新闻资讯

【专题研究】信托公司信息安全管理建设研究

2017年5月,中国人民银行、中国银保监会,中国证监会、国家标准委联合发布《金融业标准化体系建设发展规划(2016—2020年)》,明确提出了“十三五”金融业标准化工作的基本原则、发展目标、主要任务、重点工程和保障措施。近些年,银行业、保险业、证券期货业陆续制定了本行业的信息安全相关的标准并正式发布,唯独信托行业信息安全标准目前处于空白领域,明显滞后于其他金融行业信息安全标准化水平,不利于信托业与银行业等其他金融机构的业务合作。

根据全国金融标准化委员会提供的信息,截至2019年6月30日,与信息安全相关的金融国家标准主要包括以下内容,见表10。

根据全国金融标准化委员会提供的信息,截至2019年6月30日,与信息安全相关的金融行业标准主要包括以下内容,见表11。

2019年8月,中国人民银行发布了《金融科技(FinTech)发展规划(2019—2021年)》其中明确提出加快制定金融业应用的技术和安全规范,建立国家统一推行的认证机制,加强金融科技产品安全管理,提升金融服务质量和安全水平。信托行业的安全标准体系建设应符合国家金融科技整体规划,同时又要根据信托行业的实际情况逐步建设。根据安全标准需求的迫切性、相关参考标准的成熟度、标准的可落地性等,建议从2020年起,在信托行业协会的指导下,行业成立信托业信息安全标准起草小组,邀请有意愿参与的信托公司共同起草信托业信息安全标准,最终标准报送中国银保监会批准后发布。初步建议的标准清单如表12所示,具体清单需要在全行业征求意见后确定。

在中国银保监会的领导下,在中国信托行业协会的具体指导下,由全行业信托公司提出信息安全标准需求,经过协会评审后确定最终清单。中国信托行业协会负责组织信托业信息安全标准的制(修)订等工作。各信托公司根据自身信息安全能力和需求,积极承担和参与行业标准制(修)订工作,切实加强行业标准应用实施。

加强标准化工作与信托业信息安全监管工作的互动。一方面,标准化工作要为规范性监管政策的制定做好充分预研。另一方面,监管政策要推动标准化成果得以有效推广实施。加强与公安部、全国信息安全标准化技术委员会、全国金融标准化技术委员会、中国标准化研究院、中国信息安全认证中心等标准管理单位的沟通协调,在行业标准建设、实施落地等方面积极寻求指导和帮助。

开展标准技术内容和编制方法研究,标准制定过程中要充分调研信托业务拓展的现实需求,开展与其他行业(如银行)信息安全标准的融合对接,同时为信托公司实施标准提供解决方案,指导各公司正确、有效执行标准。加强标准化服务能力建设,通过多种渠道大力宣传信托业标准化方针政策、先进典型和突出成果,扩大信托业标准化的影响力。

对标证券行业,中国证监会已正式批准成立证券行业信息安全联合实验室,为行业机构提供信息安全监管专项工作支持、安全渗透测试、漏洞扫描、态势感知、信息安全热点难点问题研究、交流培训、安全审计等信息安全的公共性、基础性服务。通过信托行业信息安全现状分析了解到当前各信托公司信息安全水平差异较大,资金投入、人员配置、整体安全能力不均衡。大部分信托公司受制于预算、资源、技术等方面的限制,信息安全基础十分薄弱。通过建立行业信息安全协作机制,一方面,加强信托公司之间的沟通交流,经验分享,促进信托行业整体信息安全水平提升,另一方面,在与其他行业(如银行、大型互联网公司)及供应商进行业务合作过程中,可加强行业整体在信息安全领域的话语权。协作机制建议包括以下两个方面。

当前信息安全威胁越来越多,如果没有海量的情报和快速的监测分析,就很难及时对威胁做出响应,等发现时可能已经产生损失。应鼓励威胁情报能力较强的信托公司能够通过行业内部通知通报、邮件等方式及时共享重大威胁信息,避免因信息不对称,部分信托公司未及时采取预防措施导致行业发生重大信息安全事件,影响行业声誉。威胁情报的价值在于让我们从知己走到知彼。在网络攻防中,知己知彼,才能百战不殆。

