信托公司信息安全管理建设研究(三)
摘要 信托行业信息安全体系研究银行业信息安全体系建设经验由于金融科技的广泛应用,信息安全历来受到银行业高度重视。银行业通过建立完善信息安全治理体系、加强制度建设、提升自身安全技术和数据保护水平,切实保障银行系统持续稳健运行。经过多年发展,众多大型国有银行、股份制银行、政策性银行、城商行等均已建成信息安全管
信托行业信息安全体系研究
银行业信息安全体系建设经验
由于金融科技的广泛应用,信息安全历来受到银行业高度重视。银行业通过建立完善信息安全治理体系、加强制度建设、提升自身安全技术和数据保护水平,切实保障银行系统持续稳健运行。经过多年发展,众多大型国有银行、股份制银行、政策性银行、城商行等均已建成信息安全管理体系,持续增强信息安全能力,在信息安全体系建设及持续改进方面积累了丰富的经验。我国银行业信息安全体系整体呈现以下
特点:
1. 建立和完善了信息安全治理体系
银行业普遍构建“三个层面,三道防线”的全面信息安全组织体系。董事会、高管层、业务部门和各级分支机构各司其职,从制定战略、明确管理职责和规范体制机制到具体落实执行,网络风险管理逐步融入全面风险管理体系。以信息科技部门、信息科技风险管理部门、信息科技审计部门为主体的“三道防线”的作用日益显著。网络安全保障队伍初具规模,大中型银行普遍建立了信息安全专业处室和专职安全管理团队。
2. 信息安全管理制度不断完善
银行业以监管指引为依据,建立起较为全面的网络安全制度体系,涉及物理安全、网络安全、系统安全、终端安全、数据安全、开发安全、运行安全、外包管理、风险评估、应急管理等多方面,网络安全管理基础进一步夯实。例如,民生银行(600016,诊股)参考业界标准不断优化制度框架,华夏银行(600015,诊股)建立 5 大类 50 项相关管理制度。
3. 信息安全技术防护水平持续提升
银行业建立健全网络安全风险监测预警、信息通报和应急响应机制,不断完善从互联网到内部系统的纵深防御安全架构。一方面,积极开展防攻击、防病毒、防篡改、防瘫痪、防泄密的检测及处置工作,另一方面,主动针对不法分子活动的重点领域,开展舆情收集、暴力猜解监控、钓鱼网站后台数据分析等工作,挖掘潜在受害客户。例如,建设银行(601939,诊股)阻断暴力猜解攻击,已累计使 214 万客户免受密码泄露损失。
4. 数据安全防护手段不断增加
银行业积极构建数据安全保护机制:首先,建立形成较完备的数据治理制度,通过定义规范数据标准,实行数据质量管理要求,建立企业级数据模型,提高业务数据的准确性和一致性。其次,强化数据信息全生命周期控制,做到操作有记录、权限有审批、事后可审计,确保各类数据在生产、使用、传输、存储、销毁整个生命周期的信息安全。
5. 关键信息基础设施业务连续性水平明显提升
银行业持续加强对关键基础设施的业务连续性和灾备建设,全国性银行和一些规模较大的中小银行已基本建立“两地三中心”的灾备架构,同时积极开展“双活”应用系统建设。此外,银行业积极开展真实切换演练和应急演练,充分加强应急处置能力。
信托业信息安全架构及管理体系设计
1. 信息安全架构
信息安全体系是保障公司信息系统有序建设并安全投产运行的基础,在对标银行业的同时,信托业信息安全体系建设应着眼于信托行业现状并具有前瞻性,力争满足未来三年发展需求,以下是信息安全总体架构:
“一个目标”是指“保障信托业务系统安全,促进信托业务转型”,必须以保证信托业务系统的机密性、完整性和可用性为安全根本出发点。“两项原则”是指坚持“积极预防、统一管控”原则和“动态调整,协同高效”原则。
信息安全必须采取主动预防的方式及时发现排除风险隐患,根据最新的威胁形势动态调整安全防控措施,采取集中的安全管理机制统一防范各类威胁。要根据业务发展需求及时调整信息安全控制措施,保证业务运营效率。信托公司通过与中国信托业协会、安全服务商协同配合,充分利用外部资源优势建立信息安全联防联动机制。
