三級等保成網貸備案標配 北上廣80分起步新金融
對P2P行業來說,網絡安全事關投資人資金安全。自2013年以來,P2P行業中已有上百家平臺遭遇黑客攻擊,甚至不乏個別P2P平臺上千萬資金被黑客洗劫一空的惡性事件。因此,在全國網貸備案戰打響的當下,P2P平臺的安全性受到監管部門的格外重視。
上海首提三級等保90分以上
事實上,2016年8月24日銀監會發布的《網絡借貸信息中介機構業務活動管理暫行辦法》就規定,網絡借貸信息中介機構應當按照國家網絡安全相關規定和國家信息安全等級保護制度的要求,開展信息系統定級備案和等級測試。這是監管層首次對網貸行業信息技術安全提出明確要求,也意味著網絡安全已成為平臺合規的重要門檻之一。
在地區監管層面,2017年6月,上海發布“網貸機構業務管理辦法”征求意見稿,其中在信息系統安全保護方面,需事前向本市公安機關網絡安全部門提交符合國家網絡安全相關規定和國家信息安全等級保護制度要求的證明材料。另外,根據近期上海地區發布的網貸機構整改驗收指引,未聘請有資質的專業機構對本機構進行信息安全等級保護測評,或者未申請并通過公安機關網絡安全部門的信息系統安全審核的平臺均不予以備案。
與上海地區相比,根據廣東省2017年2月發布的“網貸機構管理暫行辦法”提出,網貸機構應提交信息安全測評認證機構安全測評報告;而北京在相關要求上則比較含糊,按照北京市金融工作局2017年7月發布的“網貸機構備案登記管理辦法”征求意見稿,網貸機構應具有完善的網絡安全設施和管理制度及安全、穩定的網絡借貸信息中介業務系統和災難備份。
不過,從各地細則看,即使通過信息系統安全等級保護三級認證,也并不意味著安全。據悉,上海地區在三級等保方面要求網貸平臺按照國家標準測評,且測評分數不低于90分;廣東地區對等保三級要求也從原來的60分提高到了80分以上。目前,北京金融監管部門暫時未對三級等保測評的分數提出具體要求,但考慮到上海和廣東地區已實施相關政策,北京地區應該不會差別太大。
8成擬備案平臺未進行安全測評
據網貸天眼統計,截至2017年5月底,通過信息系統安全等保三級備案認證的網貸平臺增加到138家,如果加上后來通過認證的平臺,截止2017年底,拿到三級等保的平臺數量應該不會超過200家,僅占正常運營平臺數量(1750家)10%左右,即便按照最終備案平臺50%通過率計算,目前也僅有20%的平臺獲得了這項資質。剩余80%平臺如果要申請備案,必須在未來幾個月內完成三級等保測評,時間非常緊迫。
據網貸天眼了解,現階段正是網貸機構信息系統安全測評高峰期,北京某測評機構稱,對P2P平臺的測評排期已預約到3月份之后。由此可見,此前對待監管部門整改要求不認真、不上心的平臺此刻恐怕要“傷心”了。
另外,大多數獲得等保三級認證的平臺只在官網公布了相關證書,披露等保三級測評報告與綜合評分的平臺寥寥無幾。網貸天眼還注意到,個別P2P平臺拿到的信息安全保護認證級別為二級,包括拍拍貸、財富星球等實力較大的平臺只通過了二級認證。按照備案要求,這些平臺需要在申請備案前完成三級測評。
網貸平臺必須通過三級等保測試
公開信息顯示,國家2001年實施的《計算機信息系統安全保護等級劃分準則》中將安全等級劃分為五個級別:
第一級為用戶自主保護級,該級適用于普通內聯網用戶;
第二級為系統審計保護級,該級適用于通過內聯網或國際網進行商務活動,需要保密的非重要單位;
第三級為安全標記保護級,該級適用于地方各級國家機關、金融機構、郵電通信、大型工商與信息技術企業、重點工程建設等單位;
