建清單、設(shè)專(zhuān)委會(huì)……金融App安全管理制度體系這樣創(chuàng)新
近日,中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)(以下簡(jiǎn)稱(chēng)“協(xié)會(huì)”)公布了2022年移動(dòng)金融App創(chuàng)新實(shí)踐典型案例遴選結(jié)果,共有25個(gè)案例入選。為此,南方都市報(bào)聯(lián)合中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)推出移動(dòng)金融App創(chuàng)新實(shí)踐案例系列報(bào)道,圍繞入選創(chuàng)新案例的實(shí)踐經(jīng)驗(yàn),看看他們?nèi)绾螐闹贫润w系建設(shè)、安全防護(hù)手段、個(gè)人信息保護(hù)、服務(wù)實(shí)體經(jīng)濟(jì)和技術(shù)創(chuàng)新探索幾個(gè)方面發(fā)揮示范引領(lǐng)作用。
安全管理,制度先行。中國(guó)人民銀行發(fā)布的《中國(guó)人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶(hù)端應(yīng)用軟件安全管理的通知》要求,金融機(jī)構(gòu)要加強(qiáng)客戶(hù)端軟件設(shè)計(jì)、開(kāi)發(fā)、發(fā)布、維護(hù)等環(huán)節(jié)的安全管理,構(gòu)建覆蓋全生命周期的管理機(jī)制,切實(shí)保障客戶(hù)端軟件安全。今日推出第一期專(zhuān)題報(bào)道,通過(guò)5個(gè)案例來(lái)看安全管理制度體系如何創(chuàng)新。
民生銀行App:“合規(guī)雙循環(huán)”與“三張清單”形成安全合規(guī)閉環(huán)
“民生銀行手機(jī)銀行”App在首批試點(diǎn)工作中率先獲得金融科技產(chǎn)品認(rèn)證證書(shū),并完成移動(dòng)金融客戶(hù)端備案工作。在此基礎(chǔ)上,民生銀行通過(guò)建立移動(dòng)應(yīng)用的內(nèi)部管理體系,健全移動(dòng)客戶(hù)端安全生命周期管理,建立安全合規(guī)和隱私合規(guī)的“合規(guī)雙循環(huán)”及合規(guī)差距清單、 應(yīng)用變更清單、問(wèn)題跟蹤清單的“三張清單”制度,明確了行內(nèi)移動(dòng)金融客戶(hù)端安全合規(guī)管理工作計(jì)劃、里程碑及交付物、跨部門(mén)工作職能和機(jī)制等。
具體來(lái)看,一方面,民生銀行制定了《中國(guó)民生銀行移動(dòng)應(yīng)用安全管理辦法》。通過(guò)客戶(hù)端版本上線前的安全評(píng)審、合規(guī)檢測(cè),客戶(hù)端上線后的安全合規(guī)后評(píng)估,以及應(yīng)用市場(chǎng)渠道7×24小時(shí)實(shí)時(shí)運(yùn)營(yíng)監(jiān)測(cè),形成常態(tài)化的移動(dòng)客戶(hù)端合規(guī)管理機(jī)制。
另一方面,民生銀行完善了移動(dòng)客戶(hù)端安全合規(guī)管理體系。成立跨部門(mén)的移動(dòng)客戶(hù)端安全合規(guī)工作組,配置專(zhuān)人專(zhuān)崗負(fù)責(zé)移動(dòng)客戶(hù)端的合規(guī)日常、外部評(píng)估備案工作。除積極開(kāi)展移動(dòng)金融客戶(hù)端的金融科技產(chǎn)品認(rèn)證和備案外,還積極開(kāi)展移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(App)安全認(rèn)證等相關(guān)工作。同時(shí),持續(xù)外規(guī)內(nèi)化,通過(guò)梳理解讀人民銀行、各部委針對(duì)移動(dòng)客戶(hù)端的法律法規(guī)、標(biāo)準(zhǔn)制度以及相關(guān)要求,完成外部標(biāo)準(zhǔn)規(guī)范的轉(zhuǎn)化落地。此外,定期組織協(xié)調(diào)外部監(jiān)管機(jī)構(gòu)專(zhuān)家,面向全行組織移動(dòng)客戶(hù)端外部認(rèn)證及客戶(hù)端個(gè)人信息保護(hù)相關(guān)專(zhuān)題培訓(xùn),提升全員安全合規(guī)意識(shí)。
