日前,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,该法将于2017年6月1日起施行。《网络安全法》就网络安全等级保护制度给予相关规定。其第三章第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。(详细条款请参阅《中华人民共和国网络安全法》全文) 信息技术发展日新月异,网络强国成为国家战略,网络安全和信息化更是纳入“十三五”规划,网络安全等级保护被赋予了更高的期望,且已作为法律条款写入《中华人民共和国网络安全法》。公安部网络安全保卫局郭启全总工曾在公开场合表示,国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代。但随着信息技术的不断发展,特别是云计算、物联网等新技术的不断涌现和应用,开展等级保护工作面临着越来越多的新情况、新问题,基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。 作为信息安全防御重中之重的金融行业,面对等保2.0时代,企业重要信息系统如何防护?企业信息安全工作如何实践?在近日召开的绿盟科技Security+金融信息峰会上,绿盟科技等保专家在题为《互联网金融:等级保护标准与实践》的主题演讲中给出了答案,互联网金融企业信息安全合规工作要从建立安全运营体系、信息安全监督体系与内审、信息安全外部审核与认证三个步骤进行。 互联网金融企业必须满足等保合规要求 当前互联网金融由传统金融机构和非金融机构组成,传统金融机构主要指传统金融的互联网创新和电商创新、APP软件等,非金融机构主要指运用互联网技术进行金融运作的第三方支付、P2P网贷平台、手机理财APP等。据报道,目前中国互联网金融市场的规模已是世界第一,2015年中国互联网保险的保费规模达到2234亿元,但是目前国内的网络安全技术平台、安全防护机制尚不成熟,互联网金融的各方参与者对于数据安全、客户信息安全的风险防患意识薄弱,造成互联网金融信息风险事件时有发生。在此背景下,国务院办公厅联合多个部门发布互联网金融“1+N整治方案”,包括国务院办公厅的总方案《互联网金融风险专项整治工作实施方案》,以及一行三会与工商总局出台的六大领域专项整治方案。(专项整治对象:非金融机构支付服务、互联网资产管理、互联网保险、P2P网络借贷、股权众筹、互联网金融广告)。 |