软件使用挂钩监管评级 银保监会再出手整顿信息“泄露门”!
摘要 近日银保监会发布《关于做好2020年银行业保险业推进使用正版软件工作的通知》(以下简称《通知》),对各保险机构和监管机构提出规范软件管理使用,相关指标不仅将纳入相关监管评级当中,还将掀起自查和检查“风暴”。
你可能会遇到这样的情况:在爱车临近续保期,会频繁接到多家险企的连环Call,对方不仅能准确说出车险到期日期,还能详细列举此前投保险种;在理财型保险还未到期时,也会接到劝说退保,转而购买更高收益理财产品的电话……
而在这些推销电话背后,实则是你的信息遭到泄露!
监管机构在加大处置力度的同时,也在不断围堵漏洞。8月6日,北京商报记者从业内独家获悉,近日银保监会发布《关于做好2020年银行业保险业推进使用正版软件工作的通知》(以下简称《通知》),对各保险机构和监管机构提出规范软件管理使用,相关指标不仅将纳入相关监管评级当中,还将掀起自查和检查“风暴”。
01
规范软件管理 保障网络安全
“图便宜便低价购买盗版软件,系统会轻易被黑客攻破。”某保险从业人士直言,一旦系统在漏洞防护或技术维护上出现问题,平台数据、用户信息都会泄露。
为防范使用盗版软件带来的网络安全漏洞和引发的法律、声誉风险,也为了防范近期金融行业层出不穷的信息泄露行为,银保监会在规范软件管理使用方面提出了具体要求。
《通知》要求,包括政策性银行、大型银行、股份制银行,外资银行,金融资产管理公司,保险集团(控股)公司、保险公司、保险资产管理公司等在内的机构进一步完善长效机制建设,从软件采购、资产管理、监督审计等环节加强制度建设,完善管控措施,注重工作实效;要加强运用技术手段统一软件使用标准,限制随意使用行为,定期开展软件使用情况梳理,补齐短板。
同时,上述机构要在信息化预算安排、信息化项目建设和采购时同步规划推进使用正版软件,提升软件资产管理精细化水平,确保在用所有软件均符合授权要求,防范使用盗版软件带来的网络安全漏洞和引发的法律、声誉风险。银保监会还表示,要积极探索使用自研、开源软件弥补软件授权短板,加大创新软硬件产品应用力度,逐步解决推进使用正版软件工作中的难点和痛点。
“保险业是数据密集型行业,所以网络信息安全是数字时代险企健康运营的重要支持。”中国社会科学院保险与经济发展研究中心副主任王向楠认为,险企储存的个人或组织的数据要比绝大部分企业细致,涵盖了客户的多类身体隐私、财务特征和经济活动等信息,所以网络信息安全建设是保险消费者隐私和数据保护的重要内容;同时,《通知》出台,说明监管机构发挥了保护保险消费者权益以及推动行业稳定与发展的功能。
苏宁金融研究院研究员陈嘉宁也表示,因为信息数据是银行、保险这类金融行业的核心资产,如果信息泄露会造成极大风险,也影响企业声誉。
02
圈硬性指标 挂钩监管评级
此前,网络用户信息泄露问题在银行业、保险业可谓“一波未平,一波又起”。如在银行方面,8月5日交通银行(601328,诊股)因客户信息保护不力被罚100万元;而在保险方面,北京商报记者于黑猫投诉平台搜索“保险、信息泄露”的关键词,获得198条搜索结果。其中,近期泰康保险泄露用户信息、代替用户投保“小乐行”保险产品的相关投诉尤为高发。
为确保金融机构加强信息管理,监管圈定出硬性指标,《通知》规定,2020年,银保监会将在信息科技非现场监管信息系统中,统一银行业保险业软件使用情况报送内容和报送频度,相关指标将纳入银行业信息科技监管评级和保险业偿付能力评级当中。
为何监管将软件使用状况与偿付能力进行挂钩?王向楠解释称,公司的操作风险重要成因之一是信息系统,所以银保监分局或银保监会衡量公司的操作风险时应当考虑正版软件的使用情况,此规定对此进行了明确。
陈嘉宁认为,与绩效考评挂钩的举措有助于给企业指明整改方向,也有助于政策的落实。
此外,银保监会还表示,要建立常态化工作机制,摸清自身软件资产底数,健全软件资产管理台账,认真组织报表填报,按时准确报送有关数据。软件使用情况的报送数据,将统一纳入银保监会监管数据质量专项治理工作中。
而各银保监局要做好本级和下级监管机构的使用正版软件工作,确保本级和下级机构的软件正版化,同时要积极督导辖内银行保险机构建立健全软件正版化工作机制,加强监督检查。
03
“自查+检查”上阵 建立网络安全“防火墙”
除了将相关指标将纳入银行业信息科技监管评级和保险业偿付能力评级当中,银保监会还要求上述机构围绕软件正版化工作机制和制度建设落实情况、软件台账建立、软件采购合同和授权协议资料管理情况,以及计算机软件的安装管理等方面内容开展自查。
而对自查中发现的问题,银保监会要求,机构要制定整改措施,并于2020年8月底前完成自查和整改工作。而2020年7月至11月(具体检查时间根据疫情防控情况确定),国家版权局将成立督查组,随机抽选部分银行和保险机构,聘用第三方机构开展软件使用情况核查,检查结果将公开发布。
银保监会也将结合行业信息科技监管工作,选择部分银行和保险机构开展软件正版化现场检查和快速巡查。
业内人士认为,《通知》明确规范保险机构的软件使用,既保护了相关知识产权,也增强了保险机构的网络信息安全和数字化程度。事实上,监管部门一直重视网络安全管理。去年4月,银保监会启动网络安全专项治理工作,发现个别机构客户信息保护存在短板,处理客户信息的专用终端安全管理不到位,客户信息泄露风险较高;不少机构仅内部系统普遍存在较多安全漏洞。不法分子可以利用个别机构VPN弱口令问题渗透进入内部网络,进而通过其内部系统漏洞控制多个系统。
对于如何防范信息泄露,加强网络安全“防火墙”建设,王向楠建议称,实现网络安全建设与保险科技发展应同步规划、同步实施、同步运行。
“考虑制订保险部门的‘数据安全法’,其不应当仅是基于互联网保险业务,而是涵盖公司运营的各个方面。建设强制性的网络安全事件汇报机制以及网络安全事件的匿名汇报平台。”王向楠表示,由监管部门或行业协会组织开展压力测试(韧力测试),对发现的漏洞或脆弱部分进行针对性的改进。他认为,险企应将网络安全管理和数据资产保护进一步纳入到公司治理和控制体系之中。