近日,银保监会对中信银行进行了行政处罚,罚单金额高达2223.7万元,为2019年以来银行业罚单的最高值。中信银行罚单主要案由多达十三条,其中有两条涉及信息安全,分别是“未向监管部门报告重要信息系统运营中断事件”和“信息系统控制存在较大安全漏洞,未做到有效的安全控制”。
罚单信息
中信疑似紧急修补漏洞
根据罚单信息,银保监会是在今年7月3日作出对中信银行的处罚。记者注意到,中信银行在7月3日之后进行了两次系统升级,并暂停了部分业务,并对部分业务做出了调整。
中信银行公告
在7月4日和7月12日在系统升级公告中分别暂停了交易银行、手机银行、个人网银、互联网金融开放平台和夜市应急查询交易、手机促销一元购交易、资金归集、收付通等应用系统和服务。这两次系统升级从时间上看,疑似和银保监会的罚单有一定的联系,中信银行或许紧急修补了信息系统漏洞。
按照《中华人民共和国银行业监督管理法》第四十六条规定,“提供虚假的或者隐瞒重要事实的报表、报告等文件、资料的;未按照规定进行信息披露的由国务院银行业监督管理机构责令改正,并处二十万元以上五十万元以下罚款”。
金融信息安全保护是央行工作重点
近日,央行科技司司长李伟在最近发表的文章中提出:“保护好个人金融信息安全是金融风险防范的基础工作,关乎百姓切身利益。在国家相关法律法规的基础上,拟定个人金融信息保护监管规则,明确覆盖金融信息收集、传输、存储、使用、销毁全生命周期的管理要求,从安全策略、访问控制、安全运行、安全监测与风险评估等方面加强个人金融信息安全管理。”
加强金融信息安全保护工作已经成为央行的工作重点。
早在2018年,央行就下发了《中国人民银行办公厅关于2017年支付服务领域金融消费权益保护监督检查情况的通报(银办发〔2018〕99号)》及《中国人民银行办公厅关于开展2018年支付服务领域金融消费权益保护监督检查工作的通知》,要求各机构开展金融消费权益的自查和整改落实工作。
在央行今年4月发布的《2019年规章制定工作计划》当中,明确提出了《个人金融信息(数据)保护试行办法》的制定。这意味着该试行办法将在2020年之前就会完成制定工作,向公众发布。
2019年规章制定工作计划
在今年5月,央行办公厅又下发了《中国人民银行办公厅关于2018年支付服务领域金融消费权益保护监督检查情况的通报(银办发〔2019〕72号)》。在通报中“金融消费者信息安全管理不规范。部分机构存在收集信息范围过大、未经消费者授权收集其个人金融信息的情形、业务系统存储不规范等情形。”属于重点问题。
央行在通报中明确要求各金融机构完善信息管理、进一步规范个人金融信息保护工作,各机构进一步完善个人金融信息保护制度,从源头上规范个人金融信息收集、储存和使用等各个环节等。
从央行陆续下发的文件中可以体会到央行对金融信息安全的重视程度,而银行信息系统安全无疑是金融信息安全最重要的一部分。
最后
不久之前,美国第七大银行Capital One宣布,公司系统遭到入侵,导致逾1.06亿用户信息泄露,犯罪分子利用了该银行信息系统中一个2014年就被发现的漏洞,如果犯罪分子没有在网上公布入侵细节可能至今还没有被人发现。
这起案件给银行信息系统安全敲响了警钟,商业银行作为金融系统的基柱,其信息系统的安全重要性不言而喻,守护银行信息系统安全是保护金融安全最重要的事情之一。