隨著互聯(lián)網(wǎng)信息技術(shù)的不斷發(fā)展���,銀行展業(yè)模式發(fā)生了巨大的變化����。越來越多的銀行業(yè)務(wù)完成了線上化�����、移動(dòng)化遷移��。電子銀行系統(tǒng)業(yè)務(wù)功能�����、形態(tài)也在不斷更新�����、迭代���。線上�、移動(dòng)端用戶規(guī)模日益龐大�,小程序、開放銀行等新興形態(tài)的業(yè)務(wù)占比越來越大����。
(資料圖片僅供參考)
伴隨著電子銀行系統(tǒng)重要性提升,電子銀行面臨的威脅種類越來越多�,風(fēng)險(xiǎn)越來越大。針對(duì)銀行業(yè)發(fā)動(dòng)系統(tǒng)攻擊的黑客數(shù)量越來越多�,攻擊手段也越來越復(fù)雜。銀行業(yè)信息安全問題引起各界關(guān)注���,并被認(rèn)為達(dá)到關(guān)系社會(huì)安定發(fā)展的高度��。
面對(duì)種種外在威脅存在的嚴(yán)峻形勢(shì)��,銀行業(yè)需要更加重視電子銀行的安全性�,結(jié)合系統(tǒng)特性,有針對(duì)性地開展電子銀行信息安全保障工作���。
電子銀行安全評(píng)估的合規(guī)需求
人民銀行在2020年2月修訂的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》(JR/T0068-2020)中要求應(yīng)每年至少開展一次對(duì)網(wǎng)上銀行系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估及深度信息安全檢測(cè)工作�����。
銀保監(jiān)會(huì)在《電子銀行業(yè)務(wù)管理辦法》中也要求銀行不長(zhǎng)于兩年進(jìn)行一次電子銀行系統(tǒng)安全評(píng)估����。
因此��,銀行機(jī)構(gòu)定期開展電子銀行安全評(píng)估已成為信息安全合規(guī)工作的必選項(xiàng)��。通過電子銀行評(píng)估�,銀行機(jī)構(gòu)可及時(shí)、全面發(fā)現(xiàn)電子銀行業(yè)務(wù)系統(tǒng)在管理�����、技術(shù)和業(yè)務(wù)方面存在的問題��,消減信息安全風(fēng)險(xiǎn)���,建立更完善的電子銀行系統(tǒng)安全事件防范預(yù)警機(jī)制,保障電子銀行業(yè)務(wù)安全運(yùn)行,提升電子銀行風(fēng)險(xiǎn)防控能力和業(yè)務(wù)競(jìng)爭(zhēng)力����,滿足國(guó)家和行業(yè)監(jiān)管要求。
電子銀行安全評(píng)估的工作內(nèi)容
電子銀行安全評(píng)估會(huì)展開的工作有哪些�����?主要依據(jù)銀保監(jiān)會(huì)發(fā)布的《電子銀行安全評(píng)估指引》�����,并參考人民銀行發(fā)布的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》內(nèi)容�,對(duì)銀行業(yè)金融機(jī)構(gòu)電子銀行業(yè)務(wù)的安全策略、內(nèi)控制度建設(shè)����、風(fēng)險(xiǎn)管理狀況、系統(tǒng)安全性�、業(yè)務(wù)運(yùn)行連續(xù)性、業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃�、風(fēng)險(xiǎn)預(yù)警體系等方面的安全性進(jìn)行深入分析和評(píng)估,提出有針對(duì)性的對(duì)策和建議��。
電子銀行安全評(píng)估的常見手段
電子銀行安全評(píng)估一般從電子銀行系統(tǒng)入手�����,分別針對(duì)安全管理、技術(shù)安全���、業(yè)務(wù)安全三個(gè)層面進(jìn)行剖析����。
安全管理方面
通過制度審查�����、流程記錄復(fù)核�、訪談、流程追查等手段�,評(píng)估電子銀行安全管理框架及體系的健全性、符合性和有效性���。
技術(shù)安全方面
通過安全配置核查�、漏洞掃描��、滲透測(cè)試��、機(jī)房能力測(cè)評(píng)等技術(shù)手段�����,對(duì)電子銀行的數(shù)據(jù)通訊安全、應(yīng)用系統(tǒng)安全���、客戶端安全、密鑰管理���、客戶信息認(rèn)證與保密等進(jìn)行評(píng)估��,并根據(jù)評(píng)估結(jié)論提供行之有效的風(fēng)險(xiǎn)改善方案����。
業(yè)務(wù)安全層面
通過穿行測(cè)試���、業(yè)務(wù)流程梳理��、控制措施驗(yàn)證等手段���,對(duì)電子銀行中的業(yè)務(wù)流程安全性進(jìn)行分析,將業(yè)務(wù)安全測(cè)試覆蓋到每一個(gè)業(yè)務(wù)操作點(diǎn)���,尋找業(yè)務(wù)邏輯��、權(quán)限控制問題等風(fēng)險(xiǎn)點(diǎn)����,充分挖掘業(yè)務(wù)風(fēng)險(xiǎn)。
中國(guó)金融認(rèn)證中心(CFCA)擁有一支高素質(zhì)金融行業(yè)信息安全專業(yè)技術(shù)人才隊(duì)伍�,長(zhǎng)期為主管部門、監(jiān)管部門的行業(yè)標(biāo)準(zhǔn)制定工作提供技術(shù)支撐��,并在銀行業(yè)內(nèi)廣泛開展電子銀行安全評(píng)估服務(wù)����,為電子銀行安全合規(guī)工作精準(zhǔn)把脈,為電子銀行風(fēng)險(xiǎn)管理工作守望助力�。
關(guān)鍵詞:
安全評(píng)估
信息安全
安全管理
營(yíng)業(yè)執(zhí)照公示信息