信息汇聚

电子银行安全评估——商业银行信息安全工作必选项

随着互联网信息技术的不断发展,银行展业模式发生了巨大的变化。越来越多的银行业务完成了线上化、移动化迁移。电子银行系统业务功能、形态也在不断更新、迭代。线上、移动端用户规模日益庞大,电子银行业务占比越来越大。伴随着电子银行系统重要性提升,电子银行面临的威胁种类越来越多,风险越来越大。针对银行业发动系统攻击的黑客数量越来越多,攻击手段也越来越复杂。银行业信息安全问题引起各界关注,并被认为达到关系社会安定发展的高度。面对种种外在威胁存在的严峻形势,银行业需要更加重视电子银行的安全性,结合系统特性,有针对性地开展电子银行信息安全保障工作。


电子银行安全评估的合规需求


近几年有个别银行的电子银行系统发生了不同程度的安全事件,也使得中国人民银行、银保监会等监管机构,以及金融机构自身都更为重视电子银行系统的安全。银保监会在《电子银行业务管理办法》中要求银行不长于两年进行一次电子银行系统安全评估。人民银行在2020年2月修订的《网上银行系统信息安全通用规范》(JR/T0068-2020)中也要求应每年至少开展一次对网上银行系统的信息安全风险评估及深度信息安全检测工作。因此,银行业金融机构定期开展电子银行安全评估已成为信息安全合规工作的必选项。银行机构通过电子银行评估可及时、全面发现电子银行业务系统在管理、技术和业务方面存在的问题,消减信息安全风险,建立更完善的电子银行系统安全事件防范预警机制,保障电子银行业务安全运行,提升电子银行风险防控能力和业务竞争力,满足国家和行业监管要求。


电子银行安全评估的工作内容


电子银行安全评估会展开的工作有哪些?主要依据银保监会发布的《电子银行安全评估指引》,并参考人民银行发布的《网上银行系统信息安全通用规范》内容,对银行业金融机构电子银行业务的安全策略、内控制度建设、风险管理状况、系统安全性、业务运行连续性、业务运行应急计划、风险预警体系等方面的安全性进行深入分析和评估,提出有针对性的对策和建议。


电子银行安全评估的常见手段


电子银行安全评估一般从电子银行系统入手,分别针对安全管理、技术安全、业务安全三个层面进行剖析。


安全管理方面,通过制度审查、流程记录复核、访谈、流程追查等手段,评估电子银行安全管理框架及体系的健全性、符合性和有效性。


技术安全方面,通过安全配置核查、漏洞扫描、渗透测试、机房能力测评等技术手段,对电子银行的数据通讯安全、应用系统安全、客户端安全、密钥管理、客户信息认证与保密等进行评估,并根据评估结论提供行之有效的风险改善方案。


业务安全层面,通过穿行测试、业务流程梳理、控制措施验证等手段,对电子银行中的业务流程安全性进行分析,将业务安全测试覆盖到每一个业务操作点,寻找业务逻辑、权限控制问题等风险点,充分挖掘业务风险。


来源:中国电子银行网  

首页 | 关于我们 | 活动资讯 | 信息汇聚 | 委员专区 | 专家资源库 | 培训与咨询 | 研究院 | 《金融创新》杂志
公司地址:广州市天河区华强路3-2号富力盈力北塔2007室 电话:020-020-38342313
版权所有:广东省粤港澳合作促进会金融专业委员会    网址:www.yganef.cn    备案号:粤ICP备20021853号  技术支持:宏智网络科技
资讯均转载自其他媒体,目的在于信息传递,并不代表本网站赞同其观点和对其真实性负责。其他媒体、网站或个人转载使用时必须注明文章来源,并自负法律责任。