证券公司网络安全建设必须知道的七个要点 ——以中美经验为例
证券公司网络安全建设必须知道的七个要点
——以中美经验为例
2020年1月27日,美国证券交易委员会合规督查和研究办公室[1] 发布《网络安全及应对机制观察》(以下简称“《观察报告》”)[2], 从应对网络安全事件及风险的角度出发,对证券公司等证券市场主体的实践经验进行了总结。
《观察报告》主要从组织治理与评估、访问权限控制、数据安全技术、移动安全管理、安全事件应对、供应商管理、网络安全培训等七个角度对证券公司等市场主体的网络安全建设提出建议。其适用范围包括,在SEC下登记的所有居民或非居民投资顾问、投资公司、券商、自治组织、结算机构、交易代理等机构,因此,如果某中国的上述类型公司在SEC下进行了登记,将也有可能会受到《观察报告》的影响,这一点值得相关主体的高度关注。下文着重关注的是证券公司在中美视角下的网络安全责任义务。
落实到具体制度层面,《观察报告》其实与我国《证券基金经营机构信息技术管理办法》(以下简称“《管理办法》”)等监管规定具有相通之处,但是也具有我国监管尚未强调的重点。
《网络安全及应对机制观察》 | 《证券基金经营机构信息技术管理办法》 |
组织治理与风险管理 | 信息技术治理 |
访问权与控制措施 | 信息技术合规与风险管理 |
数据丢失防范 | 信息技术安全 |
移动安全管理 | / |
安全事件应对与恢复 | 信息技术安全 |
供应商管理 | 信息技术服务机构 |
网络安全培训 | / |
(1)有较大可能被认定为关键信息基础设施,所处理的数据重要性程度高;
(2)有较大可能被认定为网络安全等级三级以上,网络安全保护义务高;
(3)所处理的数据量巨大;
(4)所处理的数据类型多样,既包括个人数据,也包括非个人数据;
(5)所处理的数据来源多样,既包括发行人数据,也包括投资人数据;
(6)所处理的数据可能跨越多个行业,包括国民经济关键领域;
(7)监管机关要求证券公司需要承担较重的信息上报义务等。
实践中,已存在证券公司因未建立网络安全制度、或网络安全制度不完善而受到监管处罚的案例,例如:海*证劵投资咨询有限公司因为未制定网络安全制度,于2019年6月24日被浙江宁波公安依据《网络安全法》第21条、第59条处以警告的行政处罚[3]。2019年7月以来,*虎证券、**顺等多家证券类移动应用由于违法收集个人信息被工信部责令整改[4]。2019年,网*证券等证券公司由于交易系统故障,发生“较大信息安全事件”迟延向证监局报告,受到辽宁等地证监局的处罚[5] 。随着我国网络安全监督力度的不断加强,我们理解,证券公司实有必要加强在网络安全建设方面的应对,以防范任何可能发生的风险。结合SEC《观察报告》的经验与我国《管理办法》等的系列监管规定,我们建议,证券公司可以考虑以以下要点为抓手,具体进行网络安全体系建设:
· 组织管理与风险评估 有效的组织治理和风险评估是网络安全保护工作的基础和依托,在网络安全工作中需要一以贯之地发挥其作用,为此公司需要做到:
(1)组织高层(董事会及高级管理人员)制定并监督公司的网络安全策略;(2)对公司进行风险评估,以识别、管理、弱化业务可能遇到风险;(3)制定并执行公司详细的解决风险的书面政策和流程;(4)定期对公司政策和流程的落实情况进行测试与监督;(5)持续对公司政策和流程与实际不符的内容进行回应与更新;以及(6)建立公司内部和外部沟通机制,保证公司、员工、用户、其他市场主体以及监管机关等能够及时了解所有信息。 · 数据访问权限控制 公司应当仅根据工作职责赋予数据使用者以访问权,并需要控制具有合法授权的数据使用者的访问行为。具体控制措施通常包括:
(1)了解数据在整个公司中的位置。
(2)明确进行数据访问的实际需求,限制对敏感系统和数据的访问,并定期进行账户复查。
(3)管理数据使用者访问行为,例如适当限制访问行为,分离审批数据访问行为的权限,定期重新许可数据使用者的访问权,要求使用保护性强、定期更换的密码,在应用程序中使用多重认证方式,或使用密钥生成认证码,以及当员工离职后立刻取消系统访问权等。
(4) 监督数据使用者访问行为,例如监控失败的登录尝试和账户锁定,谨慎处理用户修改账户名、密码及其他异常请求,持续检查系统硬件和软件改变,以及确保任何变动都经正当的批准和执行,任何异常情形都被调查等。
(1)脆弱性管理,定期检测公司及供应商提供的软件代码、网页应用、服务器及数据库等可能面临网络安全风险的内容。
(2)边界防护,具备能力控制、检测和检查所有网络拥堵,例如可以采取防火墙、入侵检测系统、邮件安全能力、具有内容过滤能力的网页代理系统等措施。
(3)侦测防护,具备侦测终端风险的能力,例如侦测欺诈性交流以阻挡非法或恶意软件的运行等。
(4)补丁管理,建立覆盖所有软件和硬件的补丁管理项目,包括防病毒和防恶意软件的安装等。
(5)硬件和软件库存,维持硬件和软件资产的库存,包括重要资产和信息的识别(知晓这些资产和信息的地点,以及所采取的保护措施等)。
