企业信息系统支撑企业业务发展,提升信息系统安全性能已经成为提升企业核心竞争力的重要手段。近年来,P2P网贷行业作为互金行业重要业态之一,在信息系统安全保护工作中取得了一定成绩,但存在一些P2P网贷平台混淆了备案和测评,将通过公安部信息安全保护备案错误描述为通过了安全等级认证,对外披露项侧重展示备案成功而忽视了测评结果。
实际上,信息系统安全等级共划分为五个等级,其中第三级信息系统损害将可能危害国家安全。目前通过三级等保测评的P2P网贷平台并不多。
信息安全等级保护已被P2P网贷行业监管层写进P2P网贷监管实施细则里,即《网络借贷信息中介机构业务活动管理暂行办法》第十八条指出,网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。
按照国家标准《计算机信息系统安全保护等级划分准则》GB17859-1999规定,计算机信息系统实行五级保护。即从保护能力上划分为五级,以第一级为基础逐级增强。各等级信息系统的保护能力及被破坏后的侵害程度如下表所示:
目前,非银机构最高保护级为第三级,P2P网贷行业通过备案、测评的信息系统一般也是三级。
第一,确定等级。信息系统安全等级,由系统运用、使用单位根据《信息系统安全等级保护定级指南》自主确定信息系统的安全保护等级,有主管部门的,应当经主管部门审批。对于拟确定为四级及以上信息系统,还应经专家评审会评审。新建信息系统在设计、规划阶段确定安全保护等级。
第二,系统备案。运营、使用单位在确定等级后到所在地的市级及以上公安机关备案。新建二级及以上信息系统在投入运营后30日内、已运行的二级及以上信息系统在等级确定30日内备案。公安机关对信息系统备案情况进行审核,对符合要求的在10个工作日内颁发等级保护备案证明。对于定级不准的,应当重新定级、重新备案。对于重新定级的,公安机关一般会建议备案单位组织专家进行重新定级评审,并报上级主管部门审批。
第三,开展等级测评。信息系统建设完成后,运营、使用单位或者主管部门应当选择合规测评机构,定期对信息系统安全等级状况开展等级测评。三级及以上信息系统至少每年进行一次等级测评,四级及以上信息系统至少每半年进行一次等级测评,五级应当依据特殊安全需求进行等级测评。测评机构应当出具测评报告,并出具测评结果通知书,明示信息系统安全等级及测评结果。
第四,系统建设整改。对于未达到安全等级保护要求的,运营、使用单位应当进行整改。整改完成应当将整改报告报公安机关备案。
第五,信息安全监管部门定期开展监督检查。受理备案的公安机会对三级、四级信息系统进行检查,检查频次同测评频次。五级信息系统接受国家制定的专门部门检查。
信息安全等级保护工作流程
因为公安部备案审核的内容较为简单,包括(一)备案材料完整性、纸质材料及电子文档一致性;(二)定级是否准。审核内容不涉及系统运行测试,所以P2P网贷平台取得备案相对容易。而从上述流程可以看出,信息系统经过公安机关备案后,还要经过国家或省级等级保护工作协调(领导)小组推荐的测评机构测评,对于测试不通过的平台,测评机构将出具整改建议,平台整改后申请复测,最后由测评机构出具测评报告并打分。然而,能够真正认证成功的平台少之又少。
据盈灿咨询不完全统计,全国共有85家P2P网贷平台通过了三级等保测评。这其中,就包括于今年5月就荣获等保三级金融行业认证的信和大金融。
通过三级等保测评的P2P网贷平台
信和大金融之前获得国家信息安全等级保护三级备案
今年5月信和大金融荣获等保三级金融行业标准认证
公安部授权的测评机构在对信和大金融系统进行测评时认为:“信和大金融制定了信息安全的总体方针和安全策略,建立了覆盖物理、网络、主机、数据、管理、应用层面的安全管理制度,建立了安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事宜进行集中管理,制定了安全事件报告和处置管理制度,制定了不同事件的应急预案” 。
检测中心对测评记录数据汇总分析,按照信息系统相对应的安全等级系统安全测评基准,经过了充分测评和研究之后,检测中心认为,信和大金融“基本符合国家信息安全等级保护三级的要求,不会导致信息系统面临高等级安全风险”。
作为互联网金融领域的杰出代表,信和大金融主动拥抱监管,积极进行合规建设,早在监管政策下来之前就拿到了包括ICP备案信息、ICP许可证、公安机关网安备案信息在内的“三证”。并与新网银行签署了银行直接存管协议,旗下平台资产家已经正式上线了新网银行直连存管系统。
信和大金融始终牢记,安全无小事,合规要先行。在互联网金融深入发展的今天,只有全面合规经营,将用户资金安全、信息安全始终放在心上,才能走得更长、走得更远。未来,建议更多的P2P网贷平台正确、规范披露信息安全等级保护相关备案、测评工作成果,从源头提振投资人对平台的信心。