安全管理方面,通过组织参观学习信息安全能力较强信托公司的先进实践,不定期的安全沙龙等形式交流信息安全工作经验。安全技术方面,组织行业CTF(CaptureTheFlag)信息安全夺旗大赛,提升信息安全技术攻防水平。对于在信息安全某些具体领域(如用户行为分析、数据安全、反欺诈等)希望加强合作的信托公司,双方可通过项目形式实现深入合作,鼓励信息安全能力较强的信托公司进行信息安全能力输出。

根据国家信息安全监管要求以及信托行业整体信息安全现状及需求,我们提出以下信托行业信息安全工作建议。

信托行业资产规模位居金融行业第二,监管层对信托行业的管控力度也逐步加大,包括监管强度逐步向银行看齐,提高定期和不定期发文的频率,监管内容颗粒度更细等。金融行业信息科技风险具有影响范围广、破坏性大、突发性强、资金损失风险高等特点,信息科技风险作为唯一可能导致全部金融业务瞬间瘫痪的风险,一直是金融行业监管的重点和难点。监管层对金融企业信息科技治理体系、战略方针和工作机制提出了规范性的要求,这些要求既是指导又是约束,信托行业必须主动向银行保险等金融行业看齐,严格遵循监管要求,在监管要求的框架下搭建自身的信息科技治理体系,解决基础性、体系性缺失的问题。

安全是发展的基石,要充分发挥信息技术在强化金融风险防范方面的作用,筑牢金融安全防线,提高金融体系抵御风险能力。信托公司信息安全建设应聚焦应用安全、网络安全、数据安全等方面,明确信息安全基线作为信息系统建设的底线要求。信息系统基线应包括安全管理基线和安全技术基线两部分,安全管理基线主要关注安全管理的组织、制度、资源等在安全建设实施运维流程中机制、流程和管理要求。安全技术基线涵盖物理层到应用层的基本要求,包括机房、网络、系统、应用、终端数据等。

尽快启动信托行业信息安全标准建设工作,当前各信托公司信息安全水平参差不齐,通过制定信托行业信息安全标准,明确信托行业信息安全工作的基本要求,从而帮助不同规模、侧重不同业务的信托公司提升信息安全水平,促进整个信托行业信息安全能力的持续增强,逐步提升信托行业信息安全工作的标准化、专业化水平。

近年来金融企业科技外包发展势头迅猛,涵盖信息科技建设生命周期各个阶段,信托公司从业方向变化快,业务开展需要借助大量的外部合作商,而外部合作商信息科技水平参差不齐,信息安全重视程度不一。应完善信息科技外包事前预防、事中控制、事后评价的外包风险管控模式。信托公司在跟这些企业合作的时候需要加强在权限管理、代码规范、数据安全、信息交换、技术防范等方面的安全管控。

早在2014年中国银监会发布的《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》中就明确提出要推动建立银行业网络安全可控信息技术的长效机制。信托公司科技部门只有掌握核心技术才能有效支撑业务快速发展,才能不被供应商“卡脖子”。应以开放、包容、安全、高效为目标实施架构转型,鼓励有实力的信托公司加大在核心系统和关键技术领域的研发创新投入,积极研究开源技术在信托行业重要信息系统的应用。在技术路线方面,积极应用与信托公司自身需求相匹配、多元化的关键技术、核心技术,把创新主动权、发展主动权掌握在自己手中,从根本上提升信息技术安全可控水平。

金融行业业务和信息系统不断云端化是不可阻挡趋势,公有云和私有云突破传统安全防护边界,信息安全防护面临新的挑战,信息安全的防控重心向前端靠近。在信息科技内部,安全防护逐渐向需求立项、架构评审、代码开发阶段的系统建设前期渗入。在信息科技外部,信息安全也向支撑业务发展,打击黑色产业链,业务风险管控靠近,越贴近前端和业务,安全才越有价值。随着黑客攻击技术能力和自动化工具应用水平的提高,金融企业如果停留在传统的安全防护理念和手段将造成巨大的隐患,近年来,态势感知、APT、差分计算、AI防御,甚至对抗生成网络(GAN)在信息安全方向的应用已成为领先的金融企业研究和实践的领域。

地址:深圳市福田区益田路3008号皇都广场 电话:0755-83461563 传真:0755-83466379

Copyright © 2015-2020 深圳库德酒业有限公司 版权所有  粤ICP备13010638号