加强金融信息系统数据安全的建议
2014年初,韩国国民银行和农协银行等多家大型金融机构发生金融信息泄露事件,1500万客户的1.04亿条个人信息遭泄露,内容涉及手机号码、个人地址、信用卡账号乃至部分银行交易记录等。该事件也为我国金融数据安全敲响了警钟。
当前,依托先进的计算机和互联网技术,金融机构采集海量的个人和企业信息,如信贷信息、信用交易信息、公共事业缴费信息、经营与决策信息、行政处罚信息等,建立起规模庞大的信息系统,涉及信息主体社会经济生活的方方面面。而与之相对应的是尚未建立起相应的信息安全网络监测系统,从金融机构内部来看,基于信息传递和共享的高效便捷考虑,金融机构的业务系统主要是实现了信息的快速传递、及时共享等目标,而对于信息安全保密控制等缺乏相应制约。对于保障金融信息的安全防范工作,当前金融监督管理部门仍通过现场和非现场的检查和监测等手段,无法实现实时监测。加强金融信息系统数据安全应采取以下措施:
(一)进一步完善法规,维护信息主体的合法权益。《条例》对金融机构信息安全作了原则性规定,要求金融机构建立健全并严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全。但《条例》未对金融机构的信息安全管理制度和措施进行细化,未明确金融机构安全管理、技术安全和业务操作等方面的要求,应逐步完善《条例》的配套制度和实施细则,促进《条例》的真正落实。
(二)进一步强化金融信息安全监测措施,打击信息泄露等违法犯罪活动。应从信息跨境流动、安全检查和评估等方面明确金融机构业务操作规范,加强金融信息安全监测。根据《征信业管理条例》,对于信息保护方面违规投诉较多的机构,人民银行各分支机构征信管理部门要加大现场检查、信访核查、实地走访等工作的力度,督促其及时整改问题,防止个人信息非法转让、传播等行为侵害消费者权益,对于问题较为严重的金融机构要给予严厉的经济处罚。打击金融信息泄露等违法犯罪方面,要加强与公安部门的联动,遏制外部犯罪行为。一旦发现侵犯个人信息和资金安全等的案件信息,应及时移交公安部门,严厉打击不法分子通过非正常渠道获取客户信息进行欺诈或盗取资金的犯罪行为。
(三)强化IT外包管理,搭建信息安全网络监测系统。各金融机构要把覆盖信息采集、处理、传输、维护的全流程管理纳入金融机构风险管理过程,从物理安全、网络安全等方面对信息安全进行规范,防止恶意窃取客户信息行为的发生。针对IT外包,金融机构要强化外包管理和对第三方公司的控制。应督促金融机构对外包公司的规模、技术水平、业务保障能力、保密等情况进行全面评估,建立明确的外包业务信息保密措施和监督要求,避免第三方公司的信息泄露。应建立定期的系统测试与维护制度,及时发现并消除IT系统安全漏洞。金融机构应建立相应的信息安全网络监测系统,在主业务系统中搭建数据安全防泄密系统,实施有效的信息安全控制,对网络信息风险要进行监测。
(四)强化金融系统内部信息安全内部控制。金融机构应重新审视包括安全管理制度、安全管理部门、人员安全管理、系统建设管理和系统运维管理等的内部安全管理规范,从岗位设置、人员配备、授权和审批、沟通与合作、审核和检查等方面对信息安全工作提出明确要求。在人员管控方面,金融机构要将管理客户信息的岗位视为重要岗位,对拟任职人员进行必要的考核和排查,并签订保密协议书;工作期间,任职人员接触或处理客户信息时要保证双人在岗、双人认证、双人签字。一旦任职人员出现不适宜情况,金融机构应尽快将其调离相关工作岗位。
相关文章
- 2条评论
- 森槿雾敛2022-06-09 16:53:23
- 。打击金融信息泄露等违法犯罪方面,要加强与公安部门的联动,遏制外部犯罪行为。一旦发现侵犯个人信息和资金安全等的案件信息,应及时移交公安部门,严厉打击不法分子通过非正常渠道获取客户信息进行欺诈或盗取资金的犯罪行为。 (三)
- 惑心俗野2022-06-09 11:11:43
- (一)进一步完善法规,维护信息主体的合法权益。《条例》对金融机构信息安全作了原则性规定,要求金融机构建立健全并严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全。但《条例》未对金融机构的信息安全管理制度和措施进行细化,未明确金融机构安全管理、技术安