(6)加密及网络分割,使用工具和程序保证数据和系统的安全,例如在内部和外部对“运动中”的数据进行加密,对所有系统(包括笔记本电脑、台式机、手机、平板电脑和服务器)中“静态”的数据进行加密,实施网络分段和访问控制列表,仅对授权的系统和网络开放数据访问等。
(7)内部威胁监测,制定内部威胁程序以识别可疑行为,包括酌情将问题上报给公司高级领导;增加业务系统测试和进行渗透测试的深度和频率;创建规则以识别并阻止敏感数据(例如帐号、社会保险号、贸易信息和源代码)的传输离开公司;跟踪纠正措施,以响应测试和监视的结果,业务运营或技术的重大变更以及任何其他重要事件。
(8)保护旧版系统和设备,通过一定方式验证退役和处置硬件和软件不会造成系统漏洞,例如从退役的硬件和软件中删除敏感信息并及时处置,随着旧系统被更现代的系统取代,重新评估脆弱性和风险评估等。
· 移动安全管理 移动设备和应用的网络安全风险是公司经常会忽视的领域。但是随着移动互联网技术的蓬勃发展,移动应用例如远程办公、远程交易等已经非常普及,移动应用安全问题已经不容忽视。从制度和技术的层面来看,公司可以:(1)建立使用移动设备的组织内部政策和流程。
(2)使用移动设备管理应用或类似技术,包括邮件交流、日历、数据存储等。
(3)对内部和外部数据使用者采用多重认证方式,禁止打印、复制、保存信息至个人设备,确保能够远程清除离职员工或丢失设备上的数据。
(4)就移动应用设备政策和保护移动设备的方式对员工进行培训等。
· 网络安全事件应对和业务连续性要求 应对网络安全事件,公司可以从事前、事中、事后三个层次来进行考虑:(1)事前制定以风险评估为基础的应急预案,内容可包括各岗位人员的职责、事件发生后及时通知和反应、及时上报事件到公司相关管理层、以及及时与公司主要领导进行交流的要求等。
(2)事中指定具有资质的雇员执行应急预案,并根据法律法规规定,履行向有关监管部门及时上报网络安全事件情况的义务。
(3)事后测试和评估应急预案的合理性,以及是否需要更新或改变等。制定网络安全应急预案的目的在于,保证公司及时恢复正常安全保护机制,为维护公司业务连续性,公司需要在日常管理中:
(1)明确核心业务运行和系统,理解支持业务服务的系统和程序。理解某个系统或程序故障可能给业务组织业务服务造成的影响。
(2) 制定适宜的有风险抵抗力的策略,考虑发生安全事件时哪些系统和程序能够被替代、将备份数据在物理上分开存储、以及业务中断对机构利益相关方和其他组织的影响等。
(3)在其他网络以及线下存储备份数据,评估公司的网络安全保险是否与业务发展相匹配。 · 供应商管理 仅公司自身做好网络安全建设是不够的,供应商因为可能接触到公司系统和数据往往也具有高危性,公司必须从接触供应商的全流程上控制其可能带来的网络安全风险。具体措施包括:(1)选择供应商时进行尽职调查。
(2)与供应商订立服务合同和保密协议,细致地约定双方应当承担的网络安全保护义务。
(3)理解服务合同中的所有条款,确保双方对风险和安全的理解一致。
(4) 除了监督供应商履行合同外,采取审计等多种方式监督供应商行为。
(5)评估供应商关系,及公司应对供应商采取何种等级的尽职调查。
(6)评估供应商如何保护可被访问的用户信息。
(7)建立供应商管理体系,保证供应商达到安全要求,建立终止或替换供应商的流程等。
· 网络安全培训
网络安全的培训是网络安全保护的重要组成部分。通过培训可以向证券公司员工提供关于网络风险和责任的信息,并提高员工对网络威胁的知晓程度。通常,培训要求可能涉及以下方面:
(1)培训员工如何执行公司的网络安全政策和流程,使员工获得网络安全建设的参与感。
(2)进行特定专题的培训,例如包括网络钓鱼练习,帮助员工识别网络钓鱼电子邮件。可在培训中包括预防措施,例如识别和回应违规行为的信号,以及在相关行为可疑时向客户进行确认等。
监督员工参加培训并评估培训的有效性。根据网络威胁信息的变化,持续评估和更新培训计划等。
注:[1]The Securities and Exchange Commission Commission's Office of Compliance Inspections and Examinations.
[2]https://www.sec.gov/news/press-release/2020-20?mkt_tok=eyJpIjoiTUdRd056TTVPVFF5TmpVeSIsInQiOiJtN2I5aE81bmozclhNMUM2MjBsSzc3eTM1Q0VraUNBdlR0NjdCUlNBTEU2NGdoOWZvYnFObm1KYU5TUWdaTXlORWRmM0M0REFNZFFaZGg5eFRmWE1cL0VpNUNiQytwQlFMckFwZ0lkUmN2Q2t0T2JYMHR4SHRUdG1WSVlycUEwa20ifQ%3D%3D %3D%3D
[3] 参见甬公海(江)行罚决字[2019]51188号案。
[4]http://www.cs.com.cn/jg/03/201911/t20191125_6002233.html.
[5]news.sina.com.cn/o/2019-05-06/doc-ihvhiqax6908419.shtml.