首页 > 国内 > 正文

环球头条:网银账户信息被窃取?监管出手整治银保机构外包服务

2023-06-28 10:30:44来源:证券日报  

本报记者杨洁


(资料图)

6月28日,《证券日报》记者从业内获悉,近期,监管向各银保监局、银行、保险、理财、养老金管理等机构下发《关于加强第三方合作中网络和数据安全管理的通知》(以下简称《通知》)。

《通知》提到,近期,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。

为进一步加强供应链安全管理,保障生产稳定运行,《通知》要求,银行保险机构开展风险自查,加强科技风险统筹管理,加强非驻场外包风险监测和监管报告。此外,强化“服务外包、责任不外包”的主体意识。

企业微信服务存两大风险和问题

关于企业微信服务,《通知》提到两项主要风险和问题。一是银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理。开展数字生态合作时,银行保险机构外包风险主管部门、科技和数据管理部门未参与,缺乏数据安全风险评估、监控管理等机制,存在突出风险隐患。二是银行保险机构对合作中数据安全风险和责任识别划分不清

全面开展风险自查和整改

针对上述问题,《通知》提到,银行保险机构要全面开展一次自查,摸清数字生态场景合作中的网络和数据安全风险底数,开展排查整改。在合同协议中强化数据安全要求,对于存在违规行为或违反合同约定的,要追究有关外包合作单位的责任,在问题整改完成前,不能扩大合作范围内容。同时,将数字生态合作纳入到银行保险机构的外包风险管理范围,加强统筹管理,科技和数据管理部门应加强外包合作的网络和数据安全管理,加强风险评估和事件处置。

《通知》要求,银行保险机构应按照监管隶属关系,于7月10日前,将风险自查和整改情况、企业微信合作情况表向国家金融监督管理总局或银保监局(分局)报告。银保监局汇总后,于7月20日前报送国家金融监督管理总局。

科技外包服务存风险

关于科技外包存在的风险情况,《通知》列举了多项事件。例如,2023年2月份,某互联网域名代理商因私自变更失误,导致某银行互联网域名解析失败,在业务高峰期影响金融交易达68分钟。2022年8月份,4家省联社托管在某服务商的网银系统因存在越权访问漏洞,被不法分子攻破,大量客户信息和账户信息被窃取。

《通知》提到,银行保险机构在供应链安全管理上履职不到位,对外包服务的应急管理机制不健全。外包服务商的安全管理和技术防控能力严重不足。

不通过即时通讯等不安全渠道传输数据

针对科技外包存在的风险与问题,《通知》明确,银行保险机构应强化“服务外包、责任不外包”的主体意识,切实承担数据安全主体责任,统筹管理科技风险,压实外包服务商安全责任,提升整体防控水平。

《通知》要求,银行保险机构应加强风险评估和尽职调查,加大监控力度和违规问责,加强对外包服务商的监督管理和实地检查,合作结束后必须下线相关系统并删除数据强化合同的网络和数据安全要求条款,验收时严格执行安全风险检查,对发生安全生产事件的要按合同约定进行处罚。

《通知》还提到,银行保险机构对外提供数据应按“业务必需、最小权限”原则进行,系统和数据应优先在银行保险机构本地化部署。加强边界防护和传输保护,建立与外包服务商的隔离防火墙,不通过即时通讯、网盘、互联网邮箱等不安全渠道传输数据

(文章来源:证券日报)

关键词:

责任编辑:hnmd003

精彩推送