<pre id="ei0iw"></pre>

      1. <nav id="ei0iw"></nav>

          信托公司信息安全管理建設研究(三)

          1評論 2020-04-27 15:10:30 來源:中國信托業協會 作者:中國信托業協會 中迪投資22%大肉

          由于金融科技的廣泛應用,信息安全歷來受到銀行業高度重視。銀行業通過建立完善信息安全治理體系、加強制度建設、提升自身安全技術和數據保護水平

            信托行業信息安全體系研究

            銀行業信息安全體系建設經驗

            由于金融科技的廣泛應用,信息安全歷來受到銀行業高度重視。銀行業通過建立完善信息安全治理體系、加強制度建設、提升自身安全技術和數據保護水平,切實保障銀行系統持續穩健運行。經過多年發展,眾多大型國有銀行、股份制銀行、政策性銀行、城商行等均已建成信息安全管理體系,持續增強信息安全能力,在信息安全體系建設及持續改進方面積累了豐富的經驗。我國銀行業信息安全體系整體呈現以下

            特點:

            1. 建立和完善了信息安全治理體系

            銀行業普遍構建“三個層面,三道防線”的全面信息安全組織體系。董事會、高管層、業務部門和各級分支機構各司其職,從制定戰略、明確管理職責和規范體制機制到具體落實執行,網絡風險管理逐步融入全面風險管理體系。以信息科技部門、信息科技風險管理部門、信息科技審計部門為主體的“三道防線”的作用日益顯著。網絡安全保障隊伍初具規模,大中型銀行普遍建立了信息安全專業處室和專職安全管理團隊。

            2. 信息安全管理制度不斷完善

            銀行業以監管指引為依據,建立起較為全面的網絡安全制度體系,涉及物理安全、網絡安全、系統安全、終端安全、數據安全、開發安全、運行安全、外包管理、風險評估、應急管理等多方面,網絡安全管理基礎進一步夯實。例如,民生銀行(行情600016,診股)參考業界標準不斷優化制度框架,華夏銀行(行情600015,診股)建立 5 大類 50 項相關管理制度。

            3. 信息安全技術防護水平持續提升

            銀行業建立健全網絡安全風險監測預警、信息通報和應急響應機制,不斷完善從互聯網到內部系統的縱深防御安全架構。一方面,積極開展防攻擊、防病毒、防篡改、防癱瘓、防泄密的檢測及處置工作,另一方面,主動針對不法分子活動的重點領域,開展輿情收集、暴力猜解監控、釣魚網站后臺數據分析等工作,挖掘潛在受害客戶。例如,建設銀行(行情601939,診股)阻斷暴力猜解攻擊,已累計使 214 萬客戶免受密碼泄露損失。

            4. 數據安全防護手段不斷增加

            銀行業積極構建數據安全保護機制:首先,建立形成較完備的數據治理制度,通過定義規范數據標準,實行數據質量管理要求,建立企業級數據模型,提高業務數據的準確性和一致性。其次,強化數據信息全生命周期控制,做到操作有記錄、權限有審批、事后可審計,確保各類數據在生產、使用、傳輸、存儲、銷毀整個生命周期的信息安全。

            5. 關鍵信息基礎設施業務連續性水平明顯提升

            銀行業持續加強對關鍵基礎設施的業務連續性和災備建設,全國性銀行和一些規模較大的中小銀行已基本建立“兩地三中心”的災備架構,同時積極開展“雙活”應用系統建設。此外,銀行業積極開展真實切換演練和應急演練,充分加強應急處置能力。

            信托業信息安全架構及管理體系設計

            1. 信息安全架構

            信息安全體系是保障公司信息系統有序建設并安全投產運行的基礎,在對標銀行業的同時,信托業信息安全體系建設應著眼于信托行業現狀并具有前瞻性,力爭滿足未來三年發展需求,以下是信息安全總體架構:

            【專題研究】信托公司信息安全管理建設研究(三)

