[[175703]]

11月7日，全國人大常委會表決通過《中華人民共和國網(wǎng)絡(luò)安全法》，該法將于2017年6月1日起施行。

應(yīng)該說，《網(wǎng)絡(luò)安全法》從起草到審議，與國內(nèi)外網(wǎng)絡(luò)空間安全化、法制化的發(fā)展趨勢相吻合。從全球范圍看，目前已有70余個國家相繼制定網(wǎng)絡(luò)安全戰(zhàn)略，網(wǎng)絡(luò)安全已逐漸成為影響全球宏觀經(jīng)濟與政治穩(wěn)定的重要因素。因此，相關(guān)法規(guī)的出臺勢必將彌補我國參與國際網(wǎng)絡(luò)安全治理的短板。

《網(wǎng)絡(luò)安全法》也必將對金融業(yè)特別是銀行業(yè)的發(fā)展產(chǎn)生深遠的影響。金融是經(jīng)濟的核心，而銀行又是金融業(yè)的重中之重。銀行信息安全是銀行業(yè)務(wù)開展的基礎(chǔ)，是銀行經(jīng)營穩(wěn)健運行的保障。在大數(shù)據(jù)時代，數(shù)據(jù)挖掘和分析的技術(shù)得到前所未有的發(fā)展，散落在門戶網(wǎng)站與社交網(wǎng)站的個人信息都可通過二次利用被挖掘出個人的隱私信息，一旦被非法利用，就可能對用戶造成難以估量的損失。銀行作為客戶資金和信息的重要載體，保障客戶的網(wǎng)上交易安全和信息安全責任重大。

未來銀行的核心競爭力之一將是大數(shù)據(jù)能力，這已成為銀行業(yè)界的共識。對于銀行來講，只有擁有強大的“大數(shù)據(jù)”處理能力，才能使銀行數(shù)據(jù)應(yīng)用達到價值最大化。在銀行信息化、網(wǎng)絡(luò)化時代，如何利用大數(shù)據(jù)的優(yōu)勢加強銀行機構(gòu)的內(nèi)部控制，防范和化解敏感數(shù)據(jù)信息泄密風險，是當前銀行業(yè)信息安全關(guān)注的重點和難點。

沒有數(shù)據(jù)安全就沒有信息安全，數(shù)據(jù)安全管理必須貫穿數(shù)據(jù)生命周期的全過程。大數(shù)據(jù)的應(yīng)用存在運維風險和運營風險等，前者如數(shù)據(jù)丟失、數(shù)據(jù)泄露、數(shù)據(jù)非法篡改、數(shù)據(jù)整合過程中的信息不對稱導致錯誤決策等，后者如企業(yè)聲譽風險、數(shù)據(jù)被對手獲潤的經(jīng)營風險等。因此，必須加強數(shù)據(jù)管控。

據(jù)了解，國內(nèi)網(wǎng)絡(luò)犯罪案件呈現(xiàn)逐年上升的態(tài)勢，其中涉及金融業(yè)特別是銀行信息安全方面的犯罪也不在少數(shù)。如，2014年2月支付寶員工在信息系統(tǒng)的后臺下載了大量客戶信息有償出售給其他電商公司;2016年相繼發(fā)生的攜程信用卡信息泄露、小米社區(qū)用戶信息泄露等事件中，出現(xiàn)了大量用戶信息數(shù)據(jù)被盜，導致用戶網(wǎng)絡(luò)銀行賬戶被入侵事件等。上述事件嚴重影響了金融消費者合法權(quán)益，也充分暴露出在網(wǎng)絡(luò)信息安全領(lǐng)域有較大隱患，不容小覷。

從各家銀行內(nèi)部看，目前無論從系統(tǒng)管理的角度還是從安全技術(shù)水平的角度，也都存在著不少的不足與問題：

從業(yè)務(wù)管理角度看，對信息安全的認識不到位，信息安全意識觀念薄弱;重視信息安全產(chǎn)品的投入而忽視管理投入，應(yīng)急預案不完備。同時，不少銀行缺少信息安全管理的復合型人才。

從信息技術(shù)角度看，部分銀行使用的軟件安全性較弱，系統(tǒng)漏洞較多，給業(yè)務(wù)系統(tǒng)帶來安全威脅，如計算機黑客的惡意入侵，盜取個人信息和重要敏感數(shù)據(jù)。此外，還存在災備措施不完善等問題。

