前言
在金融行业中,网络安全问题非常普遍,如恶意攻击、病毒感染、数据泄露等。这些问题可能会导致金融机构的信息系统瘫痪,造成巨大的经济损失,甚至影响国家金融稳定。因此,金融机构应该高度重视网络安全问题,采取有效的安全措施,保障信息系统的安全和稳定。
等保测评是保障金融行业网络安全的重要措施之一。金融机构应该定期进行等保测评,及时发现和解决信息系统存在的安全问题和漏洞,确保信息系统的安全和可靠。
金融行业为什么必须做等保?
1.法律法规要求:根据我国《网络安全法》,金融机构需要进行网络安全等级保护测评,以保障金融信息安全和金融系统的稳定运行。等保测评是落实法律法规的重要举措。
2.信息安全风险管理:金融企业处理大量的敏感客户信息和财务数据,涉及资金交易、财务结算等重要业务,因此需要进行等级保护测评来评估和管理信息安全风险,确保信息不被非法获取、篡改或滥用。
3.客户信任和声誉保护:金融企业的客户对其信息安全和数据保护非常关注。通过进行等保测评,金融企业能够证明自身具备一定的信息安全能力和措施,提升客户对企业的信任度,保护企业的声誉。
4.企业竞争力提升:信息安全已成为企业竞争的重要因素之一。通过进行等保测评,金融企业能够识别和解决潜在的安全风险,提升自身的信息安全能力,从而增强企业的竞争力。
5.合规与监管要求:金融行业受到严格的监管,需要遵守相关的合规要求。等保测评可以帮助金融企业满足监管机构对信息安全的要求,降低违规风险。
不做等保可能面临监管处罚
根据《网络安全法》第五十九条:网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
图片
与金融行业相关的等保法规
图片
金融行业等保标准于2012年7月10日正式发布。为更好地推动并指导银行业金融机构使用金融行业等保标准,落实国家等级保护政策要求,人民银行于2012年7月19日发布《中国人民银行关于进一步推进银行业信息安全等级保护工作的通知》
要求各银行业金融机构尽快开展等级保护定级、备案工作,并按照金融行业等保标准以及国家相关标准开展等级保护测评和整改工作。
2020年11月,中国人民银行正式发布并实施《金融行业网络安全等级保护测评指南》(JRT 0072-2020)和《金融行业网络安全等级保护实施指引》(JRT 0071-2020)
规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全测评扩展要求,适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。
除了以上中国人民银行发布的通知、法规,保险、征信、网络借贷等行业也出台相应的法律法规。
金融行业其他法律法规
2012年《金融行业信息系统信息安全等级保护实施指引》(JR/T 0071-2012)
2012年《金融行业信息系统信息安全等级保护测评指南》(JR/T 0072-2012)
2012年《金融行业信息安全等级保护测评服务安全指引》(JR/T 0073-2012)
2012年《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163号)
2011年《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060-2010)
2007年《关于做好证券业重要信息系统安全等级保护定级工作的通知》(中证协发字[2007]117号)
保险、征信、网络借贷行业法律法规
2019年《互联网保险业务监管办法(征求意见稿)》
2018年中国银保监会印发《中国银保监会关于继续加强互联网保险监管有关事项的通知》
2015年中国保监会关于印发《互联网保险业务监管暂行办法》的通知保监发〔2015〕69号
2007年《关于开展保险业信息系统安全等级保护定级工作的通知》(保监厅发〔2007〕45号)
2014年《征信机构信息安全规范》(JR/T 0117-2014)
2013年《征信机构管理办法》
2016年《网络借贷信息中介机构业务活动管理暂行办法》
金融企业如何开展等保工作
金融行业的等保标准是一个全方位的系统安全性标准,它涵盖了物理安全、应用安全、通信安全、边界安全、环境安全和管理安全等多个方面。通过实施等保测评,金融机构可以确保其信息系统符合国家安全要求,保障金融信息安全和金融系统的稳定运行。以下是关于金融企业等保测评全流程介绍。