            “一個目標”是指“保障信托業務系統安全,促進信托業務轉型”,必須以保證信托業務系統的機密性、完整性和可用性為安全根本出發點。“兩項原則”是指堅持“積極預防、統一管控”原則和“動態調整,協同高效”原則。

            信息安全必須采取主動預防的方式及時發現排除風險隱患,根據最新的威脅形勢動態調整安全防控措施,采取集中的安全管理機制統一防范各類威脅。要根據業務發展需求及時調整信息安全控制措施,保證業務運營效率。信托公司通過與中國信托業協會、安全服務商協同配合,充分利用外部資源優勢建立信息安全聯防聯動機制。

            “三個要素”是指人、流程和技術,依據信息安全領域的“三分技術、七分管理”理念,信息安全工作必須堅持以人為本,強化自身信息安全能力。通過建立信息安全制度體系促進信息安全要求與業務融合,通過各類安全技術手段支撐信息安全體系落地。

            “五大體系”是指開展建設全面信息安全管理體系的五個核心部分,包括信息安全組織體系、信息安全制度體系、信息安全技術體系、信息安全運行體系和信息安全監督體系。

            2. 信息安全組織體系

            國家信息安全有關監管規定明確要求設置信息安全專門管理機構,設立信息安全管理崗位,對于信息安全職責要清晰定義。成熟的信息安全組織架構包括決策機構、管理機構、執行機構和監督機構四個部分:

            (1)信息安全決策機構。是信息安全工作的最高決定者,負責從整體角度對信息安全方面的工作進行指導和控制。

            (2)信息安全管理機構。負責信息安全日常管理和監控,同時為決策機構提供決策所需信息。

            (3)信息安全執行機構。負責具體信息安全控制措施的落地。

            (4)信息安全監督機構。負責對企業內部信息安全工作的開展情況進行獨立的審查和監督,它可以是企業內部審計部門,也可以是獨立的外部第三方審計機構。

            相比國有商業銀行及股份制商業銀行,目前絕大部分信托公司信息化建設仍處于初級階段,大部分系統仍以采購為主,僅少數幾家比較領先的信托公司正在進行合作開發或自研。各家信托公司在對信息系統建設的財力和人力投入上也有較大差別,信托公司信息科技部門人數從幾個人到過百人不等,差異較為明顯。鑒于以上情況,在參照成熟的銀行信息安全組織架構的同時,信托公司可立足于行業及公司現狀,規劃對應的信息安全組織架構,但不論何種配置,必須滿足以信息科技部門、風險管理部門、稽核檢查部門為主體的“三道防線”基本要求,不同規模信托公司的信息安全部門設計建議如下。

            【專題研究】信托公司信息安全管理建設研究(三)

            【專題研究】信托公司信息安全管理建設研究(三)

            【專題研究】信托公司信息安全管理建設研究(三)

            3. 信息安全制度體系

            信托公司應結合國家及信息安全監管部門最新要求和自身業務需求,建立信息安全方針、制度、策略,形成完整的安全制度體系,明確信息化建設整個生命周期過程中的安全要求,確保信息安全工作有法可依、有章可循。具體可參照信息安全管理體系標準(ISO 27001),信托公司應從總體策略、管理制度、操作規程、操作記錄四個方面進行制度體系設計,可參照表 5。

            【專題研究】信托公司信息安全管理建設研究(三)

            參考ISO 27001信息安全管理標準,結合同業實踐,建議建立四個層級制度體系,涵蓋各個領域的信息安全管理制度、標準和流程。完整的信息安全制度體系清單建議如下,各信托公司可根據自身需求裁剪。

            【專題研究】信托公司信息安全管理建設研究(三)

            【專題研究】信托公司信息安全管理建設研究(三)

