近日,国家金融监督管理总局办公厅印发《关于加强银行业保险业移动互联网应用程序管理的通知》。
《通知》文件主体为各金融监管局,各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司,各保险集团(控股)公司、保险公司、保险资产管理公司、养老金管理公司,各金融控股公司。
规范对象为金融机构的移动应用,包括对客户提供金融服务的应用,以及内部管理类应用,也涵盖金融机构在各互联网平台运营的小程序、公众号等。
监管部门认为移动应用现状有4大问题:数量庞杂;功能重复;用户满意度低;用户活跃度低等。为解决问题,设计了3类解决办法:将移动应用管理纳入全面风险管理体系;督促金融机构进一步加强服务;提升金融机构移动应用安全保障水平和金融服务水平。
为协助各单位理解文件精神,爱加密特针对文件进行解读。将文件分为6类、15大要点,并对其中9大要点进行深度解读。
移动应用管理
在此文件第一条、第二条、第三条中进行了明确强调,主要关键要点如下:
强化统筹管理;
业务与科技协同;
压实各方管理职责;
功能全面、安全合规的移动应用;
移动应用台账;
准入退出机制;
合理控制移动应用数量;
移动应用优化与运营(强化体验、增强用户活跃、安全合规、防范风险、避免功能冗余)
明确责任人;
完善内部管理机制;
各环节满足合规(业务需求、产品研发、推广、运营等)
移动应用业务
在此文件第五条中进行了明确强调,主要关键要点如下:
移动应用业务合规审核机制(含第三方合作业务);
业务范围确定;
业务范围遵循(许可证载明、地域范围);
监管销售过程回溯;
监管销售过程信息披露;
定期开展业务合规检查与审计;
基于以上关键要点,辅助金融机构进行业务圈定、业务范围遵循、销售过程监管、业务合规检查成为此条要求重点。我司可在定期业务合规检查、业务范围圈定提供能力支撑。定期业务合规检查:我司可通过安全服务,将服务人员与我司合规检测平台进行结合,将人员能力与智能化辅助工具进行结合,定期为金融机构开展业务合规检查与审计工作,并实现能力移交。业务范围圈定:我司可结合数据分类分级咨询服务能力,从数据重要性、安全影响等方向上,圈定业务安全侧范围边界,避免触碰红线。
移动应用需求
在此文件第六条中进行了明确强调,主要关键要点如下:
同类同质业务需求整合;
移动应用个性化需求(老人、未成年人等);
移动应用安全需求分析;
第三方软件开发工具包安全需求分析;
基于以上关键要点,我司可从业务需求数据分类分级与整合、未成年人信息保护、安全需求分析进行能力支撑。业务需求数据分类分级与整合:我司可通过数据分类分级咨询服务将业务需求转化为数据,对数据的重要级别、影响因素、影响范围等进行综合考虑,进行分类分级,辅助金融机构了解自身业务需求现状、影响范围、数据重要性等;未成年人信息保护:我司可通过个人信息保护咨询服务,针对个人信息、个人敏感信息、未成年信息提供个人信息保护咨询服务,使金融机构满足监管要求、强化主体权益风险、保护未成年人信息安全等;风险报告:我司可提供渗透测试服务,结合人员经验与工具,对风险进行合理渗透与分析,出具全面的风险报告,辅助支撑金融机构明确应强化的安全需求。
移动应用本体
在此文件第七条、第八条中进行了明确强调,主要关键要点如下:
方案设计;
方案评审;
软件开发;
代码管理;
变更控制;
安全风险管理(源代码、组件);
安全性测试(重点应用逻辑测试);
建立测试验证和上架发布制度;
缺陷和漏洞修复;
移动应用分发平台协同;
资质核验;
上架审核;
问题整改;
发布账号管控;