民生銀行“合規(guī)雙循環(huán)”與“三張清單”
中國(guó)銀聯(lián)云閃付App:專(zhuān)設(shè)“個(gè)人信息與隱私保護(hù)專(zhuān)業(yè)組”,嘗試個(gè)性化個(gè)人信息保護(hù)措施
中國(guó)銀聯(lián)以《網(wǎng)絡(luò)安全法》《個(gè)人信息安全規(guī)范》《中國(guó)人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》《個(gè)保法》等為依據(jù),不斷建立健全組織架構(gòu)、制度體系建設(shè)。
在組織架構(gòu)層面,銀聯(lián)信息安全委員會(huì)下設(shè)“個(gè)人信息與隱私保護(hù)專(zhuān)業(yè)組”統(tǒng)籌數(shù)據(jù)安全和個(gè)人信息保護(hù)工作。在制度建設(shè)層面,在《中國(guó)銀聯(lián)數(shù)據(jù)管理辦法》等現(xiàn)有制度的基礎(chǔ)上,補(bǔ)充制定了《中國(guó)銀聯(lián)數(shù)據(jù)安全與個(gè)人信息保護(hù)細(xì)則》《中國(guó)銀聯(lián)云閃付個(gè)人信息安全影響評(píng)估指南》等多項(xiàng)內(nèi)部管理辦法,以業(yè)務(wù)數(shù)據(jù)的分類(lèi)分級(jí)保護(hù)和全生命周期管理為基礎(chǔ),進(jìn)一步細(xì)化個(gè)人信息保護(hù)管理要求。
除此外,中國(guó)銀聯(lián)主動(dòng)探索個(gè)人信息保護(hù)新形式,嘗試個(gè)性化個(gè)人信息保護(hù)措施。其中值得一提的是,云閃付App對(duì)隱私政策進(jìn)行了兩次大改版,2019年8月進(jìn)行的第一次改版中,采用“正文 附件”的隱私政策架構(gòu)將用戶(hù)的隱私權(quán)益等核心內(nèi)容在正文中進(jìn)行總結(jié)性、歸納性的描述,詳細(xì)業(yè)務(wù)情況則通過(guò)附件按類(lèi)別逐項(xiàng)列舉;2021年11月,第二次改版中,使用更通俗易懂、便于理解的語(yǔ)言編寫(xiě),以更易于用戶(hù)瀏覽的形式呈現(xiàn);增加速覽版隱私政策,篇幅控制在完整版的30%,閱讀時(shí)長(zhǎng)可控制在1分鐘內(nèi);還補(bǔ)全了《兒童隱私保護(hù)指引》。
京東金融App:打造“標(biāo)準(zhǔn)化”“工具化”“平臺(tái)化”隱私合規(guī)保障體系
面對(duì)當(dāng)前隱私合規(guī)監(jiān)管部門(mén)較多,法律法規(guī)更新較快,且呈常態(tài)化趨勢(shì),京東科技專(zhuān)門(mén)成立了隱私合規(guī)治理虛擬小組,專(zhuān)門(mén)負(fù)責(zé)“京東金融”App隱私合規(guī)問(wèn)題的處理,小組成員包括了研發(fā)、產(chǎn)品、測(cè)試、安全、法務(wù)合規(guī)、安全合規(guī)等部門(mén)人員。
為保障用戶(hù)隱私安全,“京東金融”App通過(guò)“標(biāo)準(zhǔn)化”“工具化”“平臺(tái)化”打造了一套完善的隱私合規(guī)保障體系。
一是制定了App隱私合規(guī)問(wèn)題處置SOP(標(biāo)準(zhǔn)作業(yè)程序),在政策解讀、需求階段、研發(fā)階段、測(cè)試階段、發(fā)布階段和運(yùn)營(yíng)階段都制定了相關(guān)的標(biāo)準(zhǔn)流程,用于指導(dǎo)團(tuán)隊(duì)成員日常工作。
