1. 解讀背景

從1994年國務院頒布第一個網路信息系統的安全法規《計算機信息系統安全保護條例》開始，國務院、各部委等後續出台了幾十部針對專門行業、領域的信息安全法規,但始終沒有一部網路安全方面的基礎法律。隨著各國圍繞互聯網關鍵資源和網路空間國際規則的角逐更加激烈的大背景下，終於在第十二屆全國人大常委會第二十四次會議中以154票贊成、1票棄權，表決通過了《網路安全法》，並將於2017年6月1日起正式施行。《網路安全法》首次將網路安全工作提高到法律高度，明確了網路空間主權原則，體現了網路安全作為國家戰略的決策，也為相關工作提供了法治基礎。

針對關係到國計民生並且對公民信息依賴性極強的金融行業，近年來是網路攻擊的重災區，尤其信息泄漏、黑客攻擊呈高發態勢，如影響全球金融業的「SWIFT驚天銀行大劫案」、震驚全國的銀行行長出售徵信查詢賬號導致大量個人信息泄漏的「5·26侵犯公民個人信息案」等等，而《網路安全法》的頒布，將金融正式被列入重點行業及領域，實行重點保護，並且依託《網路安全法》明確了金融機構做好自身網路安全工作的義務和責任。本文從《網路安全法》總則至附則七個章節的重點條款對金融行業合規引導解讀。

2. 解讀內容

「第二十一條 國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改。」

解讀：金融行業重要的信息系統，是國家信息安全重點保護對象，因此金融行業是落實和實施信息安全等級保護的重點行業之一。而隨著雲計算、大數據、移動互聯網、物聯網等這些新興IT技術的發展與落地，傳統信息安全的邊界越來越模糊，新的攻擊形態層出不窮，安全威脅呈現複雜常態化趨勢，等級保護制度也將進入2.0時代，由公安部信息安全等級保護評估中心主導起草的《雲計算信息安全等級保護基本要求》、《雲計算信息安全等級保護安全設計技術要求》、《雲計算信息安全等級保護測評要求》(簡稱：雲等保標準)即將頒布執行，作為金融機構信息化管理者需要更加關注云等保標準和現實行的等級保護標準的差異性，以雲等保標準實現自身網路、系統安全保護的義務。

「第二十三條 網路關鍵設備和網路安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求後，方可銷售或者提供。」

解讀：金融行業信息安全建設處於其他行業前列，而由於前期國內信息安全技術相對落後，大量金融機構採購的網路關鍵設備為國外品牌，並且產品未獲得如公安部公共信息網路安全監察局檢測並頒發的計算機信息系統安全專用產品銷售許可證、中國信息安全認證中心檢測並頒發的中國國家信息安全產品認證證書等。因此建議金融機構在今後的採購中應該重視和嚴格審核所採購的信息安全產品/服務的資質要求。

「第三十七條 關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。」

解讀：間接性要求金融行業機構在境內運營中收集和產生的個人信息和重要數據應當在境內存儲，即境外數據云存儲、境外託管都被禁止。因涉外業務需要出境的數據，其收集、存儲、處理、銷毀不能違反我國的法律法規。

「第三十八條 關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估，並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。」

「第三十四條 設置專門安全管理機構和安全管理負責人，並對該負責人和關鍵崗位的人員進行安全背景審查；」

解讀：金融行業對信息系統依賴程度的日益增強，在各信息系統中的伺服器、網路設備、安全設備的不斷增加，服務外包人員也隨之增多，加大了企業內控審計的難度。金融行業主管單位需建立更完善、標準的安全管理制度、審核監控制度，加大對第三方網路安全服務機構背景審查力度，建議形成行業內網路安全服務機構推薦列表。金融機構應建立安全管理關鍵崗位的人員安全背景審查機制，形成體系化人員審查及儲備制度。

「第四十二條

網路運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網路運營者應當採取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。」

解讀：金融行業是個人數據的集中營，加強金融行業數據風險管理，保障數據安全、可靠、穩定運行，是行業一個老生常談的話題。而近年來，隨著高級持續性威脅攻擊對金融行業的日益增多，新常態下僅僅依靠傳統安全防護設備已經不能滿足對收集到的個人信息相關係統及網路的安全要求，專業化、系統化、智能化等越來越顯得尤為關鍵；解決「安全防禦孤島」，對網路威脅的行為通過大數據分析、行為建模分析等方式，直觀的給安全人員展示出整個動態攻擊過程，幫助安全人員及時有效的去預警、防範、處置及溯源內外部的威脅是行業需要重點關注的內容。

「第五十一條 國家建立網路安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網路安全信息收集、分析和通報工作，按照規定統一發布網路安全監測預警信息。」

解讀：金融行業主管單位因在深入分析與研究常見安全漏洞以及流行的攻擊技術基礎上，結合管轄單位之間的通報預警流程機制，利用技術手段對行業內、轄區內重要門戶網站、網上重要信息系統進行全面的漏洞、可用性、篡改、敏感詞等監測數據進行態勢分析。對爆發的網路安全事件、漏洞等威脅情報進行定向性通報預警。從總體上把握行業網路的安全態勢，實時感知被監測對象的威脅狀況。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！