银行科技
当前位置: 首页 > 银行科技

银行走出去需做好信息安全管理
发布时间: 2020-06-04 访问: 字体:

■ 李晓轩

众所周知,支持企业跨境融资是银行国际化经营的重要内容,当前复杂多变的形势,对银行国际化经营提出了新的挑战。一方面企业跨境融资的需求仍然迫切,境内外跨境信息交互越来越频繁;另一方面随着美国、欧盟等国家和地区相继出台了信息安全相关法律条例,对隐私保护、防止信息泄露的要求愈发严格。在这种情况下,银行需同时满足境内外不同的监管部门的要求,信息安全就是其中一项重要内容。

目前,境内外监管对于跨境信息保护的法案主要有我国的《网络安全法》,欧盟的《通用数据保护法(GDPR)》,美国的《NYDFS500法案》。其中我国《网络安全法》于2017年6月1日起正式生效,是我国数据出境管理的主要法律依据,规定了关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要确需向境外提供的,应当按照国家网信部门会同其他相关部门制定的办法进行安全评估。欧盟《通用数据保护法》是专门针对个人信息的保护法案,对于个人信息采集、信息出境、信息主体授权都提出了明确要求。美国《NYDFS500法案》目前并未限制跨境数据传输,但强调适用于美国法律的数据在离开美国后仍然适用,阐明了长臂管辖原则。可见信息出境严监管的趋势已经越来越明显,银行必须做出适应性调整。

做好跨境信息传输安全评估。以往境内外跨境信息直接传递的方式已经无法适应监管要求,境内外业务往来必须根据业务场景明确具体交互的内容,境内外机构均需要对跨境传输的信息进行安全评估,确认相关信息可以出境,必要时向当地监管部门报备,并取得许可后再进行信息跨境传输。目前国内各主要银行均已开展针对不同境外地区的跨境信息安全评估工作,与境内外相关法律机构合作开展信息安全研究课题,形成评估报告,并注重在不同业务领域的评估信息共享,用于指导境外系统建设部署。

建立灵活的系统架构。各国监管对信息安全的要求复杂多样,例如俄罗斯、泰国要求系统必须在当地部署,客户信息数据不允许出境;而其它国家有的明确信息可以出境,但要经过合规性评估或客户主体授权,有的则未做要求。采用统一部署的系统架构,虽然部署和运维成本较低,但面对差异越来越大的境外监管要求往往捉襟见肘,通过打补丁方式调整的代价巨大。如今支持国际化业务的系统建设越来越朝着专业、灵活、分布式方向发展,首先做到内容专业,跨境信息传输范围最小化,确保境外监管的长臂管辖原则不会对境内系统产生干扰;其次做到灵活部署,采用分表存储、集群松耦合等模式,能够快速拆分独立版本,满足各类不同的应用场景需求。

筑牢信息安全防火墙。为有效隔离境外监管对境内系统造成的影响,保护境内信息安全,应当构建境内外数据交互的中间地带,筑牢信息安全防火墙。境内外交互信息先在中间层落地,通过授权确认后再将数据发送到接收端,使境内外交互数据做到完整归集,便于监管与追踪。防火墙中间层也采用MD5、DES3等数字加密技术进行存储,网络传输采用https(安全超文本传输协议)传输加密并配合专用数字证书,所有交互请求均有操作日志跟踪留痕,通过一系列技术手段确保信息传输可监控、可追溯、可管理,最大程度保护信息安全。

从国家战略到企业经营,从业务推广到系统建设,信息安全都是确保各项工作平稳健康发展的重要前提。未来,伴随着“一带一路”建设、人民币国际化等的不断深入推进,做好跨境信息安全管理必将为银行国际化经营注入新的活力。



Produced By CMS 网站群内容管理系统 publishdate:2020/06/05 10:00:00