“三个要素”是指人、流程和技术,依据信息安全领域的“三分技术、七分管理”理念,信息安全工作必须坚持以人为本,强化自身信息安全能力。通过建立信息安全制度体系促进信息安全要求与业务融合,通过各类安全技术手段支撑信息安全体系落地。
“五大体系”是指开展建设全面信息安全管理体系的五个核心部分,包括信息安全组织体系、信息安全制度体系、信息安全技术体系、信息安全运行体系和信息安全监督体系。
2. 信息安全组织体系
国家信息安全有关监管规定明确要求设置信息安全专门管理机构,设立信息安全管理岗位,对于信息安全职责要清晰定义。成熟的信息安全组织架构包括决策机构、管理机构、执行机构和监督机构四个部分:
(1)信息安全决策机构。是信息安全工作的最高决定者,负责从整体角度对信息安全方面的工作进行指导和控制。
(2)信息安全管理机构。负责信息安全日常管理和监控,同时为决策机构提供决策所需信息。
(3)信息安全执行机构。负责具体信息安全控制措施的落地。
(4)信息安全监督机构。负责对企业内部信息安全工作的开展情况进行独立的审查和监督,它可以是企业内部审计部门,也可以是独立的外部第三方审计机构。
相比国有商业银行及股份制商业银行,目前绝大部分信托公司信息化建设仍处于初级阶段,大部分系统仍以采购为主,仅少数几家比较领先的信托公司正在进行合作开发或自研。各家信托公司在对信息系统建设的财力和人力投入上也有较大差别,信托公司信息科技部门人数从几个人到过百人不等,差异较为明显。鉴于以上情况,在参照成熟的银行信息安全组织架构的同时,信托公司可立足于行业及公司现状,规划对应的信息安全组织架构,但不论何种配置,必须满足以信息科技部门、风险管理部门、稽核检查部门为主体的“三道防线”基本要求,不同规模信托公司的信息安全部门设计建议如下。
3. 信息安全制度体系
信托公司应结合国家及信息安全监管部门最新要求和自身业务需求,建立信息安全方针、制度、策略,形成完整的安全制度体系,明确信息化建设整个生命周期过程中的安全要求,确保信息安全工作有法可依、有章可循。具体可参照信息安全管理体系标准(ISO 27001),信托公司应从总体策略、管理制度、操作规程、操作记录四个方面进行制度体系设计,可参照表 5。
参考ISO 27001信息安全管理标准,结合同业实践,建议建立四个层级制度体系,涵盖各个领域的信息安全管理制度、标准和流程。完整的信息安全制度体系清单建议如下,各信托公司可根据自身需求裁剪。
4. 信息安全运营体系
当前信托公司普遍具备了一系列安全防护设备和检测措施,如防火墙、入侵检测和防护系统、漏洞扫描系统、防病毒系统和终端管理系统等,构建起了点状防御。一方面,点状防御在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”;另一方面,有限的安全管理人员面对这些数量巨大、彼此割裂、未进行分级过滤的安全告警信息,难以进行有效安全运维工作。有条件的信托公司可通过安全运营中心的建设解决“信息孤岛”的问题,全面提升整体的安全防护能力。
安全运营中心负责统一收集、存储、处理企业各类与安全相关的监测告警信息,通过安全事件管理流程流转安全事件工单,由一线、二线、三线安全人员分工处理不同级别安全告警,并进行安全事件回顾,持续提升安全有效性。安全运营中心能够对业务信息系统进行可用性与性能的监控,配置与事件的分析审计和预警,风险与态势的度量与评估,安全运维流程的标准化、例行化和常态化,实现业务信息系统的持续安全运营。
对于资金人员有限的信托公司可参考以下内容规划自身的信息安全运营工作,根据自身需求有选择性地开展重点领域的信息安全运营工作。
5. 信息安全技术体系
信息安全技术体系是利用各种安全技术、产品以及工具作为安全管理和运行落实的重要手段,最终支撑信息安全管理体系的落地。信息安全技术体系应实现访问控制(可控性)、数据加密(保密性)、内容安全(完整性)、监控审计(不可抵赖性)、灾备恢复(可用性)以及检测发现、响应和修复。