從環(huán)境變化角度看，業(yè)務(wù)由封閉走向開放，業(yè)務(wù)環(huán)境變化導致新的安全問題。當線下交易走到線上進行，銀行面對更多的挑戰(zhàn)來自線上挑戰(zhàn)，有些挑戰(zhàn)前所未有，缺乏應(yīng)對的經(jīng)驗和能力。

《網(wǎng)絡(luò)安全法》共計七十多條，對網(wǎng)絡(luò)安全各方面事項行了全面規(guī)定，內(nèi)容詳細，影響深遠。從宏觀層面看，此法的出臺將解決長期困擾網(wǎng)絡(luò)安全工作的一些基礎(chǔ)性問題，有利于在一個較長時期內(nèi)，統(tǒng)一社會各方的思想和行動。面對“互聯(lián)網(wǎng)+”新態(tài)勢下的信息安全挑戰(zhàn)，我國銀行業(yè)應(yīng)主動適應(yīng)市嘗環(huán)境、技術(shù)的變化，充分借助《網(wǎng)絡(luò)安全法》即將出臺的東風，構(gòu)建一套切實可行的銀行信息系統(tǒng)安全保障體系和方法，著力開創(chuàng)銀行信息安全的新局面。

具體而言，下一步可以從以下幾個方面進行努力：

一是加強對《網(wǎng)絡(luò)安全法》的學習宣傳和培訓。認真做好相關(guān)專業(yè)人員的安全意識教育，而且常抓不懈。通過宣傳和培訓，提高所有參與管理的人員信息安全和風險防范意識，關(guān)鍵是要重點培養(yǎng)信息安全的業(yè)務(wù)骨干。

二進推進信息安全標準化體系建設(shè)。組織完善數(shù)據(jù)中心建設(shè)、數(shù)據(jù)存儲、網(wǎng)絡(luò)互連、安全加密、數(shù)據(jù)交換、安全認證、客戶服務(wù)方面標準的制定。對網(wǎng)上銀行、移動銀行、電子商務(wù)等創(chuàng)新產(chǎn)品和服務(wù)，制定與之相適應(yīng)的標準和規(guī)范。

三是建立信息安全應(yīng)急管理機制。大型的銀行要積極建設(shè)“兩地三中心”，中小型銀行可以考慮選擇災難備份外包服務(wù)，使銀行具備抵御火災、地震、暴雨等自然災害的能力，全面促進業(yè)務(wù)系統(tǒng)的連續(xù)性，著實增強銀行防范風險能力。

四是加強信息安全復合型人才培養(yǎng)。在多渠道培養(yǎng)人才的同時，還要與實踐相結(jié)合，在學習各類信息安全知識和技術(shù)的前提下，組織參與培訓專業(yè)人員針對信息安全制度進行實踐檢驗。此外，應(yīng)從晉升、薪酬等方面對信息安全人才進行激勵。

《網(wǎng)絡(luò)安全法》明確提出國家要對關(guān)鍵信息基礎(chǔ)設(shè)施重點保護，要加強網(wǎng)絡(luò)安全信息收集、分析等工作，采取措施防御處置網(wǎng)絡(luò)安全風險和威脅等。鑒于大數(shù)據(jù)資源在網(wǎng)絡(luò)安全方面的戰(zhàn)略價值，針對大數(shù)據(jù)服務(wù)及大數(shù)據(jù)應(yīng)用方面，還應(yīng)采取相應(yīng)措施：合理約束敏感和重要部門對社交網(wǎng)絡(luò)工具的使用，應(yīng)避免、限制使用社交網(wǎng)絡(luò)工具作為日常辦公的通信工具;敏感和重要部門應(yīng)謹慎使用第三方云計算服務(wù)，特別是銀行應(yīng)謹慎使用第三方云服務(wù)，避免使用公共云服務(wù);嚴格監(jiān)管、限制境外機構(gòu)實施數(shù)據(jù)的跨境流動。

法律是維護國家穩(wěn)定、金融發(fā)展的最強有力武器。相信隨著《網(wǎng)絡(luò)安全法》的出臺，銀行信息安全工作將迎來更加美好燦爛的明天。