同時(shí),為解決 App 隱私合規(guī)問(wèn)題排查與治理過(guò)程中手段單一且低效的問(wèn)題,在App隱私合規(guī)問(wèn)題排查與治理過(guò)程中, 公司自研多種工具,用于排查、分析、治理隱私合規(guī)問(wèn)題。
此外,在App產(chǎn)研階段, 由于不了解相關(guān)隱私合規(guī)風(fēng)險(xiǎn)點(diǎn), 設(shè)計(jì)或開(kāi)發(fā)了存在合規(guī)問(wèn)題的功能或流程, 在應(yīng)用發(fā)布前沒(méi)有有效的手段進(jìn)行檢測(cè)排查。為解決上述問(wèn)題,公司通過(guò)自主研發(fā)的Utrust隱私合規(guī)檢測(cè)平臺(tái),對(duì)移動(dòng)應(yīng)用個(gè)人信息安全問(wèn)題進(jìn)行多方位的全面檢測(cè)。
(Utrust隱私合規(guī)檢測(cè)平臺(tái)能力圖譜)
浦發(fā)銀行App:建立全生命周期安全管理體系
為加強(qiáng)App及其他信息系統(tǒng)建設(shè)項(xiàng)目的精細(xì)化安全管理,浦發(fā)銀行App建設(shè)了信息系統(tǒng)全生命周期安全管理體系。
安全管理體系主要由安全開(kāi)發(fā)管控流程、安全支撐體系、安全保障體系組成,其中安全管控流程主要涉及四個(gè)方面。
即在需求階段,利用資產(chǎn)庫(kù)和工具進(jìn)行安全評(píng)估,明確安全要求與目標(biāo);在方案設(shè)計(jì)階段進(jìn)行安全設(shè)計(jì)和審核;在測(cè)試階段開(kāi)展安全需求驗(yàn)證;在系統(tǒng)運(yùn)行階段定期開(kāi)展上線后的回歸測(cè)試及滲透測(cè)試。
目前,浦發(fā)銀行App已形成了安全需求模板化、安全設(shè)計(jì)標(biāo)準(zhǔn)化、安全開(kāi)發(fā)組件化、安全測(cè)試專(zhuān)業(yè)化、安全流程線上化的閉環(huán)管理體系。
(浦發(fā)銀行信息系統(tǒng)全生命周期安全管理體系)
交通銀行App:健全信息安全防護(hù)體系頂層設(shè)計(jì)
交通銀行從組織結(jié)構(gòu)、管理制度、產(chǎn)品設(shè)計(jì)以及文化建設(shè)等多方面入手,完成了信息安全防護(hù)的頂層設(shè)計(jì),形成了包括部門(mén)職責(zé)劃分,信息保密制度、數(shù)據(jù)備份制度、風(fēng)險(xiǎn)預(yù)警制度、系統(tǒng)維護(hù)制度、人員管理制度等規(guī)范編制以及產(chǎn)品迭代計(jì)劃制定的體系架構(gòu)。
以交行企業(yè)手機(jī)銀行為例,團(tuán)隊(duì)組織架構(gòu)采取流程管理和業(yè)務(wù)管理的矩陣化管理模式進(jìn)行,其中在流程管理上包括業(yè)務(wù)、產(chǎn)品、體驗(yàn)、研發(fā)、測(cè)試、運(yùn)營(yíng)、數(shù)據(jù)、風(fēng)控、運(yùn)維等崗位,分別承擔(dān)App的業(yè)務(wù)訴求、需求設(shè)計(jì)、UI設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、營(yíng)銷(xiāo)推廣、數(shù)據(jù)分析、反洗錢(qián)和風(fēng)險(xiǎn)控制、日常經(jīng)營(yíng)維護(hù)等職責(zé)。從業(yè)務(wù)管理上,按業(yè)務(wù)和功能模塊進(jìn)行管理,各業(yè)務(wù)模塊主要負(fù)責(zé)各業(yè)務(wù)功能的完整性、流程合理性及操作體驗(yàn)連續(xù)性等方面內(nèi)容。
采寫(xiě):南都記者 熊潤(rùn)淼
通訊員:王立飛