            4. 信息安全運營體系

            當前信托公司普遍具備了一系列安全防護設備和檢測措施,如防火墻、入侵檢測和防護系統、漏洞掃描系統、防病毒系統和終端管理系統等,構建起了點狀防御。一方面,點狀防御在運行過程中不斷產生大量的安全日志和事件,形成了大量“信息孤島”;另一方面,有限的安全管理人員面對這些數量巨大、彼此割裂、未進行分級過濾的安全告警信息,難以進行有效安全運維工作。有條件的信托公司可通過安全運營中心的建設解決“信息孤島”的問題,全面提升整體的安全防護能力。

            【專題研究】信托公司信息安全管理建設研究(三)

            安全運營中心負責統一收集、存儲、處理企業各類與安全相關的監測告警信息,通過安全事件管理流程流轉安全事件工單,由一線、二線、三線安全人員分工處理不同級別安全告警,并進行安全事件回顧,持續提升安全有效性。安全運營中心能夠對業務信息系統進行可用性與性能的監控,配置與事件的分析審計和預警,風險與態勢的度量與評估,安全運維流程的標準化、例行化和常態化,實現業務信息系統的持續安全運營。

            對于資金人員有限的信托公司可參考以下內容規劃自身的信息安全運營工作,根據自身需求有選擇性地開展重點領域的信息安全運營工作。

            【專題研究】信托公司信息安全管理建設研究(三)

            【專題研究】信托公司信息安全管理建設研究(三)

            5. 信息安全技術體系

            信息安全技術體系是利用各種安全技術、產品以及工具作為安全管理和運行落實的重要手段,最終支撐信息安全管理體系的落地。信息安全技術體系應實現訪問控制(可控性)、數據加密(保密性)、內容安全(完整性)、監控審計(不可抵賴性)、災備恢復(可用性)以及檢測發現、響應和修復。

            信息安全技術架構需要遵循縱深防御原則,由外到內分層次地采取安全防御措施,通過多道防線保證網絡安全。第一道防線是側重于網絡邊界,抵御外界入侵的第一道閘口;第二道防線是內部建設的端到端的訪問控制、內容安全、備份恢復的事前防御機制;第三道防線是事中的全面監控和事后的及時響應防線。信息安全技術體系覆蓋以下方面:

            (1)終端安全。構建終端風險體系并對終端風險進行終端安全管理,從而避免終端安全風險事件的發生。

            (2)數據安全。一是數據本身的安全,是指采用現代密碼算法對數據進行主動保護,如數據保密、數據完整性和雙向強身份認證等,數據本身的安全必須基于可靠的加密算法,例如對稱算法與公開密鑰密碼。二是數據防護的安全,主要是采用現代信息存儲手段對數據進行主動防護,如通過磁盤陣列、數據備份和異地容災等手段保證數據的安全。

            (3)應用安全。保障應用程序使用過程和結果的安全。應用程序或工具在使用過程中可能出現的計算、傳輸數據的泄露和失竊。應用系統應針對敏感數據實現加密 /解密、簽名 / 驗簽和完整性保護等安全功能。

            (4)物理安全,包括環境安全,設備安全和媒體安全三個方面:環境安全包括受災防護和區域防護,設備安全包括設備防盜、設備防毀、防止電磁信息泄露、防止線路截獲、抗電磁干擾和電源保護等,媒體安全是媒體數據和媒體本身的安全。

            (5)基礎架構安全,包括主機(包括云主機)安全、網絡安全,保證主機在數據存儲和處理的保密性、完整性和可用性,它包括硬件、固件及系統軟件的自身安全。

            各信托公司應結合自身預算、等級保護合規要求設計適當的信息安全技術架構。以下列示了常見的安全技術平臺,其中“必要性”欄目包括“基礎項”“可選項”兩類建議,“基礎項”表明對于所有公司最基本的安全技術手段,“可選項”表明對防護要求更高的安全技術手段。

            【專題研究】信托公司信息安全管理建設研究(三)

            【專題研究】信托公司信息安全管理建設研究(三)

