News
11月21日,《金融保险网络安全合规技术白皮书》(以下简称《白皮书》)在2022金融街论坛上正式发布。《白皮书》从《网络安全法》中要求的安全合规角度探讨金融行业的安全发展趋势,就金融行业网络安全合规下如何开展安全工作进行了深入的讨论和研究。
进入数字化时代,网络高级可持续威胁攻击更为频繁,金融行业一直是网络攻击者的重点目标,随着企业的数字化转型和业务场景云化,都给金融企业网络安全带来了全新的挑战。除此之外,网络攻击利益化,技术智能化,手段自动化,在利益的驱动下,使得网络攻击目标更精准,攻击者更趋于针对“高价值”的金融行业。
随着《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规的发布,金融行业本身的属性也需要把中央监管部门的要求落到实处。本次发布的《白皮书》则是在网络安全法和网络安全等级保护制度框架下讨论金融保险企业面临的安全合规问题和实施实践,对于金融行业安全合规实施方法也有着重要的参考意义。
《白皮书》主要有三方面的内容,一是保险行业网络安全概述。二是网络安全等级保护概述。三是如何实施等级保护主体措施和方法及其建议。
《白皮书》明确了网络安全等级保护的基本概念。网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管、对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,也是国家网络安全工作的基本制度,更是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。金融行业由于其具有高资产和大量个人信息和敏感数据的特点,也是网络安全等级保护制度和关键信息基础设施安全保护条例实施的重点行业之一。
除了《网络安全法》的要求,银保监会针对保险行业也发布了一系列网络安全相关监管文件,包括《关于开展保险业信息系统安全等级保护定级工作的通知》、《金融行业网络安全等级保护实施指引》、《金融行业网络安全等级保护测评指南》等文件,共同构成了我国金融保险行业完善的网络安全监管体系。本次《白皮书》指出,网络安全等级保护工作的五个环节分别是定级、备案、建设整改、等级测评和监督检查。
定级
信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。《信息系统安全等级保护定级指南》中有相关说明,测评等级一共是分为五个等级,这五个等级是根据等级保护对象在受到破坏时侵害的客体以及对客体造成侵害程度进行区分的。
备案
根据要求第二级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。
建设整改
信息系统安全保护等级确定后,运营使用单位按照管理规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实安全管理制度。
等级测评
信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。测评完成之后根据发现的安全问题及时进行整改,特别是高危风险。测评的结论分为:不符合、基本符合、符合。
监督检查
公安机关依据信息安全等级保护管理规范及《网络安全法》相关条款,监督检查运营使用单位开展等级保护工作,定期对信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
金融企业通过开展网络安全等级保护工作,首先可以满足国家、行业、主管单位法律政策的要求,在安全合规的基础上,企业可以降低网络安全风险,提升网络系统的安全防护能力,有效保障了金融企业重要系统的网络安全。
金融企业实施等级保护工作中,建设整改核心内容,需要专业的第三方服务对金融企业系统进行评估,判断网络安全现状,根据网络系统当前情况和安全需求等,设计合理的、满足等级保护要求的总体安全方案,并制定出安全实施计划。
道普信息技术有限公司作为国内具备等保、关保、分保、软测、密评(三保一测一评)综合能力的机构,提出“信息化风险全面第三方保障”理念,在网络安全等级保护测评方面拥有丰富的经验,从技术和管理两个维度,安全物理环境、安全区域边界等十个层面开展评估,发现网络存在的问题、排查网络的安全隐患和薄弱环节、明确网络安全建设整改需求,并且出具第三方权威安全等级测评报告。
在网络安全重要性不断提升的今天,《白皮书》的发布为金融保险行业的网络安全合规提供了指引。作为信息化第三方保障服务的机构,道普信息将基于当前网络安全产业发展成果,充分借助公司在平台、产业、技术上的优势,加大研发投入,提高网络安全服务能力,为金融行业网络安全发展注入活力,全面保障国家网络安全。
热点新闻
-
2024-04-10
-
2024-04-01
-
2024-03-15
-
2024-03-07
-
2024-03-04
-
2024-03-01
