银保监会、央行发布《关于规范商业银行通过互联网开展个人存款业务有关事项的通知》,重点提到:
强化风险管理。
商业银行应当加强业务风险评估与监测,强化资产负债管理和流动性风险管理,合理控制负债成本。地方性法人银行要坚守发展定位,立足于服务已设立机构所在区域的客户。
加强消费者保护。
商业银行通过互联网开展存款业务应当强化销售管理和网络安全防护,切实保障金融消费者合法权益。
央行发布《征信业务管理办法(征求意见稿)》,专章强调信息安全。
第二十九条
征信机构应当制定涉及所有业务活动和设备设施的安全管理制度,采取有效保护措施,保证信用信息的安全。
第三十条
个人征信机构、保存或处理50万户以上企业信用信息的企业征信机构,应当符合以下要求:
(一)系统测评为国家信用信息安全等级保护三级或三级以上;
(二)设立信息安全负责人,由公司章程规定的高级管理人员担任;
(三)设立专职部门,负责管理信息安全工作,定期检查有关业务及征信系统的安全管理制度及措施执行情况。
第三十一条
征信机构应当保障征信系统运行设施设备、安全控制设施设备以及APP等移动互联终端的安全,做好征信系统日常运维管理,保障系统物理安全、网络安全、主机安全、应用安全及数据安全和客户端安全,防止数据丢失、破坏,防范对征信系统的非法入侵。
第三十二条
征信机构应当从人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等方面做好人员安全管理。
第三十三条
征信机构应当严格限定查询、获取信用信息的工作人员的权限和范围。征信机构应当建立工作人员查询、获取信用信息的操作记录,明确记载工作人员查询、获取信用信息的时间、方式、内容及用途。
第三十四条
征信机构应当建立应急处置制度,发生或者有可能发生重大信用信息泄露等事件时,应当立即采取必要措施降低危害,并向中国人民银行及其属地分支机构报告。
第三十五条
征信机构在中国境内开展征信业务及相关活动,生产数据库、备份数据库应设在中国境内。
第三十六条
征信机构向境外提供个人信用信息,应当符合国家法律法规的规定。
征信机构向境外提供企业信用信息查询服务,应当审查信息使用者的身份、用途,确保信用信息用于跨境贸易、融资等合理的用途,并采取单笔查询的方式提供。
征信机构不得将某一区域、某一行业批量企业的信用信息传输至境外同一信息使用者。
征信机构向境外提供企业信用信息的,应当向中国人民银行备案。
第三十七条
征信机构与境外征信机构合作的,应当在合作协议签署后向中国人民银行备案。
央行发布《基于大数据的支付风险智能防控技术规范》。《标准》要求数据保护应建立符合《个人信息保护法》《个人金融信息保护技术规范》等相关法律、法规和标准的个人信息和业务数据保护策略、管理规范、管理制度等数据保护机制,在确保业务数据安全性的同时,加强个人信息保护。
在风险防控系统安全方面,《标准》要求相关安全措施部署应符合《金融行业网络安全等级保护实施指引》、国家网络安全等级保护有关标准,并根据风险防控所面向的业务系统级别设定相应的等级。
【国家密码管理局公告(第41号)】发布GM/T0012-2020《可信计算可信密码模块接口规范》等26项密码行业标准:
GM/T0012-2020可信计算可信密码模块接口规范
GM/T0078-2020密码随机数生成模块设计指南
GM/T0079-2020可信计算平台直接匿名证明规范
GM/T0081-2020SM9密码算法加密签名消息语法规范
GM/T0083-2020密码模块非入侵式攻击缓解技术指南
GM/T0084-2020密码模块物理攻击缓解技术指南
GM/T0085-2020基于SM9标识密码算法的技术体系框架
GM/T0086-2020基于SM9标识密码算法的密钥管理系统技术规范
GM/T0088-2020云服务器密码机管理接口规范
GM/T0090-2020标识密码应用标识格式规范
GM/T0092-2020基于SM2算法的证书申请语法规范
GM/T0094-2020公钥密码应用技术体系框架规范
GM/T0095-2020电子招投标密码应用技术要求
GM/T0096-2020射频识别防伪系统密码应用指南
GM/T0097-2020射频识别电子标签统一名称解析服务安全技术规范
GM/T0098-2020基于IP网络的加密语音通信密码技术规范
GM/T0099-2020开放式版式文档密码应用技术规范
GM/T0100-2020人工确权型数字签名密码应用技术要求
GM/T0101-2020近场通信密码安全协议检测规范
