隨著移動互聯網的快速發展,傳統金融服務不斷向移動端延伸,移動金融App成為金融機構服務金融消費者的重要渠道,其所承載的業務范疇和業務量與日俱增。相較于傳統基于專用網絡的金融系統部署模式,移動金融App通過互聯網提供服務,帶來更大的安全挑戰,對金融機構的安全管理能力提出了更高要求。加強移動金融App管理制度體系建設勢在必行。
安全管理,制度先行。中國人民銀行發布《中國人民銀行關于發布金融行業標準加強移動金融客戶端應用軟件安全管理的通知》,要求金融機構加強客戶端軟件設計、開發、發布、維護等環節的安全管理,構建覆蓋全生命周期的管理機制,切實保障客戶端軟件安全。金融機構落實主體責任,建立健全移動金融App管理制度體系,完善管理體制機制,是做好移動金融App安全管理的先決條件。
本次移動金融App創新實踐典型案例入圍名單中,多個金融機構重視并加強制度體系建設工作,通過制度先行、厘清責任,多措并舉推進移動金融App安全管理體系建設。主要體現在:一是持續提升金融科技管理責任意識,依據相關監管政策、行業自律和標準等要求,落實對本單位移動金融App的安全管理主體責任;二是加強移動金融App管理制度建設,建立健全覆蓋移動金融App軟件設計、開發、發布、維護等生命周期各個階段的內控管理制度;三是扎實落實管理職責和制度要求,有效發揮制度體系的作用。典型案例介紹如下:
(資料圖)
? 典型案例1:民生銀行移動金融客戶端安全合規管理體系建設
民生銀行高度重視移動金融客戶端應用軟件實名備案工作,響應監管和行業自律要求,迅速成立由信息科技部、網絡金融部、法律合規部等相關主管部門組成的專項工作組,組織落實備案任務,“民生銀行手機銀行”App在首批試點工作中率先獲得金融科技產品認證證書,并完成移動金融客戶端備案工作。
民生銀行持續完善移動客戶端安全合規管理體系,建立“責任到人”的敏捷、高效的常態化跨部門合規工作機制。首先,建立工作機制,成立跨部門的移動客戶端安全合規工作組,配置專人專崗負責移動客戶端的合規日常、外部評估備案工作,確保每項工作有人抓,有人管。其次,擴大認證范圍,積極開展移動金融客戶端的金融科技產品認證和備案外,積極開展移動互聯網應用程序(App)安全認證等相關工作。第三,持續外規內化,持續跟進人民銀行、各部委針對移動客戶端的法律法規、標準制度以及相關要求,通過梳理解讀完成外部標準規范的轉化落地。第四,加強宣傳教育,民生銀行定期組織協調外部監管機構專家,面向全行組織移動客戶端外部認證及客戶端個人信息保護相關專題培訓,提升全員安全合規意識。
民生銀行健全移動客戶端安全生命周期管理。民生銀行總結備案和認證過程的工作經驗,制定《中國民生銀行移動應用安全管理辦法》,健全移動金融客戶端合規發布流程。通過客戶端版本上線前的安全評審和合規檢測,以及客戶端上線后的安全合規后評估,以及應用市場渠道7×24小時實時運營監測,形成常態化的移動客戶端合規管理機制,有效實現對客戶端版本的閉環式管理及持續合規運營。圍繞移動應用的全生命周期提供安全服務,形成了一套完備的備案合規流程。
? 典型案例2:銀聯內控合規體系建設
中國銀聯以《網絡安全法》《個人信息安全規范》《中國人民銀行金融消費者權益保護實施辦法》等為依據,不斷建立健全組織架構、制度體系建設。
在組織架構層面,根據銀聯數據安全保護框架的職責分工,銀聯信息安全委員會下設“個人信息與隱私保護專業組”統籌數據安全和個人信息保護工作,包括數據安全、支付信息安全及金融消費者權益保護、個人信息保護及相關的內控管理。
在制度建設層面,在《中國銀聯數據管理辦法》等現有制度的基礎上,補充制定了如《中國銀聯數據安全與個人信息保護細則》《中國銀聯云閃付個人信息安全影響評估指南》等多項內部管理辦法,以業務數據的分類分級保護和全生命周期管理為基礎,進一步細化個人信息保護管理要求。
在日常運營層面,從操作權限、參數、日志、數據、賬務管理等方面進行了全面梳理并優化,形成了業務上線前合規評審、事中實時監控、事后定期排查及異常跟蹤處置的管理閉環等。
? 典型案例3:京東金融隱私合規治理流程
京東科技高度重視京東金融App的合規安全工作。面對當前隱私合規監管部門較多,法律法規更新較快,且呈常態化趨勢,京東科技專門成立了隱私合規治理虛擬小組,專門負責“京東金融”App隱私合規問題的處理,小組成員包括了研發、產品、測試、安全、法務合規、安全合規等部門人員。
京東科技制定App隱私合規處置SOP(標準作業程序),在政策解讀,需求階段,研發階段,測試階段,發布階段,運營階段都制定了相關的標準流程,指導大家日常工作,在App全生命周期內進行隱私合規把控,為用戶的隱私安全保駕護航。
? 典型案例4:浦發銀行建立App全生命周期安全管理體系
浦發銀行為加強App及其他信息系統建設項目的精細化安全管理,建設了信息系統全生命周期安全管理體系。
安全管理體系主要由安全開發管控流程、安全支撐體系、安全保障體系組成,其中安全管控流程主要涉及四個方面:即在需求階段利用資產庫和工具進行安全評估,明確安全要求與目標,在方案設計階段進行安全設計和審核,在測試階段開展安全需求驗證,在系統運行階段定期開展上線后的回歸測試及滲透測試。目前已形成了安全需求模板化、安全設計標準化、安全開發組件化、安全測試專業化、安全流程線上化的閉環管理體系。
圖:浦發銀行信息系統全生命周期安全管理體系 ? 典型案例5:交通銀行健全信息安全防護體系 交通銀行從組織結構、管理制度、產品設計以及文化建設等多方面入手,完成了信息安全防護的頂層設計,形成了包括部門職責劃分,信息保密制度、數據備份制度、風險預警制度、系統維護制度、人員管理制度等規范編制以及產品迭代計劃制定的體系架構。以交行企業手機銀行為例,團隊組織架構采取流程管理和業務管理的矩陣化管理模式進行,其中在流程管理上包括業務、產品、體驗、研發、測試、運營、數據、風控、運維等崗位,分別承擔App的業務訴求、需求設計、UI設計、開發、測試、營銷推廣、數據分析、反洗錢和風險控制、日常經營維護等職責。從業務管理上,按業務和功能模塊進行管理,各業務模塊主要負責各業務功能的完整性、流程合理性及操作體驗連續性等方面內容。
