新闻快讯
< >

深度解读:《网络安全法》对金融行业的合规性引导(上)

深度解读:《网络安全法》对金融行业的合规性引导(上)-E安全

1.   解读背景

从1994年国务院颁布第一个网络信息系统的安全法规《计算机信息系统安全保护条例》开始,国务院、各部委等后续出台了几十部针对专门行业、领域的信息安全法规,但始终没有一部网络安全方面的基础法律。随着各国围绕互联网关键资源和网络空间国际规则的角逐更加激烈的大背景下,终于在第十二届全国人大常委会第二十四次会议中以154票赞成、1票弃权,表决通过了《网络安全法》,并将于2017年6月1日起正式施行。《网络安全法》首次将网络安全工作提高到法律高度,明确了网络空间主权原则,体现了网络安全作为国家战略的决策,也为相关工作提供了法治基础。

针对关系到国计民生并且对公民信息依赖性极强的金融行业,近年来是网络攻击的重灾区,尤其信息泄漏、黑客攻击呈高发态势,如影响全球金融业的“SWIFT惊天银行大劫案”、震惊全国的银行行长出售征信查询账号导致大量个人信息泄漏的“5·26侵犯公民个人信息案”等等,而《网络安全法》的颁布,将金融正式被列入重点行业及领域,实行重点保护,并且依托《网络安全法》明确了金融机构做好自身网络安全工作的义务和责任。本文从《网络安全法》总则至附则七个章节的重点条款对金融行业合规引导解读。

 

2.   解读内容

“第二十一条  国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”

解读:金融行业重要的信息系统,是国家信息安全重点保护对象,因此金融行业是落实和实施信息安全等级保护的重点行业之一。而随着云计算、大数据、移动互联网、物联网等这些新兴IT技术的发展与落地,传统信息安全的边界越来越模糊,新的攻击形态层出不穷,安全威胁呈现复杂常态化趋势,等级保护制度也将进入2.0时代,由公安部信息安全等级保护评估中心主导起草的《云计算信息安全等级保护基本要求》、《云计算信息安全等级保护安全设计技术要求》、《云计算信息安全等级保护测评要求》(简称:云等保标准)即将颁布执行,作为金融机构信息化管理者需要更加关注云等保标准和现实行的等级保护标准的差异性,以云等保标准实现自身网络、系统安全保护的义务。

 “第二十三条  网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。”

解读:金融行业信息安全建设处于其他行业前列,而由于前期国内信息安全技术相对落后,大量金融机构采购的网络关键设备为国外品牌,并且产品未获得如公安部公共信息网络安全监察局检测并颁发的计算机信息系统安全专用产品销售许可证、中国信息安全认证中心检测并颁发的中国国家信息安全产品认证证书等。因此建议金融机构在今后的采购中应该重视和严格审核所采购的信息安全产品/服务的资质要求。

“第三十七条  关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”

解读:间接性要求金融行业机构在境内运营中收集和产生的个人信息和重要数据应当在境内存储,即境外数据云存储、境外托管都被禁止。因涉外业务需要出境的数据,其收集、存储、处理、销毁不能违反我国的法律法规。

“第三十八条  关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”

“第三十四条 设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;”

解读:金融行业对信息系统依赖程度的日益增强,在各信息系统中的服务器、网络设备、安全设备的不断增加,服务外包人员也随之增多,加大了企业内控审计的难度。金融行业主管单位需建立更完善、标准的安全管理制度、审核监控制度,加大对第三方网络安全服务机构背景审查力度,建议形成行业内网络安全服务机构推荐列表。金融机构应建立安全管理关键岗位的人员安全背景审查机制,形成体系化人员审查及储备制度。

“第四十二条  网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”

解读:金融行业是个人数据的集中营,加强金融行业数据风险管理,保障数据安全、可靠、稳定运行,是行业一个老生常谈的话题。而近年来,随着高级持续性威胁攻击对金融行业的日益增多,新常态下仅仅依靠传统安全防护设备已经不能满足对收集到的个人信息相关系统及网络的安全要求,专业化、系统化、智能化等越来越显得尤为关键;解决“安全防御孤岛”,对网络威胁的行为通过大数据分析、行为建模分析等方式,直观的给安全人员展示出整个动态攻击过程,帮助安全人员及时有效的去预警、防范、处置及溯源内外部的威胁是行业需要重点关注的内容。

“第五十一条  国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。”

解读:金融行业主管单位因在深入分析与研究常见安全漏洞以及流行的攻击技术基础上,结合管辖单位之间的通报预警流程机制,利用技术手段对行业内、辖区内重要门户网站、网上重要信息系统进行全面的漏洞、可用性、篡改、敏感词等监测数据进行态势分析。对爆发的网络安全事件、漏洞等威胁情报进行定向性通报预警。从总体上把握行业网络的安全态势,实时感知被监测对象的威胁状况。