基于以上关键要点,我司可围绕移动应用的全生命周期提供安全加固能力、通过渗透测试定期对移动应用进行安全检测、为移动应用上架机制建设提供支撑。移动应用全周期安全加固:我司可提供全面的移动应用安全加固技术,从根本上解决移动应用的安全缺陷和风险,使移动应用具有防逆向、防二次打包、防动态调试、防进程注入、防数据篡改等安全能力;通过渗透测试定期对移动应用进行安全检测:我司可提供通过渗透测试服务,并出具全面的风险报告,支撑金融机构机制发现移动应用的漏洞与风险。
环境兼容适配
在此文件第十条中进行了明确强调,主要关键要点如下:
移动应用与运行环境兼容适配;
智能终端主要操作系统版本升级跟踪;
制定改造方案;
制定应急预案;
移动应用风险
移动应用风险:
在此文件第十七条中进行了明确强调,主要关键要点如下:
违规识别;
权益保护;
风险防控;
风险措施;
风险评估;
基于以上关键要点,我司可从对强化风险感知、提供基于风险的针对性服务。强化风险感知:我司可通过移动威胁态势感知平台,对移动应用数据进行实时采集并对其进行分析,为金融机构提供事前态势感知、事中实时响应、事后追踪溯源的能力,辅助金融机构及时掌握风险和风险源;基于风险的针对性服务:一是我司可提供全方位的安全加固服务;二是我司可根据金融机构的风险特性提供针对性的安全加固服务。
数据安全管理
在此文件第十三条中进行了明确强调,主要关键要点如下:
数据资产梳理;
明确数据安全管理责任;
强化数据安全措施;
数据风险防范(泄露、篡改、勒索攻击等);
基于以上关键要点,以数据资产为核心,通过我司整体的数据合规咨询服务,由内而外强化数据安全能力,支撑金融机构提升安全防御韧性。治理侧:我司提供数据安全治理体系咨询服务,帮助金融机构从组织、管理、技术、运营、文化角度构建全方位的数据安全治理体系;资产侧:我司提供数据分类分级服务,帮助金融机构了解自身资产情况、数据重要级别及不同数据级别的对应的安全风险;风险侧:我司提供数据安全风险评估服务,围绕数据全生命周期各阶段面临的风险提供数据安全管理和技术防护措施建议;应急侧:我司可通过数据安全应急服务协助金融机构完善应急预案,建立应急响应机制,提升应急管理水平等;培训侧:我司可根据金融机构的战略定位、业务发展、安全现状、政策标准动态等,提供针对性的数据安全培训,全方位了解政策方向、标准要点、安全动态、自身情况及防御内涵等。
个人信息保护
在此文件第十六条中进行了明确强调,主要关键要点如下:
建立移动应用个人信息保护制度;
合法、正当、必要收集个人信息;
告知同意(目的、使用、方式、公布渠道);
及时处理信息泄露;
隐私合规安全;
保障消费者权益;
基于以上关键要点,我司可针对移动应用的个人信息合规、个人信息主体的权益支撑金融机构强化个人信息保护。针对移动应用的个人信息合规:我司可提供移动应用个人信息安全检测平台,帮助金融机构完成移动应用个人信息合规自查。帮助金融机构移动应用分发平台,对每日新增及存量APP进行合规风险检测,快速响应监管需求等;针对个人信息主体的权益保护:我司可提供个人信息保护咨询服务,辅助金融机构在业务中涉及的个人信息开展全面梳理,对业务操作中涉及的个人信息处理过程进行调研,并梳理过程中涉及的个人信息和义务逻辑流转情况等,保护个人信息及个人信息权益。
重要信息系统确定
在此文件第十一条中进行了明确强调,主要关键要点如下:
重要信息系统确定;
确定涉及重要信息系统的移动应用;
及时报告;
基于以上关键要点,我司可围绕重要数据流经途径、存储的数据级别、产生的数据影响范围等,辅助金融机构从对不确定重要信息系统和关联的移动应用梳理确定性。重要信息系统涉及的移动应用:我司可从数据资产、数据级别、数据影响、数据范围、数据流经过程等提供数据分类分级和数据安全管控服务,帮助金融机构确定涉及重要信息系统的移动应用,强化安全管控。
爱加密可提供全方位、一站式的移动安全全生命周期解决方案。协助企业执行文件提出的加强统筹管理、加强全生命周期管理、落实风险管理责任、加强监督管理四方面工作要求。详细对应能力清单可见下图。