為進一步加強銀行保險機構信息科技外包風險監管,促進銀行保險機構提升信息科技外包風險管控能力,銀保監會制定了《銀行保險機構信息科技外包風險監管辦法》(以下簡稱《辦法》)并于2021年底正式發布實施?!掇k法》中的五個章節中反復提到金融機構敏感信息保護,共涉及七個條款,具體如下:
1.《辦法》第一章總則第五條,銀行保險機構在實施信息科技外包時應當堅持以下原則中,明確了“保障網絡和信息安全,加強重要數據和個人信息保護”的原則;
2. 《辦法》第二章信息科技外包治理第十三條,銀行保險機構應對信息科技外包活動及相關服務提供商進行分級管理,對“涉及集中存儲或處理銀行保險機構重要數據和客戶個人敏感信息的外包”列為重要外包;
3. 《辦法》第三章信息科技外包準入第十八條,對于符合重要外包條件的非駐場外包,應當進一步重點調查“服務提供商是否有管理制度和技術措施保障銀行保險機構數據的完整性和保密性”;“服務提供商是否擁有或可能擁有業務系統的最高管理權限或訪問權限,是否能夠瀏覽、獲取重要數據或客戶個人敏感信息”;
4. 《辦法》第三章信息科技外包準入第二十一條,銀行保險機構在信息科技外包合同或協議中應當明確“安全保密和消費者權益保護約定,包括但不限于:禁止服務提供商在合同允許范圍外使用或者披露銀行保險機構的信息,服務提供商不得將銀行保險機構數據以任何形式轉移、挪用或謀取外包合同約定以外的利益”;
5. 《辦法》第五章信息科技外包風險管理第三十條,銀行保險機構應建立并持續完善風險管理制度和流程,充分識別并評估信息科技外包可能產生的風險,包括但不限于“數據泄露、丟失和篡改。因服務提供商的不當行為或其服務的信息系統遭受網絡攻擊,導致銀行保險機構重要數據或客戶個人信息泄露、丟失和篡改”;
6. 《辦法》第五章信息科技外包風險管理第三十二條,銀行保險機構應當制定和落實網絡和信息安全管理措施,包括但不限于“對客戶信息、源代碼和文檔等敏感信息采取嚴格管控措施,對敏感信息泄露風險進行持續監測”;
7. 《辦法》第六章監督管理第三十八條,銀行保險機構信息科技外包活動中發生“銀行保險機構重要數據或客戶個人信息泄露”風險事件時,應當按照相關突發事件監管報告要求,向銀保監會或其派出機構報告;
基于當前中國金融機構面臨的數據安全風險,監管機構對“敏感信息泄露”風險十分重視并出臺了相關管理要求,為金融機構提出了具體的行動方向,如:在《辦法》第四章信息科技外包監控評價第二十三條中,明確要求“銀行保險機構應當對外包服務過程進行持續監控,及時發現和糾正服務過程中存在的各類異常情況”;以及,第五章信息科技外包風險管理第三十二條,銀行保險機構應當制定和落實網絡和信息安全管理措施,“對敏感信息泄露風險進行持續監測”。
“金融機構需要采取具體舉措來防范針對外包(供應鏈)安全帶來的敏感信息泄露;一旦發生泄露事件,要能夠及時發現并采取有效措施以減少損失。”盛邦安全金融行業負責人談到。
互聯網敏感信息監測系統(RaySIN)是盛邦安全針對該類問題而設計開發的平臺,能夠對泄露或暴露在互聯網側的網絡資產、社會資產、社工情報等信息進行排查和提前防范,降低攻擊面風險。它通過自動化的方式,融合盛邦安全多年攻防滲透經驗,模擬黑客在搜索引擎、文庫、代碼托管、第三方共享平臺等渠道進行信息搜集的方式,獲取用戶單位泄露在互聯網側的組織結構、技術方案、員工通訊錄、用戶名密碼、系統源碼、網絡資產等容易被攻擊者作為突破口的敏感信息;同時將搜集到的敏感信息利用大數據手段進行關聯分析,幫助用戶徹底摸底敏感信息暴露情況,發現未知資產,排查敏感信息泄露,減小威脅暴露面。
RaySIN能夠幫助金融行業用戶根據自身業務特征,及時發現敏感信息泄露風險、縮小安全暴露面,并采取有效處置措施,有效降低合規風險以及資金與聲譽損失。