实用理财技巧

关联词:个人信息保护、大科技公司

网络安全(Cyber Security),也称为网络空间安全(Cyberspace Security)、网络防御,是指致力于对计算机系统进行有效的准入控制,确保数据传输安全性的技术手段,包括信息系统的物理、网络、主机、系统、应用和安全管理等方面。

网络安全概念最早由美国国家科学与技术委员会(The National Science and Technology Council,NSTC)提出,它通过实施各种流程、技术和实践来保护组织的网络、计算机系统和数据免受未经授权的数字访问、攻击或破坏。

成功的网络安全方法具有多层保护能力。这些保护分布在被保护的计算网络环境的数据链路层、网络层、传输层和应用层。网络安全的有效性也依赖于组织管理能力,人员、流程和技术必须相互补充,才能有效防御来自外部计算机网络攻击。

由于金融行业高度依赖于计算机网络环境,网络安全也被认为是金融领域的系统性风险。支付网络、股票发行和交易系统、期货市场等重要的金融市场基础设施都依赖于高可靠、高防护能力网络安全体系的支撑。

在网络安全和数据保护风险不分国界,对此,各国政府已经形成高度共识并积极努力进行解决。各国对网络风险的认识很高,大多数司法管辖区都推出了保护金融系统网络安全安全的框架文件。

在我国,《中华人民共和国网络安全法》于2017年6月1日起实施,旨在利用法律法规为网络与系统安全设定标准,更好地与全球互联网行业及国际网络安全标准体系对接。

新加坡网络安全局(Cyber Security Agency of Singapore,CSA)2017在年7月提出新型《网络安全法》(Cybersecurity Bill)草案。尽管该法案将对在新加坡开设的银行机构产生重要影响。

2018年,英格兰银行将强制要求英国金融服务公司接受网络安全压力测试(Stress Test),以确保其具备应对重大网络漏洞攻击的应对能力。此外,英格兰银行还想借此了解相关金融机构抵御网络攻击和重续服务的耗时。[xxv]

美国对网络安全也很重视。纽约州金融服务署(New York Department of Financial Services,NYDFS)出台“Title 23 纽约法典、规则和法规500部分:金融服务公司的网络安全要求(TiTle 23 NYCRR 500)”,旨在保护金融机构的客户数据和信息技术系统。该要求规定,纽约州内银行针对任何可能危害数据的网络事件需在72小时内向纽约州金融服务署报告,内容包含勒索软件与拒绝服务攻击在内。银行应提供完备的网络安全计划并任命首席信息安全官(Chief Information Security Officer,CISO)监管安全程序与维护。此外,金融服务公司也需遵照要求,并在2019年3月前完成转型。

国际标准化组织ISO(International Organization for Standardization)致力于推动全球信息安全管理标准体系(ISO27001)的发展。ISO27001发源于英国标准协会BSI(British Standards Institution)在1995年推出的“信息安全实施规则和信息安全管理体系规范(BS7799)”标准。ISO成员国纷纷致力于在本国商业组织、金融机构和政府部门应用ISO27001,科学规范地推动组织的信息安全体系建设,与国际行业自律标准接轨。

不仅如此,组织的内部控制(Internal Control)水平与网络安全也密不可分。ISO“质量管理与质量保证体系(ISO9001)”和“信息安全管理标准体系(ISO27001)”通过“业务连续性管理(Business Continuity Management)体系(ISO22301)”建立了连接。ISO22301以保证业务运营韧性(Operation Resilience)为出发点,采用风险评估RA(Risk Assessment)、业务影响分析BIA(Business Impact Analysis)等风险管理工具,建立业务运营中断风险事件(Disruption Activity)的应急响应(Incident Response)策略和方案,帮助组织建立PDCA(计划Plan-执行Do-检查Check-处理Act)持续改进战略。

在网络安全的企业标准领域,金融科技公司根据所服务或所处的细分行业不同,应遵循国内外行业标准和合规性要求,结合组织自身成熟度水平,建立企业标准。在我国,金融科技公司可以参考公安部发布的《信息安全等级保护管理办法》[xxvi]对其业务实施等级保护制度。等级保护与信息安全管理标准体系ISO27001相衔接,并依据《中华人民共和国计算机信息系统安全保护条例》[xxvii]等有关法律法规而制定,落实我国通讯、交通、电力、金融等高度依赖信息技术应用的关键信息基础设施(Critical Information Infrastructure,CII),特别是金融市场基础设施(Financial Market Infrastructure,FMI)的关键业务等级保护要求。

关键信息基础设施(CII)指的是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统。关键信息基础设施(CII)一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。[xxviii]

我国金融行业的金融市场基础设施(FMI)已按照等级保护制度,普遍建立了三级以上的信息安全管理体系。在云计算领域,主要的金融科技公司(如阿里巴巴、腾讯)也积极落实等级保护制度,建设、运行和管理符合规范的公有云计算平台,并向金融机构提供服务。

不仅限于信息安全企业标准,金融科技公司还需要遵循特定业务的行业业务标准和合规要求。以我国得银行卡收单业务为例。为有效保护持卡人权益,属于特别监管业务。中国银联、支付宝、财付通等开展银行卡收单业务的组织,一方面需要遵循国际支付卡行业安全标准委员会PCI的相关标准(PCI-DSS、PA-DSS和PED),还需要接受行业自律组织(中国支付清算协会【PCAC】和中国互联网金融协会【NIFA】)的合规管理。此外,对于支付宝、财付通的母公司阿里巴巴、腾讯等互联网电子商务行业,还应接受我国工业和信息化部、中国人民银行、中国互联网协会等监管和行业自律部门的合规管理。[xxix]

[xxvi]《信息安全等级保护办法》(公通字【2007】43号)[S\EB]. http://www.gov.cn/gzdt/2007-07/24/content_694380.htm
[xxvii]《中华人民共和国信息安全保护条例》[S\EB],http://www.gov.cn/flfg/2005-08/06/content_20928.htm
[xxviii] 中国网信网. 《网络安全法》促进国家关键信息基础设施安全保护新发展[OL]. (2016-11-10) [2020-06-14]. https://www.cac.gov.cn/
[xxix] 未央网. 金融企业必须了解的全球网络安全监管条例[OL]. (2017-12-11) [2020-06-04]. https://www.weiyangx.com/270590.html

分享

此网页的文章仅供参考,其内容可能存在一定的滞后性,并有一定的风险和不确定性,这可能导致实际和未来结果与该内容有所不同。Visa不对您使用该信息(包括任何错误、疏忽、不准确或不及时的信息)、任何假设或您通过使用这些信息得出的任何结论负责。Visa不做任何明示或默示担保,并明确放弃适销性和适合特定用途的担保、任何不侵犯第三方知识产权的担保、任何信息将符合客户要求的担保、任何信息为最新信息并且没有错误的担保。在相关法律允许范围内,Visa不对客户或任何第三方的损失(包括但不限于任何特殊的、继发的、偶发或惩罚性损失)负责。