互联网金融网络与信息安全技术指引(试行)
第一条 【宗旨和依据】为防范互联网金融网络与信息安全风险,促进互联网金融健康发展,保障当事人合法权益,根据《关于促进互联网金融健康发展的指导意见》(银发〔2015〕221号)、《上海市人民政府印发关于促进本市互联网金融产业健康发展若干意见的通知》(沪府发〔2014〕47号)等规定,制定本指引。
第二条 【适用范围】本指引适用于从事互联网金融业务的传统金融机构与互联网企业(以下简称从业机构)。
第三条 【基本原则】网络与信息安全是从业机构持续稳定发展的重要基础,从业机构应按照“谁运营,谁负责”的原则建立网络与信息安全责任制,通过技术手段和管理机制,加强信息安全的保障,确保互联网金融业务的连续性和可靠性,保证客户信息的保密性和完整性。
第四条 【技术要求】从业机构应遵从国家、行业和地方相关管理规定和技术标准。互联网金融业务系统整体的技术安全防护能力应不低于《GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》中第二级技术要求。
第五条 【管理要求】从业机构宜根据《GB/T 22080-2008信息技术 安全技术 信息安全管理体系 要求》,结合自身的安全需求制定安全策略,建立信息安全管理体系,持续提升信息安全管理水平。
第六条 【风险评估】从业机构应定期开展针对互联网金融业务系统的风险评估工作,根据评估结果制定切实有效的安全策略,以消除、降低或转移高危安全风险。
第七条 【风险预警】从业机构应具备获得威胁预警与漏洞检测的能力。通过权威渠道获取与互联网金融业务系统相关的安全漏洞信息,并利用漏洞检测技术及时发现对系统影响较大的安全漏洞。
第八条 【风险监测】从业机构应具备在线监测与安全防护的能力。通过在线监测技术与安全防护技术获得实时不间断的网络监测信息,并发现新的威胁和弱点;当攻击者穿透防护系统时,能做出有效的响应和通报,修补已发现的安全漏洞,加强系统整体防护能力。
第九条 【业务连续性保障】从业机构应具备应急响应与系统恢复的能力。从业机构应当编制应急预案,落实应急响应队伍,当检测到入侵和攻击行为时,及时介入并阻断或转移攻击行为;若需要时,外部安全服务人员可直接支持或参与应急处置工作。互联网金融业务系统须具备数据级灾备系统,有条件的可建设应用级灾备系统。若系统遭到破坏,从业机构应在第一时间组织力量开展数据恢复和系统恢复工作。
第十条 【移动应用安全】互联网金融业务系统包含移动应用(APP)的,应对其安全性进行检测和评估,有条件的可对移动应用市场发布的移动应用(APP)的安全性进行跟踪与监测,一旦发现嵌入恶意代码的情况应立刻告知应用市场予以改正或下架;对外发布的移动应用(APP)应进行安全加固,防止APP应用被篡改、二次打包、反编译等情况发生。
第十一条 【个人信息保护要求】从业机构宜根据《GB/Z 28828-2012公共及商用服务信息系统个人信息保护指南》对互联网金融业务系统采集、处理、转移、使用的客户信息进行保护。
第十二条 【安全策略】从业机构应制定客户信息保护政策,建立客户信息管理制度,落实客户信息管理责任,加强客户信息安全管理,规范客户信息处理活动。
第十三条 【安全制度】从业机构应当建立健全内部控制制度,对易发生客户信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强客户信息管理的权限设置,形成相互监督、相互制约的管理机制,防止信息泄露或滥用事件的发生。
第十四条 【人员安全】从业机构应加强对从业人员的培训,强化从业人员客户信息安全意识,防止从业人员非法使用、泄露、出售客户信息。接触客户信息岗位的从业人员在上岗前,应当书面做出保密承诺。
第十五条 【技术保障】从业机构要完善信息安全技术防范措施,敏感信息应采取加密处理,确保客户信息在收集、传输、加工、保存、使用等环节中不被泄露。
第十六条 【事件处置】从业机构应对客户信息处理过程中可能出现的泄露、丢失、篡改、不当使用等事件制定预案,采取相应的预防和应对措施;发现客户信息遭到泄露、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的客户本人;发生重大事件时,及时向相关管理部门报告。
第十七条 【外包安全】从业机构的互联网金融业务系统运营和管理过程中如涉及第三方的,必须与第三方签订保密协议和服务保障协议,并明确责任,采取措施防止通过第三方泄露客户信息。
