银监办发【2017】2号《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》的解读。
2016年11月7日发布、2017年6月1日起施行的《中华人民共和国网络安全法》第四章第四十条指出,“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”。
【导读】
当前,随着社会信息化快速发展,非法买卖银行卡、侵犯公民个人信息和电信诈骗犯罪持续增多。近年,人民银行、工信部、公安部、网信办等部门加大了对此类犯罪的打击力度。据公安部数据,2016年侦破此类案件1800余起,抓获犯罪嫌疑人4200余人,查获各类公民个人信息300余亿条;其中,抓获涉及40余个行业和部门的内部人员390余人、黑客近百人。
2016年9月12日,中国人民银行联合工业和信息化部、公安部、工商总局、银监会、国家互联网信息办公室等五部门印发了《关于开展联合整治非法买卖银行卡信息专项行动的通知》(银发〔2016〕235号,以下简称《235号文》)。中国银监会为落实《235号文》相关要求,进一步加强管理,保护银行业客户信息安全,防止信息泄露和盗用,从源头上打击防范电信网络新型违法犯罪,发布了《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》(银监办发[2017]2号,以下简称《2号文》)。
【政策解读】
《2号文》共四分为个部分,分别为:
一、强化工作机制,做好内部防控;
二、完善技术手段,提高安全水平;
三、优化服务流程,加大宣传力度;
四、近期有关工作安排。
第一部分,主要强调了银行业务管理工作和信息科技二、三道防线在客户信息安全保护方面需要做的工作。银行信息科技部门需要重点关注以下内容:
原文:银行业金融机构应将客户信息保护纳入全面风险管理体系,建立健全客户信息保护制度、机制、流程,构建覆盖客户信息全生命周期的保护体系。要指定部门牵头管理客户信息保护工作,明确信息归属、使用等各相关部门职责,建立、落实客户信息保护责任制。要加强银行卡相关业务制度的制订、执行、日常检查和持续改进,及时调整制度、流程、风险控制措施,切实维护银行卡持卡人的个人信息安全。
解读:银行业金融机构的风险管理体系中一般已经包括了客户信息保护的内容,此处是需要各银行能够明确客户信息保护工作的责任部门,落实相关工作责任主体,以便开展下文中提到的客户信息保护相关工作。
原文:银行业金融机构应加强信息科技第二、三道防线履职,负责信息科技风险管理的部门要定期组织开展信息安全专项风险评估,包括环境、用户、数据敏感性和外包等各要素,识别威胁客户信息安全的风险隐患,以及风险控制政策和措施的充分性。
解读:银行业金融机构的信息科技二、三道防线是指信息科技风险管理和审计部门。此处是要求风险管理部门定期开展信息安全专项风险评估,工作内容要包括物理、计算等环境安全,用户信息安全,安全风险对数据的影响程度和敏感性,及外包风险等评估要素。评估工作还需加强威胁客户信息的安全风险识别,分析当前的风险控制政策和措施的充分程度。
原文:加强员工操作行为管控和审计,禁止违规查询、下载、复印、保存客户息。制定落实涉及客户敏感信息的运维操作审批流程,建立健全用户管理、客户敏感信息访问和下载等行为的日志审计制度。
解读:银行内部员工及运维外包人员在日常工作中可能会接触到大量的客户信息,包括名称、卡号、地址等敏感信息。根据要求,银行应该对操作风险进行管控限制,无论是操作风险管理,还是技术控制手段,都需要针对性加强。操作风险管理上,需要严格运维操作审批流程,特别是外包人员的操作流程审批。技术手段上,可以利用堡垒机、数据库审计、网络审计等设备,配置敏感数据检测等告警策略,以及数字水印等技术防止敏感信息泄露。
第二部分,强调了银行业务网络(主要是互联网出口)、应用安全、交易认证、客户端程序、钓鱼网站和内部办公网络的技术防护,指出了近期客户信息安全防护的重点技术工作。
原文:银行业金融机构应加强网络边界安全防护,在网络出口处部署并持续优化多层次、立体化的安全技术防护体系,对来自互联网的攻击、入侵行为进行实时监测、防护。
解读:银行业金融机构的互联网边界防护建设,一般遵循人民银行发布的《JR/T 0068 网上银行系统信息安全通用规范》标准。大中型银行,在网络边界安全防护上一般较为严格;自建互联网业务的小型银行在互联网出口安全防护上,因各行实际情况所限,边界安全防护手段较大中型银行相对薄弱。根据《2号文》要求,各行需要根据监管标准审查互联网安全防护设备是否具有客户信息防护功能,防护策略是否开启,监测日志是否可审计,并对入侵事件的危害范围进行评估。
