12月8日,P2P网贷风险专项整治工作领导小组办公室向各地P2P整治联合工作办公室下发了《关于做好P2P网络借贷风险专项整治整改验收工作的通知》(57号文),对下一步的整改验收阶段做出了具体、详细的部署,要求各地在2018年4月底之前完成辖内主要P2P机构的备案登记工作、6月底之前全部完成。其中,信息安全等级保护也被写进P2P网贷监管实施细则里,即《网络借贷信息中介机构业务活动管理暂行办法》第十八条指出,网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。
另外,按照国家标准《计算机信息系统安全保护等级划分准则》GB17859-1999规定,计算机信息系统实行五级保护。目前,非银机构高保护级为第三级,P2P网贷行业通过备案、测评的信息系统一般也是三级。这是对全国P2P平台顺利完成验收所需的硬性要求之一,也就是说平台必须通过“三级等保测评”才能够顺利通过合规备案进而实现相关监管部门顺利验收的目的。
据统计,当前全国共有85家P2P网贷平台通过了三级等保测评,说明通过测评的平台只占了少数,而合规大限又近在眼前,这再一次提醒众平台合规备案时间的紧迫性。平台应明确的判断出自己是否通过合规备案中规定的等保测评要求,而不只是通过公安部信息安全保护备案。因当前合规备案时间紧迫,任务繁重,单单凭借平台的力量通过合规备案的“三级等保测评”是有一定难度的。所以选择一家专业可靠的安全运维公司,快速通过测评才是佳的选择。帝友旗下子公司网盾宝在全新的产品理念及响应国家政策法规的前提下,结合自主研发的云防护系统网盾云为企业平台快速搭建多层次联动的纵深防御体系,通过“等级保护实施(系统)方案”给予平台持续监控和分析的大数据安全分析,通过安全管理和安全技术两大方面的十个控制类中进行等级保护建设和整改咨询服务,能够为用户解决一系列的网络安全问题,提升平台的整体安全防护能力,通过国家信息系统安全等级防护的测评,使平台更加合规化。截止目前,网盾宝已成功的为500多家企业及政府机构提供了全方位的网络安全解决方案,已帮助十几家企业通过等保三级测评,7*24小时的全天候服务,提升企业整体安全防护能力。
网盾宝信息系统安全等级保护测评咨询服务流程可分为4个步骤,分别为:
(1)等级保护建设差距分析
等级保护建设项目首先要进行重要信息系统的定级和备案工作。然后针对定级备案系统所在的网络环境开展资产整理、风险评估、渗透测试等工作,以分析信息系统当前风险状况,以明确等级保护整改需求和重点。差距分析服务会输出等级保护需求分析、方案设计、项目规划、安全措施选择与选型等内容,等级保护差距分析服务是等级保护整改与加固的基础,也可以单独购买。
(2)等级保护安全整改与加固服务阶段
等级保护安全加固服务包括重要信息系统相关的网络结构化设计,网络设备安全防护加固,服务器主机安全加固,数据库系统安全加固,中间件系统安全加固,应用服务漏洞检测与加固服务等加固工作。安全加固服务能够有效的加强等级保护的网络安全设备防护、主机安全的大部分控制点以及应用安全漏洞修复方面起到重要作用。
(3)等级保护测评辅助服务阶段
重要信息系统整改完毕后,执行一次完整的等级保护差距复查服务,按照等级保护基本要求和等级保护测评准则实施自我预测评工作,并根据测评结果弥补缺漏,为申请测评做准备。测评辅助服务还包括在等级保护测评前,网盾宝协助用户完成等级保护的重要信息系统的定级和备案工作。在等级保护测评过程中,网盾宝协助用户为测评机构提供测评数据,辅助测评工作的顺利开展。
(4)等级保护管理体系建设服务阶段
根据等级保护安全管理基本要求,为重要信息系统建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系,使信息化管理能够在等级保护要求的管理体系下长期稳定运行。
可见,只要企业完成了信息系统安全等级保护备案,并通过了权威机构的信息安全等级测评的话,就意味着企业的技术系统安全,对数据的保护能力得到了官方和专业机构的认可。也只有通过不断的完善企业网络信息系统安全,合规地运营,才能够终让企业在行业激烈的竞争中存活。在此小编需要特别提醒那些准备开展或是已经开展相关系统的登记备案工作的平台,需对三级等级保护测试有明确的认识,在开展备案后应尽快完成后续的等级测试工作,以保证整个合规备案的完整与准确性。
【关于网盾宝】
帝友网盾宝是目前国内优质的网络安全服务与解决方案专家,拥有7年的互联网金融信息安全沉淀,具有一支高科技、分工细致的、成功实施大型项目的队伍,以打造“互联网金融生态圈”为己任,依托云端技术和大数据安全分析能力,以“云+端+服务”一体化SaaS服务模式,为电商、金融、教育、云计算服务商、政府机关等行业客户提供云安全产品、服务及解决方案,帮助实现业务平台的安全、稳定运行,提高企业的安全运维管理效率,提升企业抵抗攻击的能力。
