新华社上海9月19日电(上海证券报记者 黄蕾)银保监会近日下发通知,要求各银行保险机构就互联网业务系统安全问题展开自查,并采取有效防范和应对措施,做好客户信息保护工作。
监管部门在行业摸底时发现,仍有银行保险机构的互联网业务系统存在安全漏洞。比如,有个别机构的系统在无需客户授权登录情况下,输入客户身份证号即可查询并显示该客户完整的银行卡号和柜面预留手机号,存在信息泄露的潜在风险。
有的机构的软件开发生命周期安全管控缺失。比如,个别机构的系统设计存在漏洞,未严格控制敏感客户信息的访问权限;个别机构在系统上线前未开展网络安全测试,系统“带病上线”。
个别银行保险机构的风险监测、预警和处置机制不健全。比如,有的机构在系统上线后未有效开展安全评估,未及时发现和修补安全漏洞,风险监测系统也未限制同一IP地址的查询频度和数量,难以在第一时间监测到不法分子的大量非法查询操作等。
监管部门在此次机构自查中提出了3点要求。
一是提高网络安全风险意识,严格落实网络安全责任制。各银行保险机构要清醒认识当前严峻复杂的网络安全形势,董事会、高管层要切实承担起本机构网络安全治理的主体责任,持续完善网络安全治理架构。
二是全面排查互联网业务系统客户敏感信息泄露风险隐患,及时修补系统漏洞。各银行保险机构要组织力量对面向互联网服务的业务信息系统(包括网站类、App类、微信公众号类系统)开展一次全面、深入的风险排查,对潜在的、可能导致客户敏感信息泄露的风险隐患,要坚持以“零容忍”的态度,尽快采取控制措施,修补漏洞,确保不发生客户敏感信息泄露事件。
三是建立客户信息保护长效机制。要健全开发安全管理体系,制定并落实安全需求、设计、编码规范,强化安全测试,所有互联网业务系统均要经过严格评审和充分测试后方可投产运行,坚决杜绝“带病上线、带病运行”。
通知要求,要制定本机构的客户信息分类和分级标准,落实不同等级信息的保护要求,分级分层设计数据接口,针对存储和处理敏感客户信息的互联网业务系统,要严格实施访问控制,按照“最小必要”原则规范敏感客户信息的网络传输、客户端信息展示、数据共享等过程,采取必要的加密、身份鉴别、数据脱敏、屏蔽展示等措施。(完)
如果觉得《严防互联网业务系统“带病上线”监管部门要求金融机构自查》对你有帮助,请点赞、收藏,并留下你的观点哦!