第十八条 【风险提示】从业机构应当向客户充分提示互联网金融业务的潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,并对高风险业务在操作前、操作中进行风险警示。
第十九条 【相关定义】本指引相关用语含义如下:
(一)互联网金融业务,是指从业机构利用互联网技术和信息通信技术实现资金融通、支付、投资和信息中介服务的新型金融业务模式。主要包括互联网支付、网络借贷、股权众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等。
(二)网络与信息安全,是指利用网络和信息安全技术及管理手段,实现信息的保密性、完整性和服务可用性,保证信息系统的安全、稳定运行。
(三)客户,是指接受互联网金融服务的自然人或组织。
(四)第三方,是指除互联网金融从业机构及其客户以外的其他方。
第二十条 【发布实施】本指引由上海金融信息行业协会负责解释,自发布之日起试行一年。
2016年3月15日
一级指标 (权重) | 二级指标 (权重) | 指标说明 | 评价数据来源 |
信息安全合规性(40%) | 技术要求(30%) | 互联网金融业务系统应通过信息安全等级保护二级(含)以上测评。 | 测评报告 |
管理要求(10%) | 建立自身的信息安全管理体系,并且获取相关信息安全管理体系认证证书。 | 证书; 管理制度文档目录 | |
信息安全动态保障(30%) | 风险评估(5%) | 针对互联网金融业务系统开展风险评估工作,提供风险评估报告,并对存在的风险制定风险控制措施,消除、降低或转移安全风险。 | 风险评估报告(可定制外部服务) |
风险预警(5%) | 通过权威渠道获取与互联网金融业务系统相关的安全漏洞信息,并利用漏洞检测技术及时发现对系统影响较大的安全漏洞。 | 漏洞信息订阅、扫描证据(可定制外部服务) | |
风险监测(5%) | 提供风险监控措施,包括系统可用性监控、系统安全性监控。 | 可用性、安全性监测的证据(可定制外部服务) | |
应急响应(5%) | 制定应急预案,出现安全事件时的应急处置流程和措施,依据应急预案执行应急演练操作;尤其是针对发现的高风险漏洞能够及时响应和修补。 | 应急预案、演练记录; 漏洞响应和修补保障(可定制外部服务) | |
数据备份与恢复(5%) | 定期备份数据,并且至少提供数据级异地备份。有条件的,可提供应用级灾备环境,发生故障可及时恢复数据和系统的运行。 | 备份恢复相关的设计及实施证明 | |
移动应用安全(5%) | 针对移动APP开展应用市场监控和自身安全检测和加固。 | 移动互联网应用市场跟踪监测的证明(可定制外部服务); 第三方移动APP安全检测报告 | |
客户信息安全及权益保护(30%) | 个人信息保护要求(5%) | 互联网金融业务系统采集、处理、转移、使用的客户信息的保护措施符合相关规范要求。 | 测评报告或认证证书 |
安全策略(3%) | 制定客户信息保护政策,建立客户信息管理制度,落实客户信息管理责任,加强客户信息安全管理,规范客户信息处理活动。 | 客户信息安全及权益保护相关的政策、制度、实施等方面的证据 | |
安全制度(2%) | 建立健全内部控制制度,对易发生客户信息泄露的环节进行充分排查,明确规定各部门、岗位和人员的管理责任,加强客户信息管理的权限设置,形成相互监督、相互制约的管理机制,防止信息泄露或滥用事件的发生。 | ||
人员安全(5%) | 加强对从业人员的培训,强化从业人员客户信息安全意识,防止从业人员非法使用、泄露、出售客户信息。接触客户信息岗位的从业人员在上岗前,应当书面作出保密承诺。 | ||
技术保障(5%) | 对客户的敏感信息,例如身份证、手机号等采取加密传输和保存,对数据导出行为进行严格控制。 | ||
事件处置(5%) | 对客户信息处理过程中可能出现的泄露、丢失、篡改、不当使用等事件制定预案,采取相应的预防和应对措施;发现客户信息遭到泄露、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的客户本人;发生重大事件时,及时向相关管理部门报告。 | ||
外包安全(3%) | 必须与第三方签订保密协议和服务保障协议,并明确责任,采取措施防止通过第三方泄露客户信息。 | ||
风险提示(2%) | 向客户充分提示互联网金融业务的潜在风险,及时揭示不法分子新型作案手段,对客户进行必要的安全教育,并对高风险业务在操作前、操作中进行风险警示。 |