原文:银行业金融机构应加强应用安全防护,建立交易事前、事中、事后控制体系。加强交易流程设计的安全管理,构建客户交易身份认证体系,确保客户身份的真实性、安全性;构建客户交易风险监控模型,加强异常行为监控和处置,采取客户资金变动提醒、 密码输错次数控制等措施,让客户及时了解资金变动和操作情况,及早发现欺诈行为;加强交易事后分析,不断完善信息安全风险控制策略,健全信息安全风险控制措施。
银行业金融机构应加强交易密码的保护,防止因交易密码泄露威胁客户账户安全。积极采用多重密码、短信校验、复合型动态令牌、二代USBKey等措施,加强交易认证技术保护。
解读:应用安全防护是银行信息科技工作中的重点,也是近几年金融科技工作的重点。在交易流程中,用户名密码校验、短信校验、电子证书、复合型动态令牌、USBKey、生物学特征识别等身份认证方法各有优劣,多重认证方式有助于辨别真实用户,及早发现欺诈行为。通过积累分析用户交易行为特征,银行业务系统可以不断改进交易环境风险模型,从而降低用户交易的风险,形成适合各行自身特点的金融交易反欺诈体系。
原文:银行业金融机构应提高客户端产品的安全性,采取反编扫描等措施进行安全加固。可采取设置动态密码校验、登录密码保护、密码强度控制、安全退出机制、动态令牌校验、限额控制和安全传输等措施,提高客户端安全水平。
解读:《2号文》对银行移动客户端安全十分重视,特别建议了多种安全技术措施,以提高客户端程序的安全水平。其中,反编译扫描措施可以使用第三方安全控件实现,也可以在编码过程中添加特殊的检测代码实现。动态密码校验、登录密码保护、密码强度控制、动态令牌校验都是关于用户认证保护的措施。安全退出机制是客户端运行环境安全措施。限额控制是对用户交易风险的控制。安全传输涉及面较多,包括客户端自身的数据加密、网络通讯过程加密和服务器端加密处理等安全措施。
原文:银行业金融机构应加强钓鱼网站特征分析,采取主动监测等针对性措施,并报请有关行政主管单位依法关停,减少钓鱼网站存活时间。
解读:对于银行业金融机构,与所辖网站样式类似的各类钓鱼网站是电信诈骗、用户信息泄露的直接入口。由于钓鱼网站具有制作难度低、隐蔽性强、存活周期短、技术关停偶然性高和容易再生的特点,业内一直没有特别有效的防范方法。主要的钓鱼网站监测手段包括:搜索引擎关键字检索、用户自行上报、Web安全信誉共享和恶意程序分析等,监测效率较低,漏报率较高。钓鱼网站关停手段目前也仅局限于报请主管单位依法关停、通知第三方反钓鱼机构关停、通知第三方终端安全防护软件服务商预警、网站域名空间服务商关停、DNS服务商修改解析条目及网络技术屏蔽关停等措施。综合多重监测手段和关停措施,优化钓鱼网站处理流程,提高关停效率是目前减少钓鱼网站存活时间的最优选择。
原文:银行业金融机构应加强内部信息管理,加强网络准入控制和用户实名制管理。持续完善终端安全管理,及时安装系统补丁和更新防病毒等安全管理软件,禁止使用未经授权的蓝牙、红外、调制解调器等外部设备。加强移动存储设备管理,防止违规的信息外发、拷贝等信息泄露行为;加强客户信息传输管理,对客户敏感信息采取加密存储、传输等措施。严禁在测试环境中使用真实的客户密码、生产密钥等敏感信息。
解读:近年,工作人员利用工作便利窃取或违规接触客户敏感信息的事件发生较多,除了在管理规范和员工教育方面的努力,技术防护手段更能够直接阻止或预警此类事件的发生。《2号文》建议的安全控制手段是基本的管控措施,综合运用多种手段才能减少内部人员窃密和泄密可能性。
第三部分,强调了客户信息泄露事件发生后的服务流程优化和客户教育。
解读:《2号文》对银行业金融机构的客户银行卡紧急挂失流程、赔付处理机制、客户回访机制、盗刷投诉流程等多个服务内容上提出了优化改进要求,提高客户服务水平。《2号文》还要求银行业金融机构利用多种社交媒体渠道,使用多种宣传手段,强化客户信息安全教育,提高客户自身的安全意识水平。
第四部分,强调了银行业金融机构完成自查工作和结果报送的时间要求。
解读:《2号文》要求的自查时间点为2月28日,时间较紧。自查总结报送当地银监局时间为3月30日。因自查涉及内容较多,建议列出检查表项,逐一落实检查范围、检查责任人和检查时间点。若涉及复杂技术检查手段,建议邀请具有安全服务资质的第三方评测机构协助完成。
【结语】
《2号文》是中国银监会为落实《235号文》中相关要求发布的行业监管文件。文件对银行业金融机构如何保护客户信息,在业务流程管理、风险管控、信息防护技术、客户服务等方面提出了具体的监管意见,要求各机构按期完成自查、递交专项自查报告等任务。这是银监会首次系统针对客户信息安全防护提出系统性监管要求,是《网络安全法》发布后的合规性监管行为的具体体现。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880