6家银行共罚4000万：从央行重拳出击金融信息安全看内控安全重要性

国舜股份 · 公众号 · · 2020-10-28 16:00

正文

重拳：央行严打侵犯金融信息安全行为

央行公告显示，近日央行相关分支机构对部分金融机构侵害消费者金融信息安全行为立案调查，依据《中华人民共和国消费者权益保护法》《中华人民共和国反洗钱法》有关规定， 对6家银行分支行共处以 超4000万罚款并对相关责任人予以警告 ，处罚理由涉及 侵害消费者金融信息安全权、泄露客户信息 等。

人民银行在依法作出行政处罚的同时，约谈相关金融机构，责令其立即整改。相关金融机构高度重视检查中发现问题的整改工作，聚焦具体问题，进一步规范个人信息管理机制，并对有关责任人员进行了严肃问责。

整改：央行就案件情况答记者问

央行有关部门负责人就部分金融机构侵害消费者金融信息安全权案件相关情况答记者问时提到：

人民银行在依法作出行政处罚的同时，责令涉案金融机构以此为戒，全面排查消费者金融信息保护安全隐患，及时进行整改。 一是在制度建设层面 ，明确要求其进一步健全完善消费者金融信息收集、保存、使用、对外提供等环节的内控制度，采取有效措施将各项制度落到实处。 二是在系统建设方面 ，金融机构要持续改进完善业务系统和反洗钱系统，建立用户异常行为监测模型，定期监测并堵塞系统存在的技术漏洞等安全隐患；完善系统功能模块，确保系统生成日志能及时、准确、全面地记录信息数据的查询和下载操作。特别是要畅通系统使用人员的意见反馈渠道，避免业务、技术“两层皮”的现象。 三是在人员管理方面 ，要不断强化相关措施。对接触消费者金融信息的岗位人员合理设置权限，并采取内部审批等有效措施进行权限控制，全面开展员工业务培训和警示教育工作，有效避免泄露消费者金融信息行为的再次发生。

截至目前，各涉案机构均已进行整改和问责，进一步健全消费者金融信息保护内部控制机制，完善信息安全技术防范措施，强化从业人员消费者金融信息安全意识。

关注：近年来相关法规及监管动作

近年来，人民银行积极推动消费者金融信息保护制度建设，出台消费者金融信息保护规范性文件，要求金融机构严格防控金融消费者信息泄露风险，保障金融消费者信息安全。

为进一步加强消费者金融信息保护力度，提升消费者金融信息保护法律法规层级， 《个人金融信息（数据）保护试行办法》《中国人民银行金融消费者权益保护实施办法》 已列入人民银行规章制定工作计划，其中《中国人民银行金融消费者权益保护实施办法》已于9月18日发布，自11月1日起施行，该实施办法在延续原有的金融信息保护专章的基础上，以实现保护金融消费者信息安全权为目的，从信息收集、披露和告知、使用、管理、存储和保密等方面进行了优化。

国家层面对个人信息安全保护同样日益重视。随着近日 《个人信息保护法(草案)》 的公开亮相，个人、企业、国家机关多主体对个人信息保护的权利/权力与义务必将得到明确，有助于进一步保护个人信息权益、规范个人信息处理活动、保障个人信息依法有序自由流动、促进个人信息合理使用。

强化：补足内控安全短板不容轻视

近年来，随着互联网的高速发展，与金融相关的业务也越来越加丰富，专门针对金融机构的犯罪活动日益增多，更有黑灰色产业人员参与其中，甚至直接引诱金融机构内部人员提供各种信息。与金融机构相关的客户信息泄露事件，商业银行机密信息泄露事件发生日趋频繁， 如何应对这些新的安全挑战，如何满足监管要求，如何及时识别内控漏洞并作出相应处置，是银行业正在面临也必须解决的关键问题。

在采用科技化智能化手段提升银行内部风险防控能力方面，国舜股份拥有成熟的系统和丰富的专家经验予以支持。国舜股份内控系统已在多家银行机构投产使用，在助力银行在规范内部人员行为，解决系统内部操作风险等方面起到重要作用。

国舜股份“基于UEBA的内控安全风险管理体系” 可大幅提升银行的内控水平及智能化应用水准，满足监管要求，减少员工的道德风险，全面提升银行的信息安全保障能力，提升银行发现内部风险的效率及处置内部风险的能力，降低银行安全事件发生，更好地保护银行的客户信息资产还有客户资金，以及银行的重要敏感信息资产安全。

“基于UEBA的内控安全风险管理体系” 将对接行内各种应用系统，整合外部情报数据、业务操作数据、人力资源数据，利用UEBA（用户实体行为分析）技术，基于用户行为数据，对用户操作行为进行分析，建立内部人员/设备/应用安全行为基线，防范内部人员参与黑灰色产业、内部信息流出、商业机密泄露、异常操作风险、违规操作、内部设备安全风险等问题。

国舜股份对内控风险的分析步骤包括：

（1）数据质量分析与预处理（2）风险场景分析（3）用户异常行为和可疑事件分析（4）系统运营统计和风险分析（5）风险规则模型设计（6）风险预警及实时处置

国舜股份将针对内控安全提供一系列行之有效的风控规则、模型、调优等专家咨询服务。提供重点风险模型包括但不限于：内部系统登录风险模型；生产类系统用户操作风险模型；生产、办公、互联云盘文件跨区转移风险模型；无线WIFI风险模型；智能客户端操作风险模型；生产安全桌面风险模型；趋势防病毒系统风险模型等。

在此次疫情期间，很多银行采用远程办公的方式开展工作，国舜的内控安全防控体系对远程办公场景带来的新型风险防控起到关键助力作用。

国舜股份的安全技术和解决方案已经在上百家金融单位成功应用落地，拥有众多行业典型应用案例，并多次荣获行业大奖，获得了客户们的广泛认可和好评。

国舜内控安全风险管理体系通过加强全行员工的授权管理监控与预警，监控异常的操作行为，做到风险早发现、早提醒、早处置，从而提升银行内部风险控制水平，增加防范银行员工泄露客户信息的措施，减少违规操作可能给银行带来的资金损失和声誉损失。

国舜股份风控力量通过构建全面的信息安全安防体系，为确保机构数据资产的安全、可靠、稳定提供技术保障，推动实现智能可靠的安全管理，护航客户信息安全与网络安全。

参考来源：中国人民银行

拓展阅读 ●

6家银行共罚4000万：从央行重拳出击金融信息安全看内控安全重要性

正文

央行有关部门负责人就部分金融机构侵害消费者金融信息安全权案件相关情况答记者问时提到：

截至目前，各涉案机构均已进行整改和问责， 进一步健全消费者金融信息保护内部控制机制，完善信息安全技术防范措施，强化从业人员消费者金融信息安全意识。

请到「今天看啥」查看全文

截至目前，各涉案机构均已进行整改和问责，进一步健全消费者金融信息保护内部控制机制，完善信息安全技术防范措施，强化从业人员消费者金融信息安全意识。