为进一步加强银行保险机构信息科技外包风险监管,促进银行保险机构提升信息科技外包风险管控能力,银保监会制定了《银行保险机构信息科技外包风险监管办法》(以下简称《办法》)并于2021年底正式发布实施。《办法》中的五个章节中反复提到金融机构敏感信息保护,共涉及七个条款,具体如下:
1.《办法》第一章总则第五条,银行保险机构在实施信息科技外包时应当坚持以下原则中,明确了“保障网络和信息安全,加强重要数据和个人信息保护”的原则;
2. 《办法》第二章信息科技外包治理第十三条,银行保险机构应对信息科技外包活动及相关服务提供商进行分级管理,对“涉及集中存储或处理银行保险机构重要数据和客户个人敏感信息的外包”列为重要外包;
3. 《办法》第三章信息科技外包准入第十八条,对于符合重要外包条件的非驻场外包,应当进一步重点调查“服务提供商是否有管理制度和技术措施保障银行保险机构数据的完整性和保密性”;“服务提供商是否拥有或可能拥有业务系统的最高管理权限或访问权限,是否能够浏览、获取重要数据或客户个人敏感信息”;
4. 《办法》第三章信息科技外包准入第二十一条,银行保险机构在信息科技外包合同或协议中应当明确“安全保密和消费者权益保护约定,包括但不限于:禁止服务提供商在合同允许范围外使用或者披露银行保险机构的信息,服务提供商不得将银行保险机构数据以任何形式转移、挪用或谋取外包合同约定以外的利益”;
5. 《办法》第五章信息科技外包风险管理第三十条,银行保险机构应建立并持续完善风险管理制度和流程,充分识别并评估信息科技外包可能产生的风险,包括但不限于“数据泄露、丢失和篡改。因服务提供商的不当行为或其服务的信息系统遭受网络攻击,导致银行保险机构重要数据或客户个人信息泄露、丢失和篡改”;
6. 《办法》第五章信息科技外包风险管理第三十二条,银行保险机构应当制定和落实网络和信息安全管理措施,包括但不限于“对客户信息、源代码和文档等敏感信息采取严格管控措施,对敏感信息泄露风险进行持续监测”;
7. 《办法》第六章监督管理第三十八条,银行保险机构信息科技外包活动中发生“银行保险机构重要数据或客户个人信息泄露”风险事件时,应当按照相关突发事件监管报告要求,向银保监会或其派出机构报告;
基于当前中国金融机构面临的数据安全风险,监管机构对“敏感信息泄露”风险十分重视并出台了相关管理要求,为金融机构提出了具体的行动方向,如:在《办法》第四章信息科技外包监控评价第二十三条中,明确要求“银行保险机构应当对外包服务过程进行持续监控,及时发现和纠正服务过程中存在的各类异常情况”;以及,第五章信息科技外包风险管理第三十二条,银行保险机构应当制定和落实网络和信息安全管理措施,“对敏感信息泄露风险进行持续监测”。
“金融机构需要采取具体举措来防范针对外包(供应链)安全带来的敏感信息泄露;一旦发生泄露事件,要能够及时发现并采取有效措施以减少损失。”盛邦安全金融行业负责人谈到。
互联网敏感信息监测系统(RaySIN)是盛邦安全针对该类问题而设计开发的平台,能够对泄露或暴露在互联网侧的网络资产、社会资产、社工情报等信息进行排查和提前防范,降低攻击面风险。它通过自动化的方式,融合盛邦安全多年攻防渗透经验,模拟黑客在搜索引擎、文库、代码托管、第三方共享平台等渠道进行信息搜集的方式,获取用户单位泄露在互联网侧的组织结构、技术方案、员工通讯录、用户名密码、系统源码、网络资产等容易被攻击者作为突破口的敏感信息;同时将搜集到的敏感信息利用大数据手段进行关联分析,帮助用户彻底摸底敏感信息暴露情况,发现未知资产,排查敏感信息泄露,减小威胁暴露面。
RaySIN能够帮助金融行业用户根据自身业务特征,及时发现敏感信息泄露风险、缩小安全暴露面,并采取有效处置措施,有效降低合规风险以及资金与声誉损失。
领取专属 10元无门槛券
私享最新 技术干货