隨著數字化時代的到來與移動應用的普及,個人信息的安全已經成為國家、個人、企業的關注重點。金融行業尤其應當重視個人信息安全保護,金融服務機構由于業務屬性及過程合規的需要,通過提供金融產品和服務等渠道獲取、加工和保存了大量個人信息(金融行業稱之為“個人金融信息”)。這些信息的安全,于小關系到個人隱私權益的保護,于大關乎國家安全、社會穩定,因此保護個人金融信息安全是金融行業必須履行的社會責任。
為最大程度保障個人金融信息主體的合法權益,維護金融市場穩定,加強個人金融信息安全管理,中國人民銀行于2020年2月13日發布了JR/T 0171-2020《個人金融信息保護技術規范》并推廣實施。北京國家金融科技認證中心為配合《個人金融信息保護技術規范》的推廣實施,面向正在提供及擬提供與個人金融信息相關金融服務的組織,推出個人金融信息保護能力認證,從而檢驗和幫助提高金融服務機構的個人金融信息保護能力。
中國金融認證中心(CFCA)已于2021年取得了個人金融信息保護能力檢測相關資質,與北京國家金融科技認證中心簽署了合作框架協議,多名數據安全專業人員獲取個人金融信息安全能力認證檢測人員資格。
利用自身在數據安全、個人信息保護方面政策、標準、技術層面的儲備積累,CFCA正式推出針對金融行業個人金融信息保護能力的檢測認證服務,幫助金融服務機構對內排查個人金融信息層面的安全風險,進行安全整改,對外獲得能力資質認證,滿足合規需要。
認證對象:
開展或擬開展涉及個人金融信息收集、傳輸、存儲、使用、刪除、銷毀等的專門提供金融產品或服務的法人組織或其下屬及分支機構;
所有涉及個人金融信息的其他組織機構。
認證審查內容分為:
組織級——在組織層面的個人金融信息保護體系和隱私策略:
審查組織個人金融信息保護制度與策略;
審查組織數據分級分類情況;
確定抽取服務/產品、數據范圍。
項目級——查看策略實際執行情況,個人信息保護在業務操作中的落地情況:
審查具體保護措施實施情況
審查生命周期中保護策略執行狀況抽取項目包括:
依托技術設施提供的服務:例如綜合業務系統;
不依托任何技術設施提供的服務:例如金融IT服務外包。
認證流程:
證書樣例:
認證周期:
有效期三年;
第一年初審,認證周期內對獲證機構開展定期和不定期的證后監督。
認證收效:
全面提升能力
及時發現短板,強化個人金融信息保護制度落實,全面提升個人金融信息保護能力。
降低合規風險
降低個人金融信息泄露風險,降低法人組織及其負責人在個人金融信息方面的法律合規風險。
增強核心競爭力
向監管部門和社會大眾展現機構對于個人金融信息保護工作的重視程度,在激烈的競爭中增強自身的核心競爭力。
持續優化提升
持續促進金融機構個人金融信息保護能力提升,打造適應數字經濟時代發展的金融核心競爭力。
作為金融行業領先的網絡安全服務商,CFCA致力于成為數字化時代網絡安全的先導者。由于常年立足服務金融行業,CFCA對金融行業網絡安全、數據安全、個人信息保護等業務有著豐富的經驗和深厚的積累,參與行業多項個人金融信息相關課題、標準等的制定(如JRT0171標準的編寫),對行業要求理解深刻,目前與多家金融服務機構開展了個人信息保護業務項目實踐,取得了良好效果。同時,也將持續為金融機構核心業務數據的安全保護、風險防控、監管合規保駕護航。
