这几年,互联网金融飞速发展,平台因信息安全不过关使得数据大规模泄露、资金被盗、业务中断等事件频频发生,包括红岭创投等数十家大平台都曾中枪。而平台因漏洞被非法侵入后台获取高权限后,凭借虚假客户资料替代真实客户资料后,提现400余万元的情况,所造成的资金损失也不在少数。网络信息安全程度高,可以彰显互联网金融平台的实力,保证平台稳定运行、用户资金及信息安全,也是网贷平台合规的必要条件。据不完全统计,截止2018年3月底,我国网贷平台正常运营数共计1883家,共有175家平台获得了公安部信息安全“等保三级”备案,占比不足9%,更加证明了平台“等保三级”的严峻状况。
等保三级的来源
2007年7月24日,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定了《信息安全等级保护管理办法》。办法将信息系统的安全保护等级分为五级,等级越高,安全保护能力就越强。国家等级保护认证是中国权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。其中第三级是非银机构的高级认证,属于“监管级别”。由国家信息安全监管部门进行监督、检查,认证,需要测评内容涵盖范围广,类目多而且要求较为严格。
各等级信息系统的保护能力及被破坏后的侵害程度如下表所示:
2016年8月24日,信息安全等级保护被P2P网贷行业监管层写进P2P网贷监管实施细则里。即银监会会同工业和信息化部、公安部、国家互联网信息办公室等部门发布的《网络借贷信息中介机构业务活动管理暂行办法》。
该办法第三章第十八条指出,网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。获得信息系统安全等级保护三级认证的平台需要通过300多项测试,通过信息系统安全“等保三级”的认证则意味着技术安全和控制层面能达到国家指标,具备安全事件发现、应对的能力,以及信息系统受到攻击或破坏时的快速恢复﹑数据信息防泄露防偷的实力。
如何快速通过三级等保
就目前从各地细则看,上海地区在三级等保方面要求网贷平台按照国家标准测评,且测评分数不低于90分;广东地区对等保三级要求也从原来的60分提高到了80分以上。而北京金融监管部门暂时未对三级等保测评的分数提出具体要求,但考虑到上海和广东地区已实施相关政策,北京地区应该不会差别太大。
通常情况下,平台的信息系统安全等级保护测评工作需测评内容涵盖等级保护安全技术要求的5个层面(包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等)和安全管理要求的5个层面(包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等),主要包含信息保护、安全审计、通信保密等在内的近300项要求,共涉及测评分类73类,要求十分严格,具体的流程也十分复杂。根据不同平台的安全水平,整改所需的具体时间也有很大的差异,多则两、三个月少则也要一个月。面对愈发紧迫的备案时间,平台应该寻求行业经验丰富的专业机构的帮助。
信息安全等保工作评定步骤:
帝友网盾宝提供专业的三级等保测评咨询服务,并完全满足国家规定的安全及技术标准。其凭借自身良好的信息安全管理体系以及过硬的技术实力,截至目前为止,已帮助“一起理财”、“国创财富”、“江西多了口贷电子商务有限公司”等十几家企业通过三级等保测评。另外,网盾宝提供的现场测评服务,能够根据不同企业及平台间的差异出具量身定制的测评方案。通常情况下,与用户沟通完具体测评需求后,2个工作日内就能出具相应的测试方案。并且在测评过程中发现任何安全问题,也能凭借良好的信息安全管理体系以及过硬的技术实力为用户提供一站式的安全解决方案。除此之外,网盾宝还与多家测评机构达成战略合作,有效的缩短了三级等保所需的测评周期。获得“等保三级”可以使平台在合规的道路上更进一步,满足平台备案的又一条件。
帝友“网盾宝信息安全等保顾问服务”具体实施流程:
