)金融機構(gòu)����,該法要求應(yīng)設(shè)置專門安全管理機構(gòu)和安全管理負責人并進行安全背景審查等,明確受到治安管理處罰或刑事處罰的人員信息安全關(guān)鍵崗位的從業(yè)禁止�����,要求所有金融機構(gòu)必須加強對人員背景的調(diào)查�,建議編寫明確的崗位說明書,尤其是信息安全崗位的人員���,人員招募時采取人力背景調(diào)查問卷��、第三方機構(gòu)背調(diào)等方式進行安全背景調(diào)查��。
【關(guān)注點二】銀行業(yè)網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)需遵循“三同步原則”
【法律要求】第三十三條提到“建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當確保其具有支持業(yè)務(wù)穩(wěn)定���、持續(xù)運行的性能�,并保證安全技術(shù)措施同步規(guī)劃��、同步建設(shè)�、同步使用?����!?/p>
【專家解讀】《網(wǎng)安法》明確建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施必須同時開展信息安全保障工作��。這個要求符合目前信息安全實踐趨勢�����,如重要信息系統(tǒng)在立項之前�����,從概念階段伊始信息安全工作就已經(jīng)介入,在項目立項����、安全需求、安全設(shè)計����、安全開發(fā)、安全測試�,直至系統(tǒng)上線驗收全生命周期的保障。
對于安全技術(shù)措施遵循“三同步原則”的好處是立項目標與安全需求定義相匹配�����,系統(tǒng)功能實現(xiàn)和系統(tǒng)安全流程設(shè)計相匹配�,如某信息系統(tǒng)立項定位是重要信息系統(tǒng)����,關(guān)注系統(tǒng)交易過程數(shù)據(jù)安全,安全需求定義認為登錄密碼與交易(支付)密碼的保護等級不同�����,功能實現(xiàn)中設(shè)定登錄密碼重置可通過驗證手機短消息方式�����,但交易(支付)密碼重置必須到現(xiàn)場柜臺,從而避免因功能實現(xiàn)變更引起的返工和開發(fā)延期����,降低安全風險,提高效率�����,減少系統(tǒng)開發(fā)成本����。
【關(guān)注點三】金融機構(gòu)需制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練
【法律要求】第二十五條提到“網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案”�����。第五十三條提到“制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案�,并定期組織演練工作分工和工作要求”。
【專家解讀】《網(wǎng)安法》新提出網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案及演練的相關(guān)要求���,金融機構(gòu)制定應(yīng)急預(yù)案應(yīng)覆蓋所有網(wǎng)絡(luò)安全場景�,包括網(wǎng)絡(luò)掃描攻擊�����、拒絕服務(wù)攻擊等,系統(tǒng)方面有惡意代碼�����、后門程序等���;另外��,根據(jù)應(yīng)急預(yù)案涉及的各方面內(nèi)容�����,建議由負責應(yīng)急預(yù)案工作的部門組織預(yù)案中各角色相關(guān)人員開展應(yīng)急預(yù)案培訓�。
107號通知指出����,銀行業(yè)網(wǎng)絡(luò)和重要信息系統(tǒng)是國家關(guān)鍵信息基礎(chǔ)設(shè)施��,為進一步加強互聯(lián)網(wǎng)安全風險應(yīng)對���,提升銀行業(yè)整體防護能力�,按照國家關(guān)鍵信息基礎(chǔ)設(shè)施保護、網(wǎng)絡(luò)安全風險專項應(yīng)對工作的整體安排�����,決定組織開展銀行業(yè)網(wǎng)絡(luò)安全風險專項評估治理工作���。建議銀行業(yè)金融機構(gòu)可根據(jù)中國銀監(jiān)會《銀行業(yè)突發(fā)事件應(yīng)急預(yù)案》等相關(guān)規(guī)章和標準����,結(jié)合近年銀行業(yè)發(fā)生的安全事件和面臨的安全風險��,制定符合自身組織架構(gòu)的網(wǎng)絡(luò)安全應(yīng)急預(yù)案��,預(yù)案中明確科技部內(nèi)部及業(yè)務(wù)部門的應(yīng)急響應(yīng)責任����,準備措施以及應(yīng)對突發(fā)事件的配合機制,并組織演練��。
【關(guān)注點四】金融機構(gòu)需建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度
【法律要求】第二十九條提到“國家支持網(wǎng)絡(luò)運營者之間在網(wǎng)絡(luò)安全信息收集����、分析、通報和應(yīng)急處置等方面進行合作����,提高網(wǎng)絡(luò)運營者的安全保障能力�?����!?/p>
第五十一條提到“國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度�。”第五十二條提到“負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門�����,應(yīng)當建立健全本行業(yè)���、本領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度�,并按照規(guī)定報送網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息�。”
【專家解讀】《網(wǎng)安法》提出在網(wǎng)絡(luò)安全信息的合作��、分享����,提高保障能力的思路,這與當下行業(yè)內(nèi)部少部分事前心存僥幸�、發(fā)生信息安全事件后企圖瞞報、少報的應(yīng)對思路形成鮮明對比�����。
