本文共计3041字,阅读预计需要9分钟
金融信创产品采购
金融作为国家关键信息基础设施的行业之一,其安全稳定直接关系到社会经济的稳定和繁荣,承载着国计民生的重要责任。金融行业的自主性和安全性,不仅关系到国家主权和独立,更是与每一个公民的生计息息相关。
作为强监管领域的金融行业及其信息安全,对于信创技术合作伙伴的行业准入标准设定的相当严格。基于明朝万达搜集的资料及实际经验的总结,合作伙伴的资质审查通常聚焦于以下几个关键方面:
1
合作方供应商国籍要求
金融行业相关科技外包项目具有注重供应商的“国籍”趋势,如供应商的核心高管、股东、最终受益人等可能都会被要求具备中国国籍;
2
代理商资质
相关产品供应商须具有信创服务器、信创网络设备、信创存储设备3类设备的有效期内的原厂(不限原厂范围)代理资质;
3
证券行业特殊要求
证监会于2020年7月发布《证券服务机构从事证券服务业务备案管理规定》,要求提供信息技术系统服务的证券服务机构按此规定进行备案,因此证券机构的信创产品供应商需满足相关规章制度中的备案要求。
人行及金管局陆续推出
本领域数据安全管理办法
2024年3月22日,国家金融监督总局(“金管局”)发布《银行保险机构数据安全管理办法(征求意见稿)》(以下简称“《银保监数安办法》”),这是继2023年7月人民银行发布的《中国人民业务领域数据安全管理办法(征求意见稿)》(以下简称“《人行领域数安办法》”)之后,金融领域又一数据安全综合性管理办法。伴随着金融领域数据安全管理办法的相继推出,金融领域数据安全建设工作中的技术要求管理、数据安全审计、数据安全风险评估、重要数据目录报送、数据分类分级等已成为监管部门及金融企业合规工作中急需建设和挑战的工作。
总的来看,《银保监数安办法》与《人行领域数安办法》适用范围划分方式有着明显差异。不同于《人行领域数安办法》以是否从事征信、支付清算、跨境人民币业务、货币政策、反洗钱等业务的金融机构及其他机构划为适用机构,《银保监数安办法》的适用机构类型则更为广阔与具体,包括银行金融机构(开发性金融机构、政策性银行、商业银行、农村信用社)、保险机构(保险集团(控股)公司、保险公司、保险资产管理公司)、非银行金融机构(金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、理财公司)及其他体量较小的各类非银行金融机构。
因此,金融机构可能面临人行、金管局不同条线的双重数据监管压力。虽然两者在监管办法中对安全审计、风险评估、监管报送、技术体系建设都提出了相似的要求,但对分类分级体系建设、重要数据目录报送等具体合规要求又存在差异。这也就意味着处于两部办法适用范围的金融机构可能需面临不同的监管要求,需要付出更多的合规成本来达到监管的要求。
第三方供应商管理和风险控制
许多金融机构依赖第三方供应商提供关键的技术和服务,但这也带来了数据安全风险。合规要求金融机构加强对第三方供应商的风险评估和监控,确保其符合数据保护标准,并且能够及时响应数据安全事件。
在《关于加强第三方合作中网络和数据安全管理的通知》中,我们可以看到很多由于金融机构与外部合作方系统使用不够谨慎造成的金融机构数据严重泄露事件,对企业数据安全建设造成较为重大的影响。通常来讲,金融机构常合作的三方机构包括征信机构、清算机构、第三方支付机构、IT技术服务商、消费金融机构等,常见的合作场景有逾期清收、支付结算、风险分担、资产评估等。总的来看造成企业第三方合作风险的主要是银行保险机构在供应链安全管理上履职不到位、银行保险机构对外包服务的应急管理机制不健全以及第三方外包服务商的安全管理和技术防护能力严重不足。根据《要求》,通常金融机构与第三方合作需重点关注以下方面:
合作协议约束
通过书面合作协议明确双方数据安全与个人信息保护方面的权利义务,强化合同的网络和数据安全要求条款;
应急事件管控
加强外包合作过程中事件的应急处置,对于处理敏感及以上等级数据的外包合作方,需加强风险监测与应急预案管理;
数据传输安全管理
加强边界防护和传输保护。对外提供个人信息需参考个人信息保护相关规章,按照“业务必须,最小权限”原则进行;
风险统筹管理
科技和数据管理部门应加强外包合作中的网络和数据安全管理,将数字生态合作纳入金融机构合作方风险管理范围内,提升科技风险统筹能力。
跨境数据传输的复杂性和合规性
金融机构的全球化运作使得跨境数据传输成为常态,但不同国家对数据保护的法律要求不同,如何在全球范围内实现数据的安全传输和合规处理成为一个难题。金融机构需要建立强大的数据安全体系,包括加密技术、访问控制和安全审计,以应对跨境数据传输中的法律挑战。
《促进和规范数据跨境流动规定》(以下简称“《跨境流动规定》”)发布后,三大数据出境合规机制——数据出境评估、标准合同、保护认证依旧没变,变化的是适用三大数据出境合规专项机制的具体范围。在最新的《跨境流动规定》中,对三大数据出境合规专项机制对应的阈值进行了实质性调整,重申和明确若干数据出境活动无需适用的数据出境合规专项机制要求。这意味着此前若干需要履行数据出境合规专项机制的数据出境活动将豁免使用对应机制要求。同时,《跨境流动规定》中鼓励自贸区制定数据出境“负面清单”,意味着自由贸易试验区内金融机构向境外提供负面清单外的数据,可以免于履行三大数据出境合规专项机制。
在这个信息化和全球化的时代,金融领域的数据安全与合规不仅仅是一个技术问题,更是一项战略性挑战。金融机构需要不断更新其数据安全和合规策略,结合最新的技术和全球法律法规,以保护客户数据,提高市场信誉,在日益激烈的市场竞争中稳固并提升自身的竞争优势。
明朝万达助力金融机构数据安全合规
目前,银行、证券金融机构的业务数据规模大、价值高、应用场景复杂,面向投资者提供着众多金融产品和服务,对信创产品和数据安全治理运营有着天然的诉求。如何结合企业业务特性,建立健全数据安全运营体系,满足相关政策法规、监管要求,保护数据在业务中的合规使用及流转,提升数据价值就显得尤为迫切。
针对以上,明朝万达以客户敏感数据为切入点,从数据分类分级和资产盘点、数据安全运营等几个方向,多维度助力金融机构完善数据安全管理体系,提升数据安全运营保障能力,同时紧跟国家和监管发展要求,着力推动企业信创产品覆盖,为企业数字化转型赋力、赋能。截止目前,明朝万达已与中国邮储银行、交通银行、中信银行、浦发银行、浙商银行、上海银行、PICC、中国人寿、太平保险、中国银联、国泰君安等近百家金融机构达成合作,提供全面、定制化的数据安全解决方案及和合规建议。
作为中国新一代信息安全技术企业的代表厂商,明朝万达多年来专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务,客户覆盖金融、政府、公安、电信运营商等诸多行业。
公司始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展。在坚持技术创新的同时,注重技术与业务的深度融合,为客户提供量身定制的数据安全解决方案。
往期 · 推荐
