金融數(shù)據(jù)安全:何去何從?
責(zé)編:admin |2014-08-19 16:07:56當(dāng)前,依托先進(jìn)的計算機(jī)和互聯(lián)網(wǎng)技術(shù),金融機(jī)構(gòu)采集海量的個人和企業(yè)信息,如信貸信息、信用交易信息、公共事業(yè)繳費信息、經(jīng)營與決策信息、行政處罰信息等,建立起規(guī)模龐大的信息系統(tǒng),涉及信息主體社會經(jīng)濟(jì)生活的方方面面。而與之相對應(yīng)的是尚未建立起相應(yīng)的信息安全網(wǎng)絡(luò)監(jiān)測系統(tǒng),從金融機(jī)構(gòu)內(nèi)部來看,基于信息傳遞和共享的高效便捷考慮,金融機(jī)構(gòu)的業(yè)務(wù)系統(tǒng)主要是實現(xiàn)了信息的快速傳遞、及時共享等目標(biāo),而對于信息安全保密控制等缺乏相應(yīng)制約。對于保障金融信息的安全防范工作,當(dāng)前金融監(jiān)督管理部門仍通過現(xiàn)場和非現(xiàn)場的檢查和監(jiān)測等手段,無法實現(xiàn)實時監(jiān)測。加強(qiáng)金融信息系統(tǒng)數(shù)據(jù)安全應(yīng)采取以下措施:
進(jìn)一步完善法規(guī),維護(hù)信息主體的合法權(quán)益
《條例》對金融機(jī)構(gòu)信息安全作了原則性規(guī)定,要求金融機(jī)構(gòu)建立健全并嚴(yán)格執(zhí)行保障信息安全的規(guī)章制度,并采取有效技術(shù)措施保障信息安全。但《條例》未對金融機(jī)構(gòu)的信息安全管理制度和措施進(jìn)行細(xì)化,未明確金融機(jī)構(gòu)安全管理、技術(shù)安全和業(yè)務(wù)操作等方面的要求,應(yīng)逐步完善《條例》的配套制度和實施細(xì)則,促進(jìn)《條例》的真正落實。
進(jìn)一步強(qiáng)化金融信息安全監(jiān)測措施,打擊信息泄露等違法犯罪活動
應(yīng)從信息跨境流動、安全檢查和評估等方面明確金融機(jī)構(gòu)業(yè)務(wù)操作規(guī)范,加強(qiáng)金融信息安全監(jiān)測。根據(jù)《征信業(yè)管理條例》,對于信息保護(hù)方面違規(guī)投訴較多的機(jī)構(gòu),人民銀行各分支機(jī)構(gòu)征信管理部門要加大現(xiàn)場檢查、信訪核查、實地走訪等工作的力度,督促其及時整改問題,防止個人信息非法轉(zhuǎn)讓、傳播等行為侵害消費者權(quán)益,對于問題較為嚴(yán)重的金融機(jī)構(gòu)要給予嚴(yán)厲的經(jīng)濟(jì)處罰。打擊金融信息泄露等違法犯罪方面,要加強(qiáng)與公安部門的聯(lián)動,遏制外部犯罪行為。一旦發(fā)現(xiàn)侵犯個人信息和資金安全等的案件信息,應(yīng)及時移交公安部門,嚴(yán)厲打擊不法分子通過非正常渠道獲取客戶信息進(jìn)行欺詐或盜取資金的犯罪行為。
強(qiáng)化IT外包管理,搭建信息安全網(wǎng)絡(luò)監(jiān)測系統(tǒng)
各金融機(jī)構(gòu)要把覆蓋信息采集、處理、傳輸、維護(hù)的全流程管理納入金融機(jī)構(gòu)風(fēng)險管理過程,從物理安全、網(wǎng)絡(luò)安全等方面對信息安全進(jìn)行規(guī)范,防止惡意竊取客戶信息行為的發(fā)生。針對IT外包,金融機(jī)構(gòu)要強(qiáng)化外包管理和對第三方公司的控制。應(yīng)督促金融機(jī)構(gòu)對外包公司的規(guī)模、技術(shù)水平、業(yè)務(wù)保障能力、保密等情況進(jìn)行全面評估,建立明確的外包業(yè)務(wù)信息保密措施和監(jiān)督要求,避免第三方公司的信息泄露。應(yīng)建立定期的系統(tǒng)測試與維護(hù)制度,及時發(fā)現(xiàn)并消除IT系統(tǒng)安全漏洞。金融機(jī)構(gòu)應(yīng)建立相應(yīng)的信息安全網(wǎng)絡(luò)監(jiān)測系統(tǒng),在主業(yè)務(wù)系統(tǒng)中搭建數(shù)據(jù)安全防泄密系統(tǒng),實施有效的信息安全控制,對網(wǎng)絡(luò)信息風(fēng)險要進(jìn)行監(jiān)測。
強(qiáng)化金融系統(tǒng)內(nèi)部信息安全內(nèi)部控制
金融機(jī)構(gòu)應(yīng)重新審視包括安全管理制度、安全管理部門、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等的內(nèi)部安全管理規(guī)范,從崗位設(shè)置、人員配備、授權(quán)和審批、溝通與合作、審核和檢查等方面對信息安全工作提出明確要求。在人員管控方面,金融機(jī)構(gòu)要將管理客戶信息的崗位視為重要崗位,對擬任職人員進(jìn)行必要的考核和排查,并簽訂保密協(xié)議書;工作期間,任職人員接觸或處理客戶信息時要保證雙人在崗、雙人認(rèn)證、雙人簽字。一旦任職人員出現(xiàn)不適宜情況,金融機(jī)構(gòu)應(yīng)盡快將其調(diào)離相關(guān)工作崗位。
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!