天价罚单背后的警醒—网络安全任重道远

2021/02/07 分类:新闻资讯行业资讯 1375

1月29日，银保监会网站披露，因“发生重要信息系统突发事件未报告”等六项违法违规事实，中国农业银行被罚款420万元。

主要存在以下六项违法违规事实：

一、发生重要信息系统突发事件未报告

二、制卡数据违规明文留存

三、生产网络、分行无线互联网络保护不当

四、数据安全管理较粗放，存在数据泄露风险

五、网络信息系统存在较多漏洞

六、互联网门户网站泄露敏感信息

相关法规

从以上几点可以看出主要涉及到网络安全、数据安全与安全管理三方面问题。

《网络安全法》规定，国家对金融等重要行业和领域，在网络安全等级保护制度的基础上，实行重点保护。

银行一般应被认定为关键信息基础设施运营者，在履行网络运营者的一般安全保护义务的基础上，还需履行关键信息基础设施运营者的特殊义务。而相关的规范规定也很多，例如《个人金融信息保护技术规范》、《网上银行系统信息安全通用规范》、《商业银行应用程序接口安全管理规范》等多个规范。

随着金融科技的发展，线上相关业务扩大，交易链条不断延伸，金融机构生产交易系统之间、以及与外部合作机构系统之间的信息交互明显增多。但是部分机构安全风险防范意识不足，内控管理不到位，技术措施和管理手段缺失，生产交易系统安全风险增大。

此次事件为我们敲响了警钟，不仅要吸取经验教训，还应当以此为鉴，认真开展自查，采取有效防范和应对措施，防止类似风险事件再次发生。

一、切实提高信息安全风险防范意识，严格按照法律法规要求保存业务、交易及日志数据，按要求对敏感业务数据进行加密或遮蔽保护。

二、按照最小授权和职责分离原则进行系统权限管控；对生产环境的操作日志定期审计。

三、定期开展内部信息安全检查，及时修补系统安全控制缺陷和各类安全漏洞。

四、明确企业网络安全事件处理机制和上报流程。如出现重大网络安全事件应及时向相关监管机构上报。

五、对大多数企业来说，网络安全此类重要且专业的事情，应请第三方专业机构参与其中，专业人做专业事。

（免责：图文内容来源网络综合整理，侵权联系删除）