日前,《2020-2021金融行业网络安全研究报告》正式发布,平安信托作为信托行业的代表参与了报告编撰,并在报告中分享了自身在网络安全防控方面的实践经验。
平安信托运营中心总监龙健介绍:“当前国内外信息安全形势日趋严峻,信息安全切实关乎到每个人的利益。金融行业网络安全体系相对健全,但仍面临巨大的防控压力。尤其对信托行业而言是以信任为本,如果安全风险防范不到位,则可能衍生信任危机,从而影响产业根基,因此风险防控更要加强。平安信托通过构建智慧信息安全生态体系,强化合规,严控风险,保障客户金融数据安全,逐步形成了网络安全防控‘三重防线’。同时,积极输出经验,牵头开展信托行业信息安全专题研究,共享信息安全管理体系的建设和实践经验,赋能信托行业信息安全水平的提升。”
构建智慧信息安全生态体系
为保障金融行业的稳健发展,国家正在逐步完善监管体系。金融科技业务将面临着更加严格化、体系化的监管要求。近期,因信息安全违规,一批互联网APP被下架,无不说明了持续强化信息安全管理,严格落实管控责任,坚守合规底线,是企业可持续发展的必要条件。
在平安信托的实践中,公司通过 “技防+人防”的智慧信息安全生态体系,强化合规,严控风险,保障客户金融数据安全,并逐步形成了网络安全防控“三重防线”。
第一,完善信息安全管理体系,夯实安全基础。平安信托是一家独立经营的法人机构,根据《网络安全法》、《数据安全法》、《个人信息保护法(草案)》等相关管控要求和指引,设立包括组织、制度、技术、运营、监督五大架构管理体系,夯实信息安全基础。依照监管要求设立数据中心,实现系统和数据独立管理和维护,严格落实客户隐私信息保护。于2018年率先通过了国际ISO 27001信息安全管理体系认证,于2020年顺利通过了ISO 27701隐私安全管理体系认证,成为国内信托行业率先同时获得以上两项认证的信托公司,树立了行业安全保障实践的标杆。
第二,搭建信息安全技术平台,严守安全底线。平安信托实施了包括抗DDos拒绝服务攻击、APT高级持续威胁攻击防御、WAF应用入侵防御、密网攻击诱补防御等措施,通过层层监测、拦截的纵深防御体系,外防网络威胁攻击;通过实施全方位的终端管控措施,包括电脑防病毒、硬盘加密、屏幕水印、打印水印、DLP邮件外发拦截、HDLP桌面行为管控等,强化内部风险管理,防范敏感信息违规外泄和滥用。同时,通过智慧信息安全风控体系,实时监测、智能分析、及时预警和处置信息安全事件。
第三,建立多方联动机制,保障持续有序运行。通过在每个部门配置信息安全联络人,配合开展本部门的信息安全管理工作,保障信息安全管控措施的有效落地。通过层层压实管控责任,将信息安全事件与部门和个人的业绩贡献挂钩,将信息安全充分融入到企业的血液中,以保障企业稳健前行和可持续发展。通过信息安全、风控合规、稽核监察、人力资源各条线的密切联动,有效遏制了重大信息安全事件的发生。
平安信托运营中心总监龙健表示,信息安全管控,仅仅依赖于企业人员的自觉自律是不够的。要将制度建立在流程上,将流程建立在系统上,从而实现智慧信息安全生态体系。信息安全管理不是一蹴而就的工程,为保持信息安全体系的有效性,要坚持PDCA原则,通过先管控、后优化,不断健全信息安全管控策略,不断适配企业信息安全管理要求。
输出经验,赋能信托行业信息安全水平提升
平安信托在利用金融科技强化合规、护航业务的基础上,也持续输出实践经验,致力于推动行业整体信息安全水平的提升,助力行业高质量稳健发展。
近些年,平安信托积极牵头开展信托行业信息安全专题研究。以保障信托业务安全、建立“信托法理+安全可靠”的行业形象为目标,通过深入分析行业信息安全现状及需求,开展对48家信托公司安全现状及痛点调研访谈,构建出适用于不同规模信托公司的信息安全体系,促进信托行业信息安全制度化、标准化、智能化发展,推动行业安全协作机制建设。
上述信息安全研究课题获评中国信托业协会2019年度十大优秀课题,获评深圳经济特区金融学会优秀金融论文三等奖,并获得信息安全专利申请30余项。
平安信托表示,信息安全是硬支柱,可以为公司转型、业务发展保驾护航,更是共建国家网络清朗环境的有力实践。未来,公司将持续积极响应国家号召,协同监管部门、安全平台,联防联控,不断深化探索、创新发展,在引领行业稳健发展方面作出更大的贡献。
|