1.网站系统定级
根据等级保护相关管理文件,等级保护对象的安全保护等级一共分五个级别,从一到五级别逐渐升高。
等级保护对象的级别由两个定级要素决定:①受侵害的客体;②对客体的侵害程度。对于关键信息基础设施,“定级原则上不低于三级”,且第三级及以上信息系统每年或每半年就要进行一次测评。
定级流程:确定定级对象→初步确定等级→专家评审→主管部门审批→公安机构备案审查→最终确定的级别。
2.网站系统备案
①《信息安全等级保护管理办法》第十五条已运营(运行)或新建的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
②隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办备案手续。
③跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。企业最终确定网站的级别以后,就可以到公安机关进行备案。
备案所需材料主要是《信息安全等级保护备案表》,不同级别的信息系统需要的备案材料有所差异。如第三级信息系统需提供以下材料:
(等保测评备案材料的通用要求)
3.网站系统安全建设(整改)
等级保护整改是等保建设的其中一个环节,指按照等级保护建设要求,对信息和信息系统进行的网络安全升级,整改的最终目的就是为了提高企业信息系统的安全防护能力,让企业可以成功通过等级测评。
通用的整改主要分为管理整改和技术整改。管理整改主要包括:明确主管领导和责任部门,落实安全岗位和人员,对安全管理现状进行分析,确定安全管理策略,制定安全管理制度等。其中,安全管理策略和制度又包括人员安全管理事件处置、应急响应、日常运行维护设备、介质管理安全监测等。技术整改主要是指企业部署和购买能够满足等保要求的产品,比如网页防篡改、流量监测、网络入侵监测产品等。
等级保护整改没有什么资质要求,只要公司可以按照等级保护要求来进行相关网络安全建设,由谁来实施,是没有要求的。但由于目前企业网络安全人才紧缺,企业很多时候都需要寻找专业的网络安全服务公司来进行整改。北京熠时代面向政府、企事业单位提供专业的等保整改服务,联合CNCERT专家级技术团队,从双层面排查风险,协助企业进行高效整改。
4.网站系统等级测评
等级测评指经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
根据规定,对信息系统安全等级保护状况进行的测试应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
5.监督检查
企业要接受公安机关不定期的监督和检查,对公安机关提出的问题予以改进。
(信息系统安全等级保护备案证明)
金融行业需尽快推进等保工作
随着金融行业在现代经济中的核心地位日益凸显,以及当前复杂多变的网络安全形势和不断强化的监管要求,尽快推进金融行业的等保测评工作显得尤为紧迫和关键。这不仅是因为金融行业本身的特殊性和重要性所决定,还由于严峻的网络安全挑战和满足监管与行业发展的迫切需求,具体表现如下。
一、金融行业的特殊性与重要性
金融行业掌控着大量的资金和关键信息,是国家经济的核心领域。其业务的连续性和数据的安全性至关重要。一旦发生网络安全事件,可能导致资金被盗取或转移,引发金融市场动荡,严重影响经济稳定和社会秩序。快速推进等保测评可以提前发现和解决潜在安全隐患,构建坚实的安全防线,保障金融体系的稳健运行。
二、网络安全形势严峻
如今,网络攻击手段不断翻新且日益复杂,针对金融行业的攻击事件频发。黑客组织、不法分子等瞄准金融机构,试图窃取巨额财富或破坏金融秩序。等保测评工作可以促使金融机构及时更新安全策略、强化技术防护措施,提升应对各种网络攻击的能力。如果不尽快推进,金融行业可能成为网络攻击的“重灾区”,面临巨大的损失和声誉损害。
三、满足监管要求与行业发展需求
监管部门对金融行业的网络安全有着明确且严格的要求,等保测评是满足这些监管规定的重要手段。同时,金融行业的快速发展和数字化转型带来了新的安全挑战,如云计算、大数据、移动支付等领域。尽快推进等保测评能够适应这些变化,保障金融创新在安全的轨道上进行,提升整个行业的竞争力和可持续发展能力。
图片
