文:李願 來源:21世紀經(jīng)濟報道(dào)
6月27日,21世紀經(jīng)濟報道(dào)記者獲悉,日前國(guó)家金融監督管理總局向(xiàng)各地方銀保監局、銀行、保險、理财公司等機構下發(fā)了《關于加強第三方合作中網絡和數據安全管理的通知》(下稱《通知》)稱,近期,部分銀行保險機構的外包服務商發(fā)生多起(qǐ)安全風險事(shì)件,對(duì)銀行保險機構的網絡和數據安全、業務連續性造成(chéng)一定影響,暴露出銀行保險機構在外包服務管理上存在突出風險問題。
《通知》明确列示了一家頭部平台相關服務風險情況、多家銀行保險和數據中心托管服務商的科技外包風險情況,并提出了相應的監管要求。
《通知》強調,各銀行保險機構應對(duì)照相關問題,深入排查供應鏈風險隐患,切實加強整改。各級派出機構要督促轄内銀行保險機構嚴格落實上述工作要求,嚴肅處置因管理不當引發(fā)的重大風險事(shì)件。“涉及《通知》通報安全事(shì)件的有關銀行保險機構,要制定風險整改方案和計劃,并按照監管隸屬關系向(xiàng)總局或派出機構報告,各級派出機構要加強評估,嚴格督促,确保落實,不留問題死⻆。對(duì)整改不力的機構,要及時采取監管措施”,《通知》表示。
摸清數字生态場景合作網絡和數據安全風險底數
對(duì)于一家頭部平台相關服務産生的風險事(shì)件,《通知》顯示,此事(shì)件主要暴露了兩(liǎng)方面(miàn)的風險和問題:一是銀行保險機構對(duì)數字生态場景合作情況底數不清,缺乏統籌管理;二是銀行保險機構對(duì)合作中數據安全風險和責任識别劃分不清。
對(duì)此,國(guó)家金融監督管理總局提出了三方面(miàn)的監管要求:
一是開(kāi)展風險自查。針對(duì)相關問題,銀行保險機構要全面(miàn)開(kāi)展一次自查,摸清數字生态場景合作中的網絡和數據安全風險底數,開(kāi)展排查整改。在合同協議中強化數據安全要求,對(duì)于存在違規行爲或違反合同約定的,要追究有關外包合作單位的責任,在問題整改完成(chéng)前,不能(néng)擴大合作範圍内容。
二是加強科技風險統籌管理。要將(jiāng)數字生态合作納入到銀行保險機構的外包風險管理範圍,加強統籌管理,科技和數據管理部⻔應加強外包合作的網絡和數據安全管理,加強風險評估和事(shì)件處置。
三是加強非駐場外包風險監測和監管報告。對(duì)于集中處理重要數據和客戶個人敏感信息的非駐場外包,以及涉及敏感級及以上數據的委托處理的外包合作,銀行保險機構應重點關注,加強風險監測,并按《銀行保險機構信息科技外包風險監管辦法》第三十七條、《銀行保險機構數據安全辦法》第六十條之規定向(xiàng)國(guó)家金融監督管理總局或其派出機構報告。
銀行保險機構應按照監管隸屬關系,于7月10日前,將(jiāng)風險自查和整改情況、上述平台合作情況表向(xiàng)國(guó)家金融監督管理總局或銀保監局報告。銀保監局彙總後(hòu),于7月20日前報送國(guó)家金融監督管理總局。
壓實外包服務商安全責任
在科技外包風險方面(miàn),《通知》列出了多家省聯社、一家保險公司、某數據中心托管服務商的相關情況。國(guó)家金融監督管理總局表示,這(zhè)些事(shì)件暴露了三方面(miàn)的主要風險和問題:一是銀行保險機構在供應鏈安全管理上履職不到位;二是銀行保險機構對(duì)外包服務的應急管理機制不健全;三是外包服務商的安全管理和技術防護能(néng)力嚴重不足。
“銀行保險機構應強化‘服務外包、責任不外包’的主體意識,切實承擔數據安全主體責任,統籌管理科技風險,壓實外包服務商安全責任,提升整體防控水平。”國(guó)家金融監督管理總局表示,并提出了三方面(miàn)的監管要求:
一是切實履行網絡和數據安全保護義務。銀行保險機構應加強風險評估和盡職調查,加大監控力度和違規問責,加強對(duì)外包服務商的監督管理和實地檢查,合作結束後(hòu)必須下線相關系統并删除數據;強化合同的網絡和數據安全要求條款,驗收時嚴格執行安全風險檢查,對(duì)發(fā)生安全生産事(shì)件的要按合同約定進(jìn)行處罰。
二是采取針對(duì)性安全保護措施。銀行保險機構對(duì)外提供數據應按“業務必需、最小權限”原則進(jìn)行,系統和數據應優先在銀行保險機構本地化部署。加強邊界防護和傳輸保護,建立與外包服務商的隔離防火牆,不通過(guò)即時通訊、網盤、互聯網郵箱等不安全渠道(dào)傳輸數據。梳理外包服務商獲取、留存的銀行保險機構數據,排查個人信息和程序源代碼、系統文檔等内部技術資料,排查缺省賬戶密碼、弱口令、未定期更新口令、明文存儲口令等問題,排查系統和外部産品的漏洞,整改問題隐患。
三是建立健全應急處置機制。銀行保險機構應將(jiāng)外包合作場景的事(shì)件應急處置納入應急預案管理,將(jiāng)涉及外包服務商的投訴納入投訴管理辦法,要求外包服務商第一時間報告自身的安全生産事(shì)件和投訴舉報,報告其産品或服務發(fā)現的安全缺陷和漏洞,銀行保險機構應將(jiāng)相關風險事(shì)件及時報告監管部門,并及時調查處置相關問題。