信息安全技术架构需要遵循纵深防御原则,由外到内分层次地采取安全防御措施,通过多道防线保证网络安全。第一道防线是侧重于网络边界,抵御外界入侵的第一道闸口;第二道防线是内部建设的端到端的访问控制、内容安全、备份恢复的事前防御机制;第三道防线是事中的全面监控和事后的及时响应防线。信息安全技术体系覆盖以下方面:
(1)终端安全。构建终端风险体系并对终端风险进行终端安全管理,从而避免终端安全风险事件的发生。
(2)数据安全。一是数据本身的安全,是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性和双向强身份认证等,数据本身的安全必须基于可靠的加密算法,例如对称算法与公开密钥密码。二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份和异地容灾等手段保证数据的安全。
(3)应用安全。保障应用程序使用过程和结果的安全。应用程序或工具在使用过程中可能出现的计算、传输数据的泄露和失窃。应用系统应针对敏感数据实现加密 /解密、签名 / 验签和完整性保护等安全功能。
(4)物理安全,包括环境安全,设备安全和媒体安全三个方面:环境安全包括受灾防护和区域防护,设备安全包括设备防盗、设备防毁、防止电磁信息泄露、防止线路截获、抗电磁干扰和电源保护等,媒体安全是媒体数据和媒体本身的安全。
(5)基础架构安全,包括主机(包括云主机)安全、网络安全,保证主机在数据存储和处理的保密性、完整性和可用性,它包括硬件、固件及系统软件的自身安全。
各信托公司应结合自身预算、等级保护合规要求设计适当的信息安全技术架构。以下列示了常见的安全技术平台,其中“必要性”栏目包括“基础项”“可选项”两类建议,“基础项”表明对于所有公司最基本的安全技术手段,“可选项”表明对防护要求更高的安全技术手段。
6. 信息安全监督体系
信息安全监督的目标为满足内外部的监管要求,检查公司安全运行的健康程度,推动信息安全闭环管理。对于信托公司的信息安全监督工作应由审计部门或外部独立机构实施。
信息科技审计依据的标准是国家及行业的有关监管要求。使用信息科技检查、评估工具对信息系统进行评估时,要遵循对业务影响最小化的原则。若审计活动包含了对生产系统的检查,应当进行仔细的计划和控制,把风险降到最低。
典型业务场景安全控制建议
1. 消费金融业务安全控制
(1)消费金融业务现状。中国经济增长方式的转型加快,消费正逐步成为拉动经济增长的主要动力,消费金融也逐渐成为各银行及互联网机构角力的主战场。当前我国消费金融市场的竞争格局主要由商业银行、持牌消费金融公司、大型电商巨头以及垂直细分领域的互联网平台共同构成。在竞争激烈的市场环境中,信托公司应基于自身的比较竞争优势开展消费金融业务,2019 年首家“信托系”消费金融公司中信消金成立,试图在消费金融市场占有一席之地。
(2)消费金融业务安全风险控制。消费金融是“场景为王”,而消费场景多元化的发展,离不开金融科技的助力。消费金融业务包括客户识别、风险防控、运营管理三个大的阶段。在客户识别阶段主要利用消费金融 APP 获客,通过用户名密码,结合人脸识别、声纹识别等生物识别技术进行客户身份收集和验证;在风险防控方面,利用大数据、人工智能,第三方征信等技术构建风险模型,对客户风险进行识别;在运营管理方面,利用大数据技术对逾期账户进行分析,降低不良率。结合信息科技在消费金融业务中的应用场景,在信息安全方面,建议从 APP 移动安全、反欺诈、数据安全三个方面着手,建立覆盖消费者信贷消费全过程的信息安全保护机制,为消费者提供安全、稳定的金融服务。
