严防互联网业务系统“带病上线”监管要求金融机构自查

2020-09-19 07:57:55 来源:上海证券报 作者:黄蕾

  银保监会近日下发通知,要求各银行保险机构就互联网业务系统安全问题展开自查,并采取有效防范和应对措施,做好客户信息保护工作。

  监管部门在行业摸底时发现,仍有银行保险机构的互联网业务系统存在安全漏洞。比如,有个别机构的系统在无需客户授权登录情况下,输入客户身份证号即可查询并显示该客户完整的银行卡号和柜面预留手机号,存在信息泄露的潜在风险。

  仍有机构的软件开发生命周期安全管控缺失。比如,个别机构的系统设计存在漏洞,未严格控制敏感客户信息的访问权限;个别机构在系统上线前未开展网络安全测试,系统“带病上线”。

  个别银行保险机构的风险监测、预警和处置机制不健全。比如,有的机构在系统上线后未有效开展安全评估,未及时发现和修补安全漏洞,风险监测系统也未限制同一IP地址的查询频度和数量,难以在第一时间监测到不法分子的大量非法查询操作等。

  监管部门在此次机构自查中提出了3点要求。

  一是提高网络安全风险意识,严格落实网络安全责任制。各银行保险机构要清醒认识当前严峻复杂的网络安全形势,董事会、高管层要切实承担起本机构网络安全治理的主体责任,持续完善网络安全治理架构。

  二是全面排查互联网业务系统客户敏感信息泄露风险隐患,及时修补系统漏洞。各银行保险机构要组织力量对面向互联网服务的业务信息系统(包括网站类、APP类、微信公众号类系统)开展一次全面、深入的风险排查,对潜在的、可能导致客户敏感信息泄露的风险隐患,要坚持以“零容忍”的态度,尽快采取控制措施,修补漏洞,确保不发生客户敏感信息泄露事件。

  三是建立客户信息保护长效机制。要健全开发安全管理体系,制定并落实安全需求、设计、编码规范,强化安全测试,所有互联网业务系统均要经过严格评审和充分测试后方可投产运行,坚决杜绝“带病上线、带病运行”。

  通知要求,要制定本机构的客户信息分类和分级标准,落实不同等级信息的保护要求,分级分层设计数据接口,针对存储和处理敏感客户信息的互联网业务系统,要严格实施访问控制,按照“最小必要”原则规范敏感客户信息的网络传输、客户端信息展示、数据共享等过程,采取必要的加密、身份鉴别、数据脱敏、屏蔽展示等措施。要建立日常安全运营管理机制,加强对互联网业务系统的渗透测试,及时发现和修补业务流程设计缺陷和系统安全漏洞,确保互联网业务系统安全。要加强客户敏感信息风险监测预警体系建设,强化风险识别和监控,通过异常行为监测、攻击追踪溯源等手段,准确定位网络攻击威胁,为第一时间开展应急处置、采取风险防控措施赢得时间。