信息安全上升至國家戰略,這些平臺獲國家信息安全等級的最高評級!

發布時間:2018-10-21作者:華工安鼎
中央關于信息安全的政策不斷加碼,高度逐漸提升到戰略層面。鑒于其他主要發達國家均早已成立專門的國家網絡信息安全機構,我國也在2013年11月12日正式成立國家安全委員會,并隨后在2014年2月27日成立中共中央網絡安全和信息化領導小組辦公室,由習近平主席親自掛帥,將信息安全提升到國家戰略高度。
2018年1月2日,國家互聯網金融安全技術專家委員會發布《互聯網金融網站漏洞分析報告》?!侗ǜ妗分賦?,目前互聯網金融行業的網絡安全情況不甚樂觀,存在的風險較高,部分企業的安全防護意識和投入不足,對安全漏洞可能帶來的風險認識不到位。
《報告》顯示,本次監測分析覆蓋北京、深圳、浙江等省市共1529家互聯網金融平臺網站。按照風險的強弱等級進行統計,其中高危評級網站占比12.4%,中危評級網站占比52.5%。共發現漏洞7210個,其中高危漏洞451個,占比6.2%,中危漏洞3395個,占比47.1%。
根據2016年8月24日銀監會會同工業和信息化部、公安部、國家互聯網信息辦公室等部門發布的《網絡借貸信息中介機構業務活動管理暫行辦法》第三章第十八條顯示,“網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級?;ぶ貧鵲囊?,開展信息系統定級備案和等級測試,具有完善的防火墻、入侵檢測、數據加密以及災難恢復等網絡安全設施和管理制度,建立信息科技管理、科技風險管理和科技審計有關制度,配置充足的資源,采取完善的管理控制措施和技術手段保障信息系統安全穩健運行,?;こ黿樅擻虢榪釗說男畔踩??!?
這一條是對網絡借貸平臺信息技術和安全的規定,目的在于防范技術風險。隨著《網絡信息中介機構業務活動管理辦法》的發布,網絡安全已經上升為網貸平臺合規的必要條件。
國家信息系統安全等級?;と侗赴贛肫啦獾耐瓿殺曛咀臥2P平臺在網絡信息規范化管理方面更加嚴密,達到了更高標準。在安全規章制度、信息基礎設施和數據?;さ確矯?,都提升了一個臺階。
目前大多數網貸平臺一般將外部網絡技術安全認證置于平臺首頁底部,其余較為重要的認證則較多披露在網站資質證明板塊。較為常見的幾種認證為國家信息系統安全等級?;と?、ISO27001、企業信用評級證書、可信網站、互聯網金融行業認證、SSL等。其中信息系統安全等級?;け赴肝蘼凼竊諶現つ訊壬?、公信力上及效力方面,尤其是信息系統安全等保三級認證,絕對是非銀機構中最重量級別的認證。
2007年7月24日,為加快推進信息安全等級?;?,規范信息安全等級?;す芾?,提高信息安全保障能力和水平,維護國家安全、社會穩定和公共利益,保障和促進信息化建設,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了《信息安全等級?;す芾戇旆ā?。
根據《信息安全等級?;す芾戇旆ā?,把信息系統的安全?;さ燃斗治寮?,等級越高,安全?;つ芰馱角?。
公開信息顯示,國家2001年實施的《計算機信息系統安全?;さ燃痘腫莢頡分薪踩燃痘治甯黽侗穡?
第一級為用戶自主?;ぜ?,該級適用于普通內聯網用戶;
第二級為系統審計?;ぜ?,該級適用于通過內聯網或國際網進行商務活動,需要保密的非重要單位;
第三級為安全標記?;ぜ?,該級適用于地方各級國家機關、金融機構、郵電通信、大型工商與信息技術企業、重點工程建設等單位;
第四級為結構化?;ぜ?,該級適用于中央級國家機關、廣播電視部門、社會應急服務部門、尖端科技企業集團、國家重點科研機構和國防建設等部門;
第五級為訪問驗證?;ぜ?,該級適用于國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。
目前大多數互聯網金融平臺獲得的以第二級認證為主,第三級作為國家對非銀行金融機構的最高級認證,屬于“監管級別”,即非銀機構的最高級認證就是第三級別,由國家信息安全監管部門進行監督、檢查,認證要求十分嚴格,在認證過程中進行了一系列測評包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復、系統建設管理、系統安全管理等多方面的安全評測。測評內容近300項要求,共涉及測評分類73類。成功通過認證的平臺,在技術、管理、控制層面能達到國家指標,具備安全事件發現、應對的能力,以及信息系統受到攻擊或破壞時的快速恢復﹑數據信息防泄露防偷的實力。這部分已通過國家三級等保安全測試的平臺往往具有長遠的運營考慮,在自身軟硬件和信息系統建設有較大投入。?
網絡借貸信息中介機構及其資金存管機構、其他各類外包服務機構等應當為業務開展過程中收集的出借人與借款人信息保密,未經出借人與借款人同意,不得將出借人與借款人提供的信息用于所提供服務之外的目的。
在中國境內收集的出借人與借款人信息的儲存、處理和分析應當在中國境內進行。除法律法規另有規定外,網絡借貸信息中介機構不得向境外提供境內出借人和借款人信息?!?
《暫行辦法》明確要求,網絡借貸信息中介機構應按照國家網絡安全相關規定和國家信息安全等級?;ぶ貧鵲囊?,開展信息系統定級備案和等級測試,以?;こ黿樅擻虢榪釗說男畔踩?。同時,根據《信息系統安全等級?;せ疽蟆?,網貸平臺只有在完成定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查等嚴格的審查工作后,才能獲得等保三級認證。
據P2P黑板報統計,截至2017年12月,通過信息系統安全等保三級備案認證的P2P網貸平臺約為156家。僅占在運營平臺數量的8%
2016年8月24日銀監會等部門正式發布《網絡借貸信息中介機構業務活動管理暫行辦法》,確立了網貸行業監管體制及業務規則,明確了網貸行業發展方向,為網貸行業的規范發展和持續審慎監管提供了制度依據。
《辦法》出臺后,按照網貸行業“1+3”(一個辦法三個指引)制度框架設計,銀監會會同相關部門分別于2016年底和2017年初,發布了《網絡借貸信息中介機構備案登記管理指引》、《網絡借貸資金存管業務指引》,隨后,2017年8月銀監會發布了《網絡借貸信息中介機構業務活動信息披露指引》
《信息披露指引》的出臺,標志著網貸行業“1+3”制度框架基本搭建完成,初步形成了較為完善的制度政策體系,進一步明確網貸行業規則,有效防范網貸風險,?;は顏呷ㄒ?,加快行業合規進程,實現網貸機構優勝劣汰,真正做到監管有法可依、行業有章可循。意味著互聯網金融的發展將迎來新階段
監管的成熟以及用戶的大幅增長,給行業一個明確的信號,金融行業的總體需求非常大、行業定位非常高,互聯網金融大有可為。

產品與服務