            6. 信息安全監督體系

            信息安全監督的目標為滿足內外部的監管要求,檢查公司安全運行的健康程度,推動信息安全閉環管理。對于信托公司的信息安全監督工作應由審計部門或外部獨立機構實施。

            信息科技審計依據的標準是國家及行業的有關監管要求。使用信息科技檢查、評估工具對信息系統進行評估時,要遵循對業務影響最小化的原則。若審計活動包含了對生產系統的檢查,應當進行仔細的計劃和控制,把風險降到最低。

            【專題研究】信托公司信息安全管理建設研究(三)

            【專題研究】信托公司信息安全管理建設研究(三)

            【專題研究】信托公司信息安全管理建設研究(三)

            典型業務場景安全控制建議

            1. 消費金融業務安全控制

            (1)消費金融業務現狀。中國經濟增長方式的轉型加快,消費正逐步成為拉動經濟增長的主要動力,消費金融也逐漸成為各銀行及互聯網機構角力的主戰場。當前我國消費金融市場的競爭格局主要由商業銀行、持牌消費金融公司、大型電商巨頭以及垂直細分領域的互聯網平臺共同構成。在競爭激烈的市場環境中,信托公司應基于自身的比較競爭優勢開展消費金融業務,2019 年首家“信托系”消費金融公司中信消金成立,試圖在消費金融市場占有一席之地。

            (2)消費金融業務安全風險控制。消費金融是“場景為王”,而消費場景多元化的發展,離不開金融科技的助力。消費金融業務包括客戶識別、風險防控、運營管理三個大的階段。在客戶識別階段主要利用消費金融 APP 獲客,通過用戶名密碼,結合人臉識別、聲紋識別等生物識別技術進行客戶身份收集和驗證;在風險防控方面,利用大數據人工智能,第三方征信等技術構建風險模型,對客戶風險進行識別;在運營管理方面,利用大數據技術對逾期賬戶進行分析,降低不良率。結合信息科技在消費金融業務中的應用場景,在信息安全方面,建議從 APP 移動安全、反欺詐、數據安全三個方面著手,建立覆蓋消費者信貸消費全過程的信息安全保護機制,為消費者提供安全、穩定的金融服務。

            ①APP 移動安全方面。APP 移動安全主要防范因 APP 系統本身存在安全漏洞使系統被攻擊,使業務中斷。消費金融業務主要客戶流量入口是通過 APP 獲取客戶并提供服務,因此 APP 系統安全是需要關注的重點。移動安全主要涉及 Android 和IOS 兩塊,主要關注移動端應用特有的安全風險。兩大平臺所面臨的安全有共性部分,如 APP 收集個人信息合法合規性、APP 數據傳輸安全、APP 本地存儲安全、APP 配置安全、第三方 SDK 安全等;也有差異部分,如 Android 有組件安全,IOS有 keychain 使用不當的風險。

            ②反欺詐方面。反欺詐主要防范用戶身份被他人非法冒用,進行未授權交易或者資金轉移。用“技術 + 數據”開展風險管理已成為消費金融公司的共識。通過活體檢測、人臉識別、視頻核身、聲紋檢測、設備指紋識別、復雜關系網絡、網絡行為識別、地址模糊匹配技術,建立兼顧安全與便捷的多元化身份認證體系,豐富金融交易驗證手段,保障移動互聯環境下金融交易安全,提升金融服務的可得性、滿意度與安全水平。綜合運用數字簽名技術、共識機制等手段,強化金融交易報文規范管理,保障金融交易過程的可追溯和不可抵賴,提升金融交易信息的真實性、保密性和完整性。

            ③數據安全方面。數據安全主要防范各種原因導致的客戶信息泄露。數據安全的管控需要從整個數據生命周期考慮,例如,在獲取用戶的任何數據時,都會首先征得用戶授權,信息使用均遵照法律及客戶授權,杜絕非授權接觸客戶信息。同時需要通過網絡隔離、數據加密、網絡攻擊防御、信息脫敏等相關技術,從數據的采集、傳輸、存儲、處理、交換、銷毀等方面對數據進行全生命周期管理,建立全面可靠安全保密的信息管控環境,有效防范大數據時代安全風險,全力保障消費者個人信息不被泄露。

