金融行業看《網路安全法》鎖定這6點就夠了（二）

《網路安全法》正式出臺， 對於加強互聯網和網路安全方面的法律約束具有重要意義， 對金融機構提出新的網路安全工作思路和要求， 起到推進作用。

本文梳理的關注點分佈在工作依據、工作原則、網路運行、個人資訊、監測與預警、內部審計6個方面， 期許通過完善和加強這些方面的管理機制和技術防護措施， 從而整體提升金融行業網路安全防護水準。

上篇綠盟君為大家從工作依據和工作原則兩方面對《網路安全法》進行瞭解讀， 本篇將繼續從網路運行及個人資訊方面對其進行剖析。

3

【關注點三】金融機構需制定網路安全事件應急預案，

並定期組織演練

【法律要求】

第二十五條提到“網路運營者應當制定網路安全事件應急預案”。 第五十三條提到“制定網路安全事件應急預案， 並定期組織演練工作分工和工作要求”。

【專家解讀】

《網安法》新提出網路安全事件應急預案及演練的相關要求， 金融機構制定應急預案應覆蓋所有網路安全場景， 包括網路掃描攻擊、拒絕服務攻擊等， 系統方面有惡意程式碼、後門程式等；另外， 根據應急預案涉及的各方面內容， 建議由負責應急預案工作的部門組織預案中各角色相關人員開展應急預案培訓。

107號通知指出， 銀行業網路和重要資訊系統是國家關鍵資訊基礎設施， 為進一步加強互聯網安全風險應對，

提升銀行業整體防護能力， 按照國家關鍵資訊基礎設施保護、網路安全風險專項應對工作的整體安排， 決定組織開展銀行業網路安全風險專項評估治理工作。 建議銀行業金融機構可根據中國銀監會《銀行業突發事件應急預案》等相關規章和標準， 結合近年銀行業發生的安全事件和面臨的安全風險， 制定符合自身組織架構的網路安全應急預案， 預案中明確科技部內部及業務部門的應急回應責任， 準備措施以及應對突發事件的配合機制， 並組織演練。

4

【關注點四】金融機構需建立健全網路安全監測預警和資訊通報制度

【法律要求】

第二十九條提到“國家支援網路運營者之間在網路安全資訊收集、分析、通報和應急處置等方面進行合作，

提高網路運營者的安全保障能力。 ”

第五十一條提到“國家建立網路安全監測預警和資訊通報制度。 ”第五十二條提到“負責關鍵資訊基礎設施安全保護工作的部門， 應當建立健全本行業、本領域的網路安全監測預警和資訊通報制度， 並按照規定報送網路安全監測預警資訊。 ”

【專家解讀】

《網安法》提出在網路安全資訊的合作、分享， 提高保障能力的思路， 這與當下行業內部少部分事前心存僥倖、發生資訊安全事件後企圖瞞報、少報的應對思路形成鮮明對比。

綠盟科技高級副總裁葉曉虎指出“現階段的企業在安全防護工作中已經能夠切實感覺到整個生態鏈的影響，

而單個企業的資料總是不夠完整， 希望能夠與更多產業鏈夥伴進行資訊通道的打通和資料的交換， 以保障更快地進行安全回應。 ”建議採取與合作夥伴或供應商簽署保密協定， 保證網路日誌、安全告警資訊不向社會公開的前提下， 可以自建或招募一些通過背景審查的安全人員形成安全團隊， 對同一行業、同一領域的金融機構租用一套行業公有雲監測預警平臺， 解決缺少7*24小時值守人員、缺乏高效運營監管工具的問題， 快速高效的提升防護水準。 如採用網站安全監測和預警平臺解決， 可以協同運營， 降低成本。

未完待續……

想查看上篇內容的請戳這裡哦！

金融行業看《網路安全法》鎖定這6點就夠了

請點擊螢幕右上方“…”

NSFOCUS-weixin