网络安全与金融科技知识图谱

关联词：个人信息保护、大科技公司

网络安全（Cyber Security），也称网络空间安全（Cyberspace Security）、网络防御，是指致力于对计算机系统进行有效的准入控制，确保数据传输安全性的技术手段，包括物理、网络、主机、应用、数据及备份恢复等几个层面。

网络安全最早由美国国家科学技术委员会（the National Science and Technology Council，NSTC）提出，它通过各种流程、技术和实践来保护组织的网络、计算机系统和数据免受未经授权的数字访问、攻击或破坏。

成功的网络安全保护方法具有多层保护能力。这些“保护”分布在被保护的计算机网络环境的数据链路层、网络层、传输层和应用层。网络安全的有效性也依赖于组织管理能力，人员、流程和技术必须相互补充，才能有效防御来自外部的攻击。

由于金融行业高度依赖计算机网络环境，网络安全风险也被认为是金融领域的系统性风险。支付网络、股票发行和交易系统、期货市场等重要的金融市场基础设施都依赖于可靠性和防护能力强的网络安全体系的支撑。

网络安全和数据保护风险不分国界，各国政府对此已经形成高度共识并积极努力进行解决。各国对网络风险的认识很深刻，大多数司法管辖区都推出了保护金融系统网络安全的框架文件。

在我国，《中华人民共和国网络安全法》于2017年6月1日起实施，旨在利用法律法规为网络与系统安全设定标准，更好地与全球互联网行业及国际网络安全标准体系对接。

新加坡网络安全局（Cyber Security Agency of Singapore，CSA）在2017年7月提出新型《网络安全法》（Cybersecurity Act）草案。该草案对在新加坡开设的银行机构产生重要影响。2018年，英格兰银行强制要求英国金融服务公司接受网络安全压力测试，以确保其具备应对重大网络漏洞攻击的能力。此外，英格兰银行还想借此了解相关金融机构防御网络攻击和重续服务的耗时。2(www.xing528.com)

美国对网络安全也很重视。纽约州金融服务局（NewYork Department of Financial Services，NYDFS）出台“Title 23纽约法典、规则和法规500部分：金融服务公司的网络安全要求”（TiTle 23 NYCRR 500），旨在保护金融机构的客户数据和信息技术系统。该要求规定，针对任何可能危害数据的网络事件，纽约州内银行需在72小时内向纽约州金融服务局报告，内容包含勒索软件与拒绝服务攻击。银行应提供完备的网络安全计划并任命首席信息安全官（Chief Information Security Officer，CISO）监管安全程序及其维护。此外，金融服务公司也需遵照要求，在2019年3月前完成转型。

国际标准化组织致力于推动全球信息安全管理体系标准（ISO 27001）的发展。ISO27001发源于英国标准协会（British Standards Institution，BSI）在1995年推出的信息安全管理体系标准（BS7799）。ISO成员国纷纷致力于在本国商业组织、金融机构和政府部门应用ISO27001，科学规范地推动组织的信息安全体系建设，与国际行业自律标准接轨。

不仅如此，组织的内部控制（Internal Control）水平与网络安全也密不可分。ISO的质量管理体系（ISO9001）和ISO27001通过业务连续性管理体系（ISO22301）建立了连接。ISO22301以保证业务运营韧性（Operational Resilience）为出发点，采用风险评估（Risk Assessment，RA）、业务影响分析（Business Impact Analysis，BIA）等风险管理工具，建立业务运营中断风险事件（Disruption Risk Activity）的应急响应（Incident Response）策略和方案，帮助组织建立PDCA（Plan-Do-Check-Act，计划、执行、检查、处理）持续改进战略。

在网络安全的企业标准领域，金融科技公司应根据所服务或所处细分行业的不同，遵循国内外行业标准和合规性要求，结合组织自身成熟度水平，建立企业标准。在我国，金融科技公司可以参考公安部发布的《信息安全等级保护管理办法》3对其业务实施等级保护。等级保护与ISO27001相衔接，并依据《中华人民共和国计算机信息系统安全保护条例》4等有关法律法规而制定，落实我国通信、交通、电力、金融等高度依赖信息技术应用的关键信息基础设施（Critical Information Infrastructure，CII），特别是金融市场基础设施的关键业务的等级保护要求。

关键信息基础设施指的是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统。关键信息基础设施一旦发生网络安全事故，就会影响重要行业的正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损害。5

我国金融行业的金融市场基础设施已普遍按照等级保护制度，建立了3级以上的信息安全管理体系。在云计算领域，主要的金融科技公司（如阿里巴巴、腾讯）也积极落实等级保护制度，建设、运行和管理符合规范的公有云计算平台，并向金融机构提供服务。

不仅限于信息安全标准，金融科技公司还需要遵循特定的行业业务标准和合规要求。以我国银行卡收单业务为例，为有效保护持卡人权益属于特别监管业务，中国银联、支付宝、财付通等开展银行卡收单业务的组织，一方面需要遵循支付卡行业安全标准委员会的相关标准（支付卡行业数据安全标准、支付应用程序数据安全标准和PIN输入设备安全要求），另一方面需要接受行业自律组织（中国支付清算协会和中国互联网金融协会）的合规管理。此外，支付宝、财付通的母公司阿里巴巴、腾讯等互联网企业还应接受我国工业和信息化部、中国人民银行、中国互联网协会等监管机构或行业自律组织的合规管理。6