綠盟科技高級副總裁葉曉虎指出“現(xiàn)階段的企業(yè)在安全防護工作中已經(jīng)能夠切實感覺到整個生態(tài)鏈的影響��,而單個企業(yè)的數(shù)據(jù)總是不夠完整����,希望能夠與更多產(chǎn)業(yè)鏈伙伴進行信息通道的打通和數(shù)據(jù)的交換,以保障更快地進行安全響應(yīng)���?��!苯ㄗh采取與合作伙伴或供應(yīng)商簽署保密協(xié)議,保證網(wǎng)絡(luò)日志��、安全告警信息不向社會公開的前提下���,可以自建或招募一些通過背景審查的安全人員形成安全團隊��,對同一行業(yè)��、同一領(lǐng)域的金融機構(gòu)租用一套行業(yè)公有云監(jiān)測預(yù)警平臺�,解決缺少7*24小時值守人員、缺乏高效運營監(jiān)管工具的問題����,快速高效的提升防護水平。如采用網(wǎng)站安全監(jiān)測和預(yù)警平臺解決����,可以協(xié)同運營,降低成本����。
【關(guān)注點五】金融機構(gòu)需采取措施,確保其收集的個人信息安全��,防止信息泄露��、毀損��、丟失
【法律要求】第四十二條 網(wǎng)絡(luò)運營者不得泄露���、篡改���、毀損其收集的個人信息;未經(jīng)被收集者同意,不得向他人提供個人信息����。但是���,經(jīng)過處理無法識別特定個人且不能復原的除外����。網(wǎng)絡(luò)運營者應(yīng)當采取技術(shù)措施和其他必要措施�,確保其收集的個人信息安全,防止信息泄露��、毀損���、丟失�����。在發(fā)生或者可能發(fā)生個人信息泄露����、毀損��、丟失的情況時,應(yīng)當立即采取補救措施�����,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告��。
【專家解讀】《網(wǎng)安法》對網(wǎng)絡(luò)運營者進行個人信息收集���、存儲����、處理��、使用和轉(zhuǎn)讓等各環(huán)節(jié)都作出明確規(guī)定��,突出強調(diào)了信息收集者的責任��。對于個人信息收集或使用環(huán)節(jié)應(yīng)以明確����、易懂和合理的方式如實公示其收集或使用個人信息的目的、個人信息的收集和使用范圍�����、個人信息安全保護措施等信息,接受公共監(jiān)督�。《網(wǎng)安法》的一大亮點就是賦予個人在一定條件下要求刪除和更正其個人信息的權(quán)利�����。目前����,中央網(wǎng)信辦正制定個人信息收集規(guī)范標準�����,將更好地保護個人信息����。
互聯(lián)網(wǎng)金融行業(yè)做好自有信息系統(tǒng)的前臺和后臺數(shù)據(jù)訪問控制,采取合理���、有效措施�����,如業(yè)務(wù)流程評估����、賬號和權(quán)限管理、數(shù)據(jù)庫審計等���,降低個人信息泄露��、毀損���、丟失風險。建議系統(tǒng)設(shè)計開發(fā)階段考慮賬號權(quán)限分配和訪問控制設(shè)定功能���,避免因內(nèi)部工作人員因職權(quán)便利����,違規(guī)查詢或批量下載客戶個人信息和交易記錄���。運行階段����,制定數(shù)據(jù)使用�、獲取、存儲規(guī)范�,對內(nèi)部工作人員的行為進行制度約束��,開展技術(shù)滲透測試評估���,避免功能實現(xiàn)上存在平行提權(quán)、拖庫缺陷��。
【關(guān)注點六】金融機構(gòu)需開展內(nèi)部審計����,確保網(wǎng)案法貫徹實施
【法律要求】原文第六章法律責任相關(guān)要求
【專家解讀】《網(wǎng)安法》在第六章“法律責任”中提高了違法行為的處罰標準,加大了處罰力度����,有利于保障《網(wǎng)絡(luò)安全法》的實施����。為了避免被罰,蒙受經(jīng)濟損失和名譽損失�����,金融機構(gòu)需建立內(nèi)部審計機制并開展內(nèi)審工作�。金融機構(gòu)需明確制定內(nèi)部審計檢查方法、標準�����、檢查項,開展內(nèi)審驗證措施有效性��,如定期審計信息系統(tǒng)使用過程中是否存在內(nèi)部人員違規(guī)數(shù)據(jù)獲取行為���,驗證控制措施效果����。
【結(jié)語】
《網(wǎng)絡(luò)安全法》正式出臺���,對于加強互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全方面的法律約束具有重要意義����,對金融機構(gòu)提出新的網(wǎng)絡(luò)安全工作思路和要求�,起到推進作用。
本文梳理的關(guān)注點分布在工作依據(jù)����、工作原則、網(wǎng)絡(luò)運行�、個人信息、監(jiān)測與預(yù)警��、內(nèi)部審計6個方面,歸納如下:
- 根據(jù)網(wǎng)絡(luò)安全等級保護制度的要求履行安全保護義務(wù)
- 網(wǎng)絡(luò)和重要信息系統(tǒng)建設(shè)需遵循“三同步原則”
- 制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案��,并定期組織演練
- 建立健全網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度
- 采取措施防止信息泄露����、毀損、丟失
- 開展內(nèi)部審計���,確保網(wǎng)案法貫徹實施
綜上�,期許通過完善和加強這些方面的管理機制和技術(shù)防護措施��,從而整體提升金融行業(yè)網(wǎng)絡(luò)安全防護水平���。
參考文獻:
中共中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組辦公室http://www./
西安交通大學法學院���、公安部第三研究所 黃道麗.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護辦法》亟待制定.保密科學技術(shù).2016(07)
如果您需要了解更多內(nèi)容���,可以
加入QQ群:570982169
直接詢問:010-68438880
|
