随着互联网信息技术的不断发展,银行展业模式发生了巨大的变化。越来越多的银行业务完成了线上化、移动化迁移。电子银行系统业务功能、形态也在不断更新、迭代。线上、移动端用户规模日益庞大,小程序、开放银行等新兴形态的业务占比越来越大。
伴随着电子银行系统重要性提升,电子银行面临的威胁种类越来越多,风险越来越大。针对银行业发动系统攻击的黑客数量越来越多,攻击手段也越来越复杂。银行业信息安全问题引起各界关注,并被认为达到关系社会安定发展的高度。
面对种种外在威胁存在的严峻形势,银行业需要更加重视电子银行的安全性,结合系统特性,有针对性地开展电子银行信息安全保障工作。
电子银行安全评估的合规需求
人民银行在2020年2月修订的《网上银行系统信息安全通用规范》(JR/T0068-2020)中要求应每年至少开展一次对网上银行系统的信息安全风险评估及深度信息安全检测工作。
银保监会在《电子银行业务管理办法》中也要求银行不长于两年进行一次电子银行系统安全评估。
因此,银行机构定期开展电子银行安全评估已成为信息安全合规工作的必选项。通过电子银行评估,银行机构可及时、全面发现电子银行业务系统在管理、技术和业务方面存在的问题,消减信息安全风险,建立更完善的电子银行系统安全事件防范预警机制,保障电子银行业务安全运行,提升电子银行风险防控能力和业务竞争力,满足国家和行业监管要求。
电子银行安全评估的工作内容
电子银行安全评估会展开的工作有哪些?主要依据银保监会发布的《电子银行安全评估指引》,并参考人民银行发布的《网上银行系统信息安全通用规范》内容,对银行业金融机构电子银行业务的安全策略、内控制度建设、风险管理状况、系统安全性、业务运行连续性、业务运行应急计划、风险预警体系等方面的安全性进行深入分析和评估,提出有针对性的对策和建议。
电子银行安全评估的常见手段
电子银行安全评估一般从电子银行系统入手,分别针对安全管理、技术安全、业务安全三个层面进行剖析。
安全管理方面
通过制度审查、流程记录复核、访谈、流程追查等手段,评估电子银行安全管理框架及体系的健全性、符合性和有效性。
技术安全方面
通过安全配置核查、漏洞扫描、渗透测试、机房能力测评等技术手段,对电子银行的数据通讯安全、应用系统安全、客户端安全、密钥管理、客户信息认证与保密等进行评估,并根据评估结论提供行之有效的风险改善方案。
业务安全层面
通过穿行测试、业务流程梳理、控制措施验证等手段,对电子银行中的业务流程安全性进行分析,将业务安全测试覆盖到每一个业务操作点,寻找业务逻辑、权限控制问题等风险点,充分挖掘业务风险。
中国金融认证中心(CFCA)拥有一支高素质金融行业信息安全专业技术人才队伍,长期为主管部门、监管部门的行业标准制定工作提供技术支撑,并在银行业内广泛开展电子银行安全评估服务,为电子银行安全合规工作精准把脉,为电子银行风险管理工作守望助力。