①APP 移动安全方面。APP 移动安全主要防范因 APP 系统本身存在安全漏洞使系统被攻击,使业务中断。消费金融业务主要客户流量入口是通过 APP 获取客户并提供服务,因此 APP 系统安全是需要关注的重点。移动安全主要涉及 Android 和IOS 两块,主要关注移动端应用特有的安全风险。两大平台所面临的安全有共性部分,如 APP 收集个人信息合法合规性、APP 数据传输安全、APP 本地存储安全、APP 配置安全、第三方 SDK 安全等;也有差异部分,如 Android 有组件安全,IOS有 keychain 使用不当的风险。
②反欺诈方面。反欺诈主要防范用户身份被他人非法冒用,进行未授权交易或者资金转移。用“技术 + 数据”开展风险管理已成为消费金融公司的共识。通过活体检测、人脸识别、视频核身、声纹检测、设备指纹识别、复杂关系网络、网络行为识别、地址模糊匹配技术,建立兼顾安全与便捷的多元化身份认证体系,丰富金融交易验证手段,保障移动互联环境下金融交易安全,提升金融服务的可得性、满意度与安全水平。综合运用数字签名技术、共识机制等手段,强化金融交易报文规范管理,保障金融交易过程的可追溯和不可抵赖,提升金融交易信息的真实性、保密性和完整性。
③数据安全方面。数据安全主要防范各种原因导致的客户信息泄露。数据安全的管控需要从整个数据生命周期考虑,例如,在获取用户的任何数据时,都会首先征得用户授权,信息使用均遵照法律及客户授权,杜绝非授权接触客户信息。同时需要通过网络隔离、数据加密、网络攻击防御、信息脱敏等相关技术,从数据的采集、传输、存储、处理、交换、销毁等方面对数据进行全生命周期管理,建立全面可靠安全保密的信息管控环境,有效防范大数据时代安全风险,全力保障消费者个人信息不被泄露。
2. 家族信托业务安全控制
(1)家族信托业务现状。随着中国经济不断发展,个人财富水平也随之提升,中国建设银行发布的《中国私人银行市场发展报告》称,2018 年,国内个人可投资金融资产达到 600 万元以上的高净值人士数量已达到 167 万人,中国高净值人群总人数稳居全球第二。最新调研显示,目前高净值人士整体已经在使用家族信托的比例已接近 10%。与传统银行业的理财增值相比,家族信托模式下的财富管理已经转为为高净值人群提供综合金融解决方案。截至 2018 年末,国内 68 家信托公司中有 33 家开展家族信托业务,明确披露信息的 15 家信托公司家族信托业务规模达 838.57 亿元。
(2)家族信托业务安全风险控制。国家金融与发展实验室财富管理研究中心的调查数据显示,高净值客户在家族信托机构选择时,主要以品牌值得信赖、团队专业、丰富的增值服务为考虑因素。因此值得信赖是客户在选择家族信托机构的首要考虑因素,客户隐私保护能力将成为信托公司差异化竞争优势。
家族信托业务的客户多为高净值人士,信托资产规模较大,对隐私保护要求很高,需要向其提供定制化的隐私保护专享服务,建议从以下方面考虑:
①保障客户隐私权利。家族信托公司需要站在用户角度,明确告知客户享受的隐私权利,依据 GB/T 35273—2017 《信息安全技术 个人信息安全规范》,隐私权利包括同意权、选择权、保密权、数据访问权、更正权、可携带权、删除权等隐私权利,信托公司应通过家族信托相关的业务流程改造及其系统功能优化实现上述隐私权利。
②客户数据识别和风险评估。对家族信托业务中包含的敏感信息在整个数据创建、处理、存储、传输、删除和销毁生命周期过程中流转过程进行梳理,掌握数据分布情况,识别数据流转各个环节安全风险。家族信托数据的敏感级别应高于信托其他业务数据,严格限制家族信托敏感数据在信托公司内部进行数据共享。
③客户数据加密。通过对敏感数据进行分类和分级处理,确保不同类别、级别的数据的安全存储要求。按照国家密码要求,对客户数据采用安全加密算法进行加密并存储。通过网络传输客户数据时,采取必要的通道加密措施,防止数据在传输过程中被窃听或破坏。
④系统隐私功能模块设计。对于包含家族信托客户数据的业务系统应建立隐私保护功能架构的主要组件。该参考架构分成三层:个人信息设置层、身份和访问管理层、个人信息层。
