新闻详情

News

征信信息安全管理规定修改,信息安全管理体系筑牢金融安全防线
行业动态
2024-08-05

近日,中国人民银行正式公布了《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告(征求意见稿)》(以下简称《征求意见稿》)。这一重磅举措标志着央行在征信信息安全领域的又一次重大改革,旨在通过全面重塑与升级征信系统,为金融市场的健康发展提供更为坚实的保障。

在数字经济高速发展的今天,征信系统作为衡量个人和企业信用状况的重要工具,其重要性不言而喻。它不仅关乎金融市场的稳定,更直接影响到每一个公民的日常生活。然而,随着数据量的激增和技术的飞速发展,征信信息安全问题也日益凸显,成为亟待解决的重要课题。

一、征信系统是信息时代的“信用基石”

此次《征求意见稿》的发布,正是央行对征信信息安全问题作出的积极回应。通过修改部分监管措施、征信合规与信息安全年度考核评级制度、征信信息安全巡查制度等关键条款,央行旨在构建起一套更加严密、高效的信息安全管理体系。具体而言,修改内容涵盖以下几个方面:

1. 强化查询管理:在征信信息查询环节,明确提出“采用人工查询的,要实现查询、审核等环节的分离,坚决杜绝‘一手清’操作;采用自动触发查询的,要严格设置规则、专人管理”。这一规定从源头上切断了信息泄露的风险,确保了查询过程的透明与公正。

2. 高敏感数据全流程管理:对于查得的原始PDF文件数据、包含原始返回XML消息体全部要素的记录数据,接入机构需按高敏感性数据进行全流程安全管理。这一举措无疑为征信信息的安全加上了又一道“保险锁”。

3. 建立监管走访机制:央行及其分支机构将围绕政策措施的贯彻落实情况,针对接入机构逐级建立征信信息安全监管走访机制。这一机制的建立,有助于及时发现并纠正问题,确保各项安全措施得到有效执行。

二、金融信息安全面临多重内外部压力

征信体系作为现代金融体系的重要组成部分,其健康运行直接关系到金融市场的整体稳定。而征信信息系统的完善与升级,则是保障这一体系高效运作的关键。从征信信息安全的角度出发,这一领域的每一次进步,都是对金融行业信息安全防线的一次加固,为金融市场的持续健康发展提供了更为坚实的支撑。从征信信息安全出发,我们更应意识到整个金融领域信息安全的重要性。金融行业作为国民经济的血脉,其信息安全直接关系到国家经济安全和社会稳定。因此,加强金融信息安全,不仅是金融机构自身的责任,也是全社会共同的责任。当前,金融信息安全面临着来自内外部的多重压力。

外部挑战

信息网络安全形势严峻

金融行业面临网络攻击手段层出不穷,高级持续性威胁(APT)、勒索软件、供应链攻击等对关键信息基础设施构成严重威胁。一旦发生重大安全事故,可能造成生产中断、数据泄露、社会秩序混乱等严重后果。

监管要求不断提高

随着《网络安全法》、《数据安全法》等法律法规的出台及实施,金融行业也出台了一系列《关于银行业保险业数字化转型的指导意见》《中国银保监会监管数据安全管理办法》《保险中介机构信息化工作监管办法》,监管机构对金融行业的信息安全、数据保护、合规运营等要求日益严格。

新技术快速应用与发展

云计算、大数据、人工智能、物联网等新技术的广泛应用,虽然带来了生产力提升与服务创新,但也给金融行业带来了新的安全风险与管理难题。

内部挑战

科技期望值高

随着数字化转型的推进,金融行业对信息技术寄予厚望,期望其能在提升效率、优化服务、创新业态等方面发挥关键作用,对科技应用的期望值显著提升。

信息技术人才短缺、建设经费有限

尽管科技投入增长,但专业信息技术人才的供给仍显不足,无法满足金融行业对高素质IT团队的需求。

规划能力、自主研发能力、测试能力薄弱

金融行业可能存在信息化战略规划不清晰、缺乏长远布局的问题,导致项目实施缺乏方向。自主研发能力不足可能导致关键技术受制于人,对外部技术支持过度依赖。

三、信息安全管理体系是安全防线关键

在此背景下,建立健全的信息安全管理体系(ISMS)成为了金融行业抵御风险、构建安全防线的关键所在。一个有效的ISMS不仅能够保障业务的连续性和资产的安全,还能提升金融机构的社会责任形象,增强公众信任。

ISMS是一种结构化、系统化的管理方法,它以风险管理为核心,旨在通过以下途径构建坚实的安全防线,保护其信息资产:

01确立统一的信息安全策略

明确组织信息安全目标、责任分配、合规承诺等基本原则,为全员提供清晰的行为导向。

02实施风险驱动的安全管理

定期进行风险评估,识别关键信息资产、潜在威胁、脆弱点及风险承受度,确保资源优先投入到最高风险区域的防护中。

03设计并实施全面的安全控制措施

覆盖物理安全、网络安全、访问控制、身份认证、数据加密、备份与恢复、应急响应、供应商管理等各个层面,形成多维度、纵深防御体系。

04推动全员参与与能力建设

通过定期培训、安全意识教育等手段,提高全体员工对信息安全的认识与应对能力,减少因人为因素引发的安全事件。

05建立监督、审核与持续改进机制

执行内部审计、管理评审、第三方认证等流程,确保ISMS的有效运行、合规性及适应性,不断优化安全控制措施以应对新的威胁与业务变化。

四、评价是推动信息安全管理体系有效性的驱动力

随着金融行业对网络安全管理的不断完善以及信息安全管理体系(ISMS)的建立,如何有效管理这一体系,确保其与战略目标和运营需求保持一致,成为组织面临的重要挑战。对ISMS的监视、测量、分析和评价可以为组织提供实时风险管理、合规性保障、业务连续性维护以及决策支持,是金融行业持续提升信息安全性能和增强客户信任的关键。

作为ISMS系列的核心标准之一,GB/T 31497-2024《信息技术 安全技术 信息安全管理 监视、测量、分析和评价》为各类组织提供了一套科学、系统的方法论,规定了信息安全绩效的监视和测量、信息安全管理体系(包括其过程和控制)有效性的监视和测量以及监视和测量结果的分析和评价,旨在帮助组织评价信息安全绩效和信息安全管理体系的有效性,为我国关键信息基础设施行业乃至全社会的信息安全管理提供强有力的标准支撑。

道普信息深度参编此标准,并曾获ISO 27001信息安全管理体系认证,证明其在信息安全管理领域的专业能力和权威资质得到了国际标准的认可,意味着道普信息具备了满足客户多样化需求和期望的能力,通过指导客户构建合规、标准化的ISMS,并进行体系有效性评估,完善ISMS体系,助力金融行业通过ISO27001认证。

《征求意见稿》的发布,不仅是对现有征信信息安全管理体系的完善与升级,更是对新时代征信体系全面重塑与发展的重要推动。它提醒我们,在享受数字经济带来的便利与机遇的同时,必须时刻绷紧信息安全这根弦,以更加严谨的态度、更加有力的措施,共筑金融安全防线。同时,我们也应看到,评价作为推动信息安全管理体系有效性的关键力量,将在未来的发展中发挥更加重要的作用。让我们携手并进,共绘金融安全与数字经济发展的美好蓝图!