            2. 家族信托業務安全控制

            (1)家族信托業務現狀。隨著中國經濟不斷發展,個人財富水平也隨之提升,中國建設銀行發布的《中國私人銀行市場發展報告》稱,2018 年,國內個人可投資金融資產達到 600 萬元以上的高凈值人士數量已達到 167 萬人,中國高凈值人群總人數穩居全球第二。最新調研顯示,目前高凈值人士整體已經在使用家族信托的比例已接近 10%。與傳統銀行業的理財增值相比,家族信托模式下的財富管理已經轉為為高凈值人群提供綜合金融解決方案。截至 2018 年末,國內 68 家信托公司中有 33 家開展家族信托業務,明確披露信息的 15 家信托公司家族信托業務規模達 838.57 億元。

            (2)家族信托業務安全風險控制。國家金融與發展實驗室財富管理研究中心的調查數據顯示,高凈值客戶在家族信托機構選擇時,主要以品牌值得信賴、團隊專業、豐富的增值服務為考慮因素。因此值得信賴是客戶在選擇家族信托機構的首要考慮因素,客戶隱私保護能力將成為信托公司差異化競爭優勢。

            家族信托業務的客戶多為高凈值人士,信托資產規模較大,對隱私保護要求很高,需要向其提供定制化的隱私保護專享服務,建議從以下方面考慮:

            ①保障客戶隱私權利。家族信托公司需要站在用戶角度,明確告知客戶享受的隱私權利,依據 GB/T 35273—2017 《信息安全技術 個人信息安全規范》,隱私權利包括同意權、選擇權、保密權、數據訪問權、更正權、可攜帶權、刪除權等隱私權利,信托公司應通過家族信托相關的業務流程改造及其系統功能優化實現上述隱私權利。

            ②客戶數據識別和風險評估。對家族信托業務中包含的敏感信息在整個數據創建、處理、存儲、傳輸、刪除和銷毀生命周期過程中流轉過程進行梳理,掌握數據分布情況,識別數據流轉各個環節安全風險。家族信托數據的敏感級別應高于信托其他業務數據,嚴格限制家族信托敏感數據在信托公司內部進行數據共享。

            ③客戶數據加密。通過對敏感數據進行分類和分級處理,確保不同類別、級別的數據的安全存儲要求。按照國家密碼要求,對客戶數據采用安全加密算法進行加密并存儲。通過網絡傳輸客戶數據時,采取必要的通道加密措施,防止數據在傳輸過程中被竊聽或破壞。

            ④系統隱私功能模塊設計。對于包含家族信托客戶數據的業務系統應建立隱私保護功能架構的主要組件。該參考架構分成三層:個人信息設置層、身份和訪問管理層、個人信息層。

            【專題研究】信托公司信息安全管理建設研究(三)

            ⑤隱私保護白皮書。編寫《家族信托隱私保護白皮書》,作為家族信托客戶專屬定制服務定期向相關客戶發布,介紹國家隱私監管趨勢,本公司如何通過產品設計,將用戶對數據的控制轉化為實際操作;通過安全技術和規范流程保護數據,展示信托公司隱私保護能力,增強高凈值客戶信任感及專業認可度。

            3. 證券投資業務安全控制

            (1)證券投資業務現狀。在過去的證券投資領域,信托公司更多扮演事務管理人角色,投研能力、自主管理能力較弱,而未來整個行業都將告別依靠數量和規模獲利的時代。信托公司應首先提高自身投研能力,借助投資行業分析、企業發展潛力分析、產品投資組合、量化分析等方式,實現對于信托財產的增值與保值;其次,不斷完善證券資產的管理與運營能力。在實現估值、下單、通知、清算等操作的線上化之后,進一步挖掘準確、及時、專業的服務,提升客戶體驗;另外,強化風險處置與應對能力。