⑤隐私保护白皮书。编写《家族信托隐私保护白皮书》,作为家族信托客户专属定制服务定期向相关客户发布,介绍国家隐私监管趋势,本公司如何通过产品设计,将用户对数据的控制转化为实际操作;通过安全技术和规范流程保护数据,展示信托公司隐私保护能力,增强高净值客户信任感及专业认可度。
3. 证券投资业务安全控制
(1)证券投资业务现状。在过去的证券投资领域,信托公司更多扮演事务管理人角色,投研能力、自主管理能力较弱,而未来整个行业都将告别依靠数量和规模获利的时代。信托公司应首先提高自身投研能力,借助投资行业分析、企业发展潜力分析、产品投资组合、量化分析等方式,实现对于信托财产的增值与保值;其次,不断完善证券资产的管理与运营能力。在实现估值、下单、通知、清算等操作的线上化之后,进一步挖掘准确、及时、专业的服务,提升客户体验;另外,强化风险处置与应对能力。
(2)证券投资信托业务安全风险控制。监管要求证券基金经营机构应当对投资交易业务合规管理、风险控制、清算交收、财务核算等中后台部门集中统一管理,并应当通过信息技术等手段全面掌握、监测投资交易行为,及时有效防范风险。由于证券投资业务的特殊性,证券投资交易系统安全性直接影响到交易资金的安全性以及资本市场稳定,主要涉及系统安全和操作安全两个方面。
①系统安全方面。中国证监会发布的《证券期货业信息安全保障管理办法》中明确要求证券投资机构应当对交易、行情、开户、结算、风控、通信等重要信息系统具有自主开发能力,拥有执行程序和源代码并安全可靠存放,在重要信息系统上线前对执行程序和源代码进行严格的审查和测试。
证券投资交易的实时性、连续性、安全性要求较高,因此投资交易系统应提供多种强度的认证机制加强用户身份认证,认证机制可充分考虑对交易性能影响。采用可靠的加密(如 SSL)和数据完整性校验机制,以保障投资交易业务完整性和保密性,至少涵盖投资交易从客户端、站点服务器、交易中间件及数据库等各环节。对于对投资交易过程涉及的传输数据及敏感的用户存储数据进行加密管理。投资交易系统涉及的网络线路、网络设备、系统主机服务及数据进行冗余管理,提供实时的投资交易站点互备机制,便于系统故障时能够实时自动切换以保证投资交易连续性。
②操作安全方面。中国证券市场屡现“乌龙指”事件,此类行为一旦出现将严重影响市场稳定,并招致监管机构的严厉处罚,因此在证券投资交易过程中,为防范业务操作风险,2018 年,若干管理部门联合发布了《证券交易资金前端风险控制业务规则》,其中对证券投资交易参与方的投资交易系统提出了支持相关业务操作风险控制的系统功能要求,包括对交易单元进行分类,根据交易参与人申报的自设额度,对关联交易单元的全天净买入申报金额总量实施额度控制。证券投资交易参与方应当遵守上海证券交易所,深圳证券交易所,中国证券登记结算有限责任公司发布的系统接入技术规范,参加并应当通过交易所、中国结算组织的技术系统测试。
信息安全体系预期效果与展望
1. 符合法律法规要求,满足监管红线
信托公司信息安全管理体系建设可协助各信托公司满足国家信息安全监管合规要求,为各项业务开展提供基础条件。
2. 加强系统稳定性,保持业务持续发展
信息安全管理体系的建立有助于在信息系统开发建设过程中融入安全保护,避免因开发需求分析不充分、架构设计不合理、安全漏洞未及时发现并修复等一系列问题,影响信息系统的可用性和完整性。在信息系统受到攻击时,能确保业务持续开展并将损失降到最低限度,提升组织的核心竞争力。
3. 增强客户信任感,提升业务竞争力
相比其他金融行业,信托行业服务的是高净值客户,是“受人之托、代人理财”,客户对于安全性、隐私性要求更高。信息安全管理体系的建设,可树立信托行业“值得托付”的社会信任感,并体现信托行业的企业责任和社会责任,增强用户信任感,有利于信托行业在社会上建立起“信托法理 + 安全可靠”的行业形象,意义深远。
(课题牵头单位:平安信托有限责任公司 )
摘自:《2019年信托业专题研究报告》