銀保監(jiān)會(huì)近日下發(fā)通知���,要求各銀行保險(xiǎn)機(jī)構(gòu)就互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)安全問題展開自查��,并采取有效防范和應(yīng)對(duì)措施����,做好客戶信息保護(hù)工作。
監(jiān)管部門在行業(yè)摸底時(shí)發(fā)現(xiàn)����,仍有銀行保險(xiǎn)機(jī)構(gòu)的互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)存在安全漏洞。比如���,有個(gè)別機(jī)構(gòu)的系統(tǒng)在無需客戶授權(quán)登錄情況下��,輸入客戶身份證號(hào)即可查詢并顯示該客戶完整的銀行卡號(hào)和柜面預(yù)留手機(jī)號(hào)���,存在信息泄露的潛在風(fēng)險(xiǎn)��。
仍有機(jī)構(gòu)的軟件開發(fā)生命周期安全管控缺失�����。比如��,個(gè)別機(jī)構(gòu)的系統(tǒng)設(shè)計(jì)存在漏洞����,未嚴(yán)格控制敏感客戶信息的訪問權(quán)限�;個(gè)別機(jī)構(gòu)在系統(tǒng)上線前未開展網(wǎng)絡(luò)安全測(cè)試,系統(tǒng)“帶病上線”��。
個(gè)別銀行保險(xiǎn)機(jī)構(gòu)的風(fēng)險(xiǎn)監(jiān)測(cè)����、預(yù)警和處置機(jī)制不健全。比如����,有的機(jī)構(gòu)在系統(tǒng)上線后未有效開展安全評(píng)估,未及時(shí)發(fā)現(xiàn)和修補(bǔ)安全漏洞�����,風(fēng)險(xiǎn)監(jiān)測(cè)系統(tǒng)也未限制同一IP地址的查詢頻度和數(shù)量,難以在第一時(shí)間監(jiān)測(cè)到不法分子的大量非法查詢操作等�����。
監(jiān)管部門在此次機(jī)構(gòu)自查中提出了3點(diǎn)要求���。
一是提高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)���,嚴(yán)格落實(shí)網(wǎng)絡(luò)安全責(zé)任制�。各銀行保險(xiǎn)機(jī)構(gòu)要清醒認(rèn)識(shí)當(dāng)前嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)安全形勢(shì),董事會(huì)���、高管層要切實(shí)承擔(dān)起本機(jī)構(gòu)網(wǎng)絡(luò)安全治理的主體責(zé)任�����,持續(xù)完善網(wǎng)絡(luò)安全治理架構(gòu)�����。
二是全面排查互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)客戶敏感信息泄露風(fēng)險(xiǎn)隱患��,及時(shí)修補(bǔ)系統(tǒng)漏洞����。各銀行保險(xiǎn)機(jī)構(gòu)要組織力量對(duì)面向互聯(lián)網(wǎng)服務(wù)的業(yè)務(wù)信息系統(tǒng)(包括網(wǎng)站類、APP類��、微信公眾號(hào)類系統(tǒng))開展一次全面���、深入的風(fēng)險(xiǎn)排查��,對(duì)潛在的����、可能導(dǎo)致客戶敏感信息泄露的風(fēng)險(xiǎn)隱患�����,要堅(jiān)持以“零容忍”的態(tài)度��,盡快采取控制措施�,修補(bǔ)漏洞,確保不發(fā)生客戶敏感信息泄露事件�����。
三是建立客戶信息保護(hù)長(zhǎng)效機(jī)制。要健全開發(fā)安全管理體系��,制定并落實(shí)安全需求�����、設(shè)計(jì)���、編碼規(guī)范��,強(qiáng)化安全測(cè)試�����,所有互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)均要經(jīng)過嚴(yán)格評(píng)審和充分測(cè)試后方可投產(chǎn)運(yùn)行,堅(jiān)決杜絕“帶病上線���、帶病運(yùn)行”��。
通知要求����,要制定本機(jī)構(gòu)的客戶信息分類和分級(jí)標(biāo)準(zhǔn)�,落實(shí)不同等級(jí)信息的保護(hù)要求�����,分級(jí)分層設(shè)計(jì)數(shù)據(jù)接口��,針對(duì)存儲(chǔ)和處理敏感客戶信息的互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)�����,要嚴(yán)格實(shí)施訪問控制����,按照“最小必要”原則規(guī)范敏感客戶信息的網(wǎng)絡(luò)傳輸����、客戶端信息展示、數(shù)據(jù)共享等過程�,采取必要的加密、身份鑒別����、數(shù)據(jù)脫敏、屏蔽展示等措施����。要建立日常安全運(yùn)營(yíng)管理機(jī)制�����,加強(qiáng)對(duì)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的滲透測(cè)試��,及時(shí)發(fā)現(xiàn)和修補(bǔ)業(yè)務(wù)流程設(shè)計(jì)缺陷和系統(tǒng)安全漏洞���,確保互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)安全���。要加強(qiáng)客戶敏感信息風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警體系建設(shè)�����,強(qiáng)化風(fēng)險(xiǎn)識(shí)別和監(jiān)控�,通過異常行為監(jiān)測(cè)�、攻擊追蹤溯源等手段,準(zhǔn)確定位網(wǎng)絡(luò)攻擊威脅�����,為第一時(shí)間開展應(yīng)急處置�、采取風(fēng)險(xiǎn)防控措施贏得時(shí)間。(作者:黃蕾)
轉(zhuǎn)自:上海證券報(bào)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品���,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊�����,僅代表作者個(gè)人觀點(diǎn)��,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