            (2)證券投資信托業務安全風險控制。監管要求證券基金經營機構應當對投資交易業務合規管理、風險控制、清算交收、財務核算等中后臺部門集中統一管理,并應當通過信息技術等手段全面掌握、監測投資交易行為,及時有效防范風險。由于證券投資業務的特殊性,證券投資交易系統安全性直接影響到交易資金的安全性以及資本市場穩定,主要涉及系統安全和操作安全兩個方面。

            ①系統安全方面。中國證監會發布的《證券期貨業信息安全保障管理辦法》中明確要求證券投資機構應當對交易、行情、開戶、結算、風控、通信等重要信息系統具有自主開發能力,擁有執行程序和源代碼并安全可靠存放,在重要信息系統上線前對執行程序和源代碼進行嚴格的審查和測試。

            證券投資交易的實時性、連續性、安全性要求較高,因此投資交易系統應提供多種強度的認證機制加強用戶身份認證,認證機制可充分考慮對交易性能影響。采用可靠的加密(如 SSL)和數據完整性校驗機制,以保障投資交易業務完整性和保密性,至少涵蓋投資交易從客戶端、站點服務器、交易中間件及數據庫等各環節。對于對投資交易過程涉及的傳輸數據及敏感的用戶存儲數據進行加密管理。投資交易系統涉及的網絡線路、網絡設備、系統主機服務及數據進行冗余管理,提供實時的投資交易站點互備機制,便于系統故障時能夠實時自動切換以保證投資交易連續性。

            ②操作安全方面。中國證券市場屢現“烏龍指”事件,此類行為一旦出現將嚴重影響市場穩定,并招致監管機構的嚴厲處罰,因此在證券投資交易過程中,為防范業務操作風險,2018 年,若干管理部門聯合發布了《證券交易資金前端風險控制業務規則》,其中對證券投資交易參與方的投資交易系統提出了支持相關業務操作風險控制的系統功能要求,包括對交易單元進行分類,根據交易參與人申報的自設額度,對關聯交易單元的全天凈買入申報金額總量實施額度控制。證券投資交易參與方應當遵守上海證券交易所,深圳證券交易所,中國證券登記結算有限責任公司發布的系統接入技術規范,參加并應當通過交易所、中國結算組織的技術系統測試。

            信息安全體系預期效果與展望

            1. 符合法律法規要求,滿足監管紅線

            信托公司信息安全管理體系建設可協助各信托公司滿足國家信息安全監管合規要求,為各項業務開展提供基礎條件。

            2. 加強系統穩定性,保持業務持續發展

            信息安全管理體系的建立有助于在信息系統開發建設過程中融入安全保護,避免因開發需求分析不充分、架構設計不合理、安全漏洞未及時發現并修復等一系列問題,影響信息系統的可用性和完整性。在信息系統受到攻擊時,能確保業務持續開展并將損失降到最低限度,提升組織的核心競爭力。

            3. 增強客戶信任感,提升業務競爭力

            相比其他金融行業,信托行業服務的是高凈值客戶,是“受人之托、代人理財”,客戶對于安全性、隱私性要求更高。信息安全管理體系的建設,可樹立信托行業“值得托付”的社會信任感,并體現信托行業的企業責任和社會責任,增強用戶信任感,有利于信托行業在社會上建立起“信托法理 + 安全可靠”的行業形象,意義深遠。

            (課題牽頭單位:平安信托有限責任公司

            摘自:《2019年信托業專題研究報告

          關鍵詞閱讀:信托

          責任編輯:盧珊 RF10057
          快來分享:
          評論 已有 0 條評論
          更多>> 以下為您的最近訪問股
          理財產品快速查詢
          彩票106手机安卓版APP