近日,中国金电子公司北京国家金融科技认证中心(以下简称“国金认证”)选送的《个人金融信息保护能力认证:构筑数字时代的安全防线》,在市场监管总局组织开展的2024年全国“服务认证体验周”活动中,成功入选“服务认证优秀文字作品”。
据了解,全国“服务认证体验周”作为每年市场监管总局“质量月”活动的重要组成部分,对于宣传服务认证成效、扩大服务认证认知、营造“懂认证、用认证”的良好氛围等具有积极促进作用。
个人金融信息的隐私安全是金融行业数据安全的重中之重,如何做好个人金融信息保护也是金融行业的永恒主题。个人金融信息保护能力认证业务是国金认证分析金融机构需求,结合金融行业痛点,于2021年推出的创新业务,旨在助力金融机构个人金融信息保护体系建设,助力金融机构合法依规开展金融服务,为金融机构的“数字化转型”之路保驾护航。国金认证作为覆盖服务、产品、管理体系三大认证门类的全类别认证机构,为金融机构提供了更为专业而丰富的认证服务,个人金融信息保护能力认证的推出也进一步扩充了国金认证的服务体系。
个人金融信息保护能力认证依据《个人金融信息保护技术规范》(JR/T 0171-2020)、《金融数据安全 数据安全分级指南》(JR/T 0197-2020)、《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等国家和金融行业相关标准以及相关法规要求,从组织级和项目级两方面对申请方个人金融信息保护工作的标准符合性进行审查。
组织级主要审查申请方的个人金融信息保护制度与策略以及数据分级分类情况,覆盖申请方个人金融信息保护的组织架构、岗位职责、个人金融信息全生命周期的保护措施、数据分级分类制度、人员管理、访问控制权限配置管理、人员培训制度、申诉投诉处理机制、应急预案及安全事件响应处理流程、监控机制、安全审计等;项目级主要审查个人金融信息在全生命周期各个环节保护策略的执行情况以及个人金融信息保护制度在业务操作中的实施情况。根据组织级和项目级两方面的审查结果对申请方的个人金融信息保护能力级别作出判定,共分为I、Ⅱ、Ⅲ三个级别,其中Ⅲ级为最高等级。
在认证实施过程中,国金认证坚守金融行业“拉质量高线,保安全底线”的初衷与使命,严把“质量关”,从标准的角度为申请方把控合规风险,如是否明确个人金融信息保护组织架构和责任人;是否明确了相关岗位职责;人员权限是否得到有效管控;是否采取有效的技术措施防止个人金融信息的泄露;是否建立可执行的个人金融信息安全影响评估制度;是否对个人金融信息共享、委托处理等场景中涉及的第三方机构进行有效控制,防止信息外泄或被滥用;是否建立有效的包含内部审计和第三方审计在内的审计制度;是否建立有效机制保证隐私保护政策与上线运行的金融产品或服务的一致性等。
个人金融信息保护能力认证业务推出三年来,业务得到了稳步增长,累计服务客户30余家,客户范围覆盖北京、上海、广东、浙江、陕西、山西、黑龙江等地区,客户类型涵盖了银行业机构、保险业机构、支付机构、小贷机构、金融科技企业等多个类别。在认证实践中,国金认证也看到了金融机构在个人金融信息保护方面长处与短板,对个人金融信息保护现状、问题,有了更深的理解和认识,针对发现的一些问题给出针对性建议,案例如下:
某机构违规收集方面发现问题,包括超范围收集、未向客户明示隐私政策并获得授权同意、敏感个人金融信息未采用收集加密方案等。
建议:机构应重视并强化隐私政策的管理,明确隐私政策管理的归口部门;建立隐私政策与系统功能一致性的机制;明确客户可获取隐私政策的方式和功能点位,保证客户在查阅隐私政策并授权后才开启收集动作;明确各类别的个人金融信息在收集时的安全保护要求,对于敏感的个人金融信息保证收集时安全可靠,防止被第三方窃取。
某机构违规使用方面发现问题,包括违规查询、下载、导出等操作。
建议:机构应加强个人金融信息内控管理,人员权限分配满足最小化配置,人员调岗、离职时,系统权限调整、回收纳入管理环节中,定期对人员系统权限进行审计稽核;强化后台管理系统对于客户敏感个人金融信息的明文查看,做到细粒度授权与行为审计,审核岗人员根据实际需求出发明文查看操作,系统具有相应的明文查看操作记录,可支持行为审计;对业务系统和操作终端进行严格的边界管控,数据导出过程严格受控,定期审计稽核。
国金认证审查组就现场审查发现的问题,在与申请方充分沟通后如实提出,使申请方对问题引起了足够的重视,进而有针对性地整改以满足合规要求。这切实为金融机构守住了合规底线,降低了合规风险,也赢得了客户的尊重与认可。部分金融机构由初审时的个人金融信息保护能力I级,经过对组织架构和管理制度的优化和调整,并狠抓个人金融信息保护策略的落地执行后,次年监审时个人金融信息保护能力提升至Ⅱ级。通过认证评估的形式,金融机构的个人金融信息保护能力得到了切实提升,个人金融信息保护策略得到了更有效地落实,这也是此项服务认证的意义所在。
有了“个人金融信息保护能力认证”的成功实践基础,未来国金认证将深耕服务认证领域,拓展推广“金融业数据安全认证”“金融业数据能力等级认证”等一系列新业务,为金融机构提供更广泛更贴合业务需求的合格评定活动,更好地服务于广大的金融机构和金融消费者。
本文来源:中国金电
投稿邮箱:News@bfia.org.cn
