国家信息安全等级保护认证 金融科技合规新标准
截至2016年10月底,中国P2P网贷行业历史累计成交量达到29650.33亿元人民币,距离第三个万亿已经只差毫厘。可见今年8月“史上最严”监管的出台,对金融科技在中国的强势发展起到了正向引导作用,同时,用户与资金向大平台集中的趋势更加明显。在此情况下,行业、平台是否有能力保护动辄数千万用户的“信息安全”成为了各方关注的焦点。
保护信息安全监管先行
8月24日,《网络借贷信息中介机构业务活动管理办法》正式出台,其中对于P2P信息系统的风险管理提出了详细要求:P2P平台应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计,并且应当聘请有资质的信息安全测评认证机构定期对信息安全实施测评认证,并由第三方机构对信息系统稳健情况进行评估。
这并不是监管部门第一次对平台的“信息安全”工作提出要求,早在2015年底发布的《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》中就已经明确指出:网络借贷信息中介机构应按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试。
《网络借贷信息中介机构业务活动管理办法》对平台系统安全的要求,在很大程度上抬高了金融科技行业的准入门槛,以往“几千元买模板建站”的小平台或将不复存在。
平台积极合规完善系统建设
根据媒体统计,目前全国金融科技行业已经完成“国家信息安全等级测评”并向公安机关报备的平台仅有几十家。这个数字与行业近2000家正常运营的平台数量相比,实在微不足道。
当然,对于已经完成了“信息安全等级测评”相关工作的平台来说,其水平也并非处于同一水平线上。2007年由公安部、国家密保局、国家密码管理局、国务院信息化工作办公室联合下发的《信息安全等级保护管理办法》将信息系统的安全保护等级分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
目前,以银行为代表的绝大部分传统金融机构的信息安全等级认证为第三级。在网贷行业中,获得“国家信息安全等级保护第三级认证”的平台目前仅有宜人贷等不足十家,多数平台的信息安全等级为第二级。
此外,监管政策对于第三级以上信息系统的等级保护测评机构资质提出了严格要求。据宜人贷相关负责人介绍:宜人贷是通过“公安部直属测评机构公安部第一研究所”进行的等级测评,保证了测评过程的科学性、严谨性及公正性。同时,作为“第三级认证”平台,宜人贷每年都会积极主动地开展等级测评,并向公安部门进行备案。
互联网金融平台的信息安全影响重大,事关用户的个人信息与资金安全,平台方必须高度重视、积极合规,尽早完成监管要求,完成信息安全等级保护的要求,保护大众权益。