第四級為結構化保護級,該級適用于中央級國家機關、廣播電視部門、社會應急服務部門、尖端科技企業集團、國家重點科研機構和國防建設等部門;
第五級為訪問驗證保護級,該級適用于國防關鍵部門和依法需要對計算機信息系統實施特殊隔離的單位。
根據準則,P2P平臺作為類金融機構,需要通過信息安全保護等級三級測試。據悉,目前,僅有公安部授權的第三方評測機構才可開展該項測試工作,
通過三級認證后每年仍需復查
根據《關于開展全國重要信息系統安全等級保護定級工作的通知》(公通字〔2007〕861號),信息系統安全定級工作基本流程為: “自主定級、專家評審、主管部門審批、公安機關審核”。
據業內人士介紹,定級流程分為5步:
第一,系統定級。平臺確定要測試的系統等級,尋找當地公安機關認可的評測機構一起編寫定級報告。如果確定需要通過三級等保,則還需要組織專家評審。
第二,系統備案。系統投入運行30日內到當地公安機關網監部門辦理備案手續。
第三,差距分析。評測機構初步評測后,告知運營單位需要進行哪些整改。建設整改短則一周,長則3個月。
第四,等級測評。整改完成后,評測機構出具評測報告,并將報告提交給公安機關部門進行保存。
第五,定期檢查。定級為二級的系統評測當年復查一次即可。定級為三級的系統需要每年進行評測檢查并出具報告。定級為四級的系統需要每半年進行評測檢查。
北上深三地備案標準不同
網貸天眼在通過三級等保認證的平臺發現,團貸網(注冊領紅包)(廣東 地區)、鉅寶盆(上海地區)、麻袋理財(注冊領紅包)(上海地區)公布了相關測評報告,分別為94.28分、92.2分、89.53分。按照兩地在測評報告分數上的要求,麻袋理財的分數如果四舍五入才能勉強達標。
上海匯盈金服相關技術人員表示,申請信息安全三級等保測試首先由平臺向測評機構提出申請,然后由測評機構現場對平臺做測評,范圍包括平臺的安全體系、管理制度、管理規范等,最后根據機構測評結果來相應改善系統,改善完畢后,測評機構進行檢查,通過后會出具相應測評報告,并有具體分數。最后,平臺持測評報告去公安部門備案,公安部門檢測通過后會出具三級等保證書。匯盈金服表示,公司通過三級等保測試總共耗時2-3個月,并于2017年5月拿到證書。
鉅寶盆方面向網貸天眼透露稱,測評機構進場調研耗時2周左右,整改時間持續2周,最后通過測評拿到證書,前后耗時2個月左右。不過,鉅寶盆技術人員稱,具體整改時間取決于公司的安全現狀和技術能力。但如果公司安全性問題較大,或技術能力比較弱,這個整改時間就會相應拖長。
至于三級等保測評成本方面,網貸天眼在中國網絡安全等級保護網提供的測評機構進行咨詢,多數測評機構基礎成本在15-20萬元之間。對此,鉅寶盆稱,全部成本加起來大概40萬左右。
位于北京的網貸平臺搜易貸的工作人員告訴網貸天眼,搜易貸于2016年10月續評拿到三級等保證書,耗時一個月左右,測評得分為97.81。據悉,如果是初次測評,至少需要2個月時間才能完成。
北京民信貸2017年9月份通過三級等保測評,前后耗時一個月左右。該公司負責測評工作的技術人員表示,三級等保測評主要支出在定級和備案兩方面,目前北京地區系統評級平均價格在12萬—16萬之間,但不同平臺因系統技術復雜程度不同,實際成本差別較大,三四十萬也很正常。
【來源:網貸天眼】
1.砍柴網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.砍柴網的原創文章,請轉載時務必注明文章作者和"來源:砍柴網",不尊重原創的行為砍柴網或將追究責任;3.作者投稿可能會經砍柴網編輯修改或補充。