GM/T0102-2020密码设备应用接口符合性检测规范
GM/T0012-2012《可信计算可信密码模块接口规范》自2021年7月1日起予以废止。
国家卫生健康委、国家中医药管理局联合发布《关于印发公立医院内部控制管理办法的通知》(国卫财务发〔2020〕31号),明确医院内部控制主要包括风险评估、内部控制建设、内部控制报告、内部控制评价四部分内容。
在“风险评估”中,《办法》指出,业务层面的风险评估应当重点关注十二种情况。其中,信息系统管理情况,包括是否实现信息化建设归口管理;是否制定信息系统建设总体规划;是否符合信息化建设相关标准规范;是否将内部控制流程和要求嵌入信息系统,是否实现各主要信息系统之间的互联互通、信息共享和业务协同;是否采取有效措施强化信息系统安全等。
在“内部控制建设”中,《办法》对“信息化建设业务内部控制”提出要求:
(一)医院应当建立健全信息化建设管理制度,涵盖信息化建设需求分析、系统开发、升级改造、运行维护、信息安全和数据管理等方面内容。
(二)信息化建设应当实行归口管理。明确归口管理部门和信息系统建设项目牵头部门,建立相互合作与制约的工作机制。
(三)合理设置信息系统建设管理岗位,明确其职责权限。信息系统建设管理不相容岗位包括但不限于:信息系统规划论证与审批、系统设计开发与系统验收、运行维护与系统监控等。
(四)医院应当根据事业发展战略和业务活动需要,编制中长期信息化建设规划以及年度工作计划,从全局角度对经济活动及相关业务活动的信息系统建设进行整体规划,提高资金使用效率,防范风险。
(五)医院应当建立信息数据质量管理制度。信息归口管理部门应当落实信息化建设相关标准规范,制定数据共享与交互的规则和标准;各信息系统应当按照统一标准建设,能够完整反映业务制度规定的活动控制流程。
(六)医院应当将内部控制关键管控点嵌入信息系统,设立不相容岗位账户并体现其职责权限,明确操作权限;相关部门及人员应当严格执行岗位操作规范,遵守相关业务流程及数据标准;应当建立药品、可收费医用耗材的信息流、物流、单据流对应关系;设计校对程序,定期或不定期进行校对。
(七)加强内部控制信息系统的安全管理,建立用户管理制度、系统数据定期备份制度、信息系统安全保密和泄密责任追究制度等措施,确保重要信息系统安全、可靠,增强信息安全保障能力。
水利部网信办组织开展2020年水利网信建设和应用监督检查及网络攻防演习工作总结,系统回顾了2020年水利网信建设和应用监督检查、网络攻防演习工作开展情况,梳理了存在问题并对典型案例进行了剖析解读,总结经验,谋划后续工作。本轮监督检查共发现128个问题,包括建设管理、网络安全、数据共享、软件正版化等方面。攻防演习中主要存在老旧漏洞未整改、个别单位仍有大量弱口令、内网敏感信息存储不规范、暴露面过大、内网分区分域不合理、访问控制不健全等问题。
部网信办主任蔡阳就监督检查中发现问题,集体约谈了10个单位负责同志。各单位表示要深刻剖析产生问题的原因,按照举一反三、标本兼治要求,采取必要措施,避免类似问题再次出现。
海南省人民政府办公厅发布《海南省政务信息化项目建设管理办法》,从密码应用、密码应用安全性评估等工作作出规定与指引。
《办法》第八条规定省级各部门产生的政务信息化项目,省大数据管理局应当按规定履行审批程序并向省发展改革委备案。备案文件应当包括等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容,其中改建、扩建项目还需提交前期项目第三方后评价报告。
河南省发布《河南省数字政府建设总体规划(2020—2022年)》,在保障数据安全与网络安全方面提到:
2.完善安全保障体系。遵循“同步建设、同步运行”的原则,建立网络安全联动管理体系,以及与各级、各部门的工作联动机制。提升关键信息基础设施防护水平,建设完善信息安全监测预警平台,实现安全要求全面覆盖,提升数据防护、业务运行、网络监控、容灾备份、应急处置等能力。积极采用量子通信安全技术和产品,推动国产自主可控产品在重要领域应用,提升密码基础支撑能力,构建密码支撑体系,加快建设电子证照、电子印章、电子签名等密码应用系统,完善身份认证和授权管理机制,深化数字政府各领域的密码应用。
建立健全数据安全管理、密码应用安全性评估审查制度,以及数据分级管理、风险预警、应急处理等机制,落实数据安全保护责任。组建信息安全保障团队,强化日常安全保障和应急响应,开展信息安全风险常态化评估工作,强化内容安全监管及失泄密监管,实现数字政府网络安全态势实时监控,保障各类基础设施和信息系统平稳、高效、安全运行。
