引言:2014年初,韓國(guó)國(guó)民銀行和農(nóng)協(xié)銀行等多家大型金融機(jī)構(gòu)發(fā)生金融信息泄露事件,1500萬(wàn)客戶(hù)的1.04億條個(gè)人信息遭泄露,內(nèi)容涉及手機(jī)號(hào)碼、個(gè)人地址、信用卡賬號(hào)乃至部分銀行交易記錄等。該事件也為我國(guó)金融數(shù)據(jù)安全敲響了警鐘。
當(dāng)前,依托先進(jìn)的計(jì)算機(jī)和互聯(lián)網(wǎng)技術(shù),金融機(jī)構(gòu)采集海量的個(gè)人和企業(yè)信息,如信貸信息、信用交易信息、公共事業(yè)繳費(fèi)信息、經(jīng)營(yíng)與決策信息、行政處罰信息等,建立起規(guī)模龐大的信息系統(tǒng),涉及信息主體社會(huì)經(jīng)濟(jì)生活的方方面面。而與之相對(duì)應(yīng)的是尚未建立起相應(yīng)的信息安全網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng),從金融機(jī)構(gòu)內(nèi)部來(lái)看,基于信息傳遞和共享的高效便捷考慮,金融機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)主要是實(shí)現(xiàn)了信息的快速傳遞、及時(shí)共享等目標(biāo),而對(duì)于信息安全保密控制等缺乏相應(yīng)制約。對(duì)于保障金融信息的安全防范工作,當(dāng)前金融監(jiān)督管理部門(mén)仍通過(guò)現(xiàn)場(chǎng)和非現(xiàn)場(chǎng)的檢查和監(jiān)測(cè)等手段,無(wú)法實(shí)現(xiàn)實(shí)時(shí)監(jiān)測(cè)。加強(qiáng)金融信息系統(tǒng)數(shù)據(jù)安全應(yīng)采取以下措施:
進(jìn)一步完善法規(guī),維護(hù)信息主體的合法權(quán)益
《條例》對(duì)金融機(jī)構(gòu)信息安全作了原則性規(guī)定,要求金融機(jī)構(gòu)建立健全并嚴(yán)格執(zhí)行保障信息安全的規(guī)章制度,并采取有效技術(shù)措施保障信息安全。但《條例》未對(duì)金融機(jī)構(gòu)的信息安全管理制度和措施進(jìn)行細(xì)化,未明確金融機(jī)構(gòu)安全管理、技術(shù)安全和業(yè)務(wù)操作等方面的要求,應(yīng)逐步完善《條例》的配套制度和實(shí)施細(xì)則,促進(jìn)《條例》的真正落實(shí)。
進(jìn)一步強(qiáng)化金融信息安全監(jiān)測(cè)措施,打擊信息泄露等違法犯罪活動(dòng)
應(yīng)從信息跨境流動(dòng)、安全檢查和評(píng)估等方面明確金融機(jī)構(gòu)業(yè)務(wù)操作規(guī)范,加強(qiáng)金融信息安全監(jiān)測(cè)。根據(jù)《征信業(yè)管理?xiàng)l例》,對(duì)于信息保護(hù)方面違規(guī)投訴較多的機(jī)構(gòu),人民銀行各分支機(jī)構(gòu)征信管理部門(mén)要加大現(xiàn)場(chǎng)檢查、信訪核查、實(shí)地走訪等工作的力度,督促其及時(shí)整改問(wèn)題,防止個(gè)人信息非法轉(zhuǎn)讓、傳播等行為侵害消費(fèi)者權(quán)益,對(duì)于問(wèn)題較為嚴(yán)重的金融機(jī)構(gòu)要給予嚴(yán)厲的經(jīng)濟(jì)處罰。打擊金融信息泄露等違法犯罪方面,要加強(qiáng)與公安部門(mén)的聯(lián)動(dòng),遏制外部犯罪行為。一旦發(fā)現(xiàn)侵犯?jìng)€(gè)人信息和資金安全等的案件信息,應(yīng)及時(shí)移交公安部門(mén),嚴(yán)厲打擊不法分子通過(guò)非正常渠道獲取客戶(hù)信息進(jìn)行欺詐或盜取資金的犯罪行為。
強(qiáng)化IT外包管理,搭建信息安全網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng)
各金融機(jī)構(gòu)要把覆蓋信息采集、處理、傳輸、維護(hù)的全流程管理納入金融機(jī)構(gòu)風(fēng)險(xiǎn)管理過(guò)程,從物理安全、網(wǎng)絡(luò)安全等方面對(duì)信息安全進(jìn)行規(guī)范,防止惡意竊取客戶(hù)信息行為的發(fā)生。針對(duì)IT外包,金融機(jī)構(gòu)要強(qiáng)化外包管理和對(duì)第三方公司的控制。應(yīng)督促金融機(jī)構(gòu)對(duì)外包公司的規(guī)模、技術(shù)水平、業(yè)務(wù)保障能力、保密等情況進(jìn)行全面評(píng)估,建立明確的外包業(yè)務(wù)信息保密措施和監(jiān)督要求,避免第三方公司的信息泄露。應(yīng)建立定期的系統(tǒng)測(cè)試與維護(hù)制度,及時(shí)發(fā)現(xiàn)并消除IT系統(tǒng)安全漏洞。金融機(jī)構(gòu)應(yīng)建立相應(yīng)的信息安全網(wǎng)絡(luò)監(jiān)測(cè)系統(tǒng),在主業(yè)務(wù)系統(tǒng)中搭建數(shù)據(jù)安全防泄密系統(tǒng),實(shí)施有效的信息安全控制,對(duì)網(wǎng)絡(luò)信息風(fēng)險(xiǎn)要進(jìn)行監(jiān)測(cè)。
強(qiáng)化金融系統(tǒng)內(nèi)部信息安全內(nèi)部控制
金融機(jī)構(gòu)應(yīng)重新審視包括安全管理制度、安全管理部門(mén)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等的內(nèi)部安全管理規(guī)范,從崗位設(shè)置、人員配備、授權(quán)和審批、溝通與合作、審核和檢查等方面對(duì)信息安全工作提出明確要求。在人員管控方面,金融機(jī)構(gòu)要將管理客戶(hù)信息的崗位視為重要崗位,對(duì)擬任職人員進(jìn)行必要的考核和排查,并簽訂保密協(xié)議書(shū);工作期間,任職人員接觸或處理客戶(hù)信息時(shí)要保證雙人在崗、雙人認(rèn)證、雙人簽字。一旦任職人員出現(xiàn)不適宜情況,金融機(jī)構(gòu)應(yīng)盡快將其調(diào)離相關(guān)工作崗位。
D1Net評(píng)論:
隨著網(wǎng)絡(luò)信息安全形勢(shì)的愈演愈烈,金融領(lǐng)域數(shù)據(jù)安全也日漸成為人們關(guān)注的焦點(diǎn),以上幾大措施,可以確實(shí)做好金融數(shù)據(jù)安全的保障工作,在金融領(lǐng)域,數(shù)據(jù)安全是影響金融安全的主要因素之一,這一問(wèn)題若得不到有效解決,會(huì)嚴(yán)重阻礙金融領(lǐng)域的快速發(fā)展。