专栏 | 移动金融App创新实践典型案例专题介绍(制度体系建设专题)
随着移动互联网的快速发展,传统金融服务不断向移动端延伸,移动金融App成为金融机构服务金融消费者的重要渠道,其所承载的业务范畴和业务量与日俱增。相较于传统基于专用网络的金融系统部署模式,移动金融App通过互联网提供服务,带来更大的安全挑战,对金融机构的安全管理能力提出了更高要求。加强移动金融App管理制度体系建设势在必行。
安全管理,制度先行。中国人民银行发布《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》,要求金融机构加强客户端软件设计、开发、发布、维护等环节的安全管理,构建覆盖全生命周期的管理机制,切实保障客户端软件安全。金融机构落实主体责任,建立健全移动金融App管理制度体系,完善管理体制机制,是做好移动金融App安全管理的先决条件。
本次移动金融App创新实践典型案例入围名单中,多个金融机构重视并加强制度体系建设工作,通过制度先行、厘清责任,多措并举推进移动金融App安全管理体系建设。主要体现在:一是持续提升金融科技管理责任意识,依据相关监管政策、行业自律和标准等要求,落实对本单位移动金融App的安全管理主体责任;二是加强移动金融App管理制度建设,建立健全覆盖移动金融App软件设计、开发、发布、维护等生命周期各个阶段的内控管理制度;三是扎实落实管理职责和制度要求,有效发挥制度体系的作用。典型案例介绍如下。
典型案例1
民生银行移动金融客户端安全合规管理体系建设
民生银行高度重视移动金融客户端应用软件实名备案工作,响应监管和行业自律要求,迅速成立由信息科技部、网络金融部、法律合规部等相关主管部门组成的专项工作组,组织落实备案任务,“民生银行手机银行”App在首批试点工作中率先获得金融科技产品认证证书,并完成移动金融客户端备案工作。
民生银行持续完善移动客户端安全合规管理体系,建立“责任到人”的敏捷、高效的常态化跨部门合规工作机制。首先,建立工作机制,成立跨部门的移动客户端安全合规工作组,配置专人专岗负责移动客户端的合规日常、外部评估备案工作,确保每项工作有人抓,有人管。其次,扩大认证范围,积极开展移动金融客户端的金融科技产品认证和备案外,积极开展移动互联网应用程序(App)安全认证等相关工作。第三,持续外规内化,持续跟进人民银行、各部委针对移动客户端的法律法规、标准制度以及相关要求,通过梳理解读完成外部标准规范的转化落地。第四,加强宣传教育,民生银行定期组织协调外部监管机构专家,面向全行组织移动客户端外部认证及客户端个人信息保护相关专题培训,提升全员安全合规意识。
民生银行健全移动客户端安全生命周期管理。民生银行总结备案和认证过程的工作经验,制定《中国民生银行移动应用安全管理办法》,健全移动金融客户端合规发布流程。通过客户端版本上线前的安全评审和合规检测,以及客户端上线后的安全合规后评估,以及应用市场渠道7×24小时实时运营监测,形成常态化的移动客户端合规管理机制,有效实现对客户端版本的闭环式管理及持续合规运营。围绕移动应用的全生命周期提供安全服务,形成了一套完备的备案合规流程。
典型案例2
银联内控合规体系建设
中国银联以《网络安全法》《个人信息安全规范》《中国人民银行金融消费者权益保护实施办法》等为依据,不断建立健全组织架构、制度体系建设。
在组织架构层面,根据银联数据安全保护框架的职责分工,银联信息安全委员会下设“个人信息与隐私保护专业组”统筹数据安全和个人信息保护工作,包括数据安全、支付信息安全及金融消费者权益保护、个人信息保护及相关的内控管理。
在制度建设层面,在《中国银联数据管理办法》等现有制度的基础上,补充制定了如《中国银联数据安全与个人信息保护细则》《中国银联云闪付个人信息安全影响评估指南》等多项内部管理办法,以业务数据的分类分级保护和全生命周期管理为基础,进一步细化个人信息保护管理要求。
在日常运营层面,从操作权限、参数、日志、数据、账务管理等方面进行了全面梳理并优化,形成了业务上线前合规评审、事中实时监控、事后定期排查及异常跟踪处置的管理闭环等。
典型案例3
京东金融隐私合规治理流程
京东科技高度重视京东金融App的合规安全工作。面对当前隐私合规监管部门较多,法律法规更新较快,且呈常态化趋势,京东科技专门成立了隐私合规治理虚拟小组,专门负责“京东金融”App隐私合规问题的处理,小组成员包括了研发、产品、测试、安全、法务合规、安全合规等部门人员。
京东科技制定App隐私合规处置SOP(标准作业程序),在政策解读,需求阶段,研发阶段,测试阶段,发布阶段,运营阶段都制定了相关的标准流程,指导大家日常工作,在App全生命周期内进行隐私合规把控,为用户的隐私安全保驾护航。
典型案例4
浦发银行建立App全生命周期安全管理体系
浦发银行为加强App及其他信息系统建设项目的精细化安全管理,建设了信息系统全生命周期安全管理体系。
安全管理体系主要由安全开发管控流程、安全支撑体系、安全保障体系组成,其中安全管控流程主要涉及四个方面:即在需求阶段利用资产库和工具进行安全评估,明确安全要求与目标,在方案设计阶段进行安全设计和审核,在测试阶段开展安全需求验证,在系统运行阶段定期开展上线后的回归测试及渗透测试。目前已形成了安全需求模板化、安全设计标准化、安全开发组件化、安全测试专业化、安全流程线上化的闭环管理体系。
图 浦发银行信息系统全生命周期安全管理体系
典型案例5
交通银行健全信息安全防护体系
交通银行从组织结构、管理制度、产品设计以及文化建设等多方面入手,完成了信息安全防护的顶层设计,形成了包括部门职责划分,信息保密制度、数据备份制度、风险预警制度、系统维护制度、人员管理制度等规范编制以及产品迭代计划制定的体系架构。以交行企业手机银行为例,团队组织架构采取流程管理和业务管理的矩阵化管理模式进行,其中在流程管理上包括业务、产品、体验、研发、测试、运营、数据、风控、运维等岗位,分别承担App的业务诉求、需求设计、UI设计、开发、测试、营销推广、数据分析、反洗钱和风险控制、日常经营维护等职责。从业务管理上,按业务和功能模块进行管理,各业务模块主要负责各业务功能的完整性、流程合理性及操作体验连续性等方面内容。
(来源:中国互联网金融协会)
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