随着数字化时代的到来与移动应用的普及,个人信息的安全已经成为国家、个人、企业的关注重点。金融行业尤其应当重视个人信息安全保护,金融服务机构由于业务属性及过程合规的需要,通过提供金融产品和服务等渠道获取、加工和保存了大量个人信息(金融行业称之为“个人金融信息”)。这些信息的安全,于小关系到个人隐私权益的保护,于大关乎国家安全、社会稳定,因此保护个人金融信息安全是金融行业必须履行的社会责任。
为最大程度保障个人金融信息主体的合法权益,维护金融市场稳定,加强个人金融信息安全管理,中国人民银行于2020年2月13日发布了JR/T 0171-2020《个人金融信息保护技术规范》并推广实施。北京国家金融科技认证中心为配合《个人金融信息保护技术规范》的推广实施,面向正在提供及拟提供与个人金融信息相关金融服务的组织,推出个人金融信息保护能力认证,从而检验和帮助提高金融服务机构的个人金融信息保护能力。
中国金融认证中心(CFCA)已于2021年取得了个人金融信息保护能力检测相关资质,与北京国家金融科技认证中心签署了合作框架协议,多名数据安全专业人员获取个人金融信息安全能力认证检测人员资格。
利用自身在数据安全、个人信息保护方面政策、标准、技术层面的储备积累,CFCA正式推出针对金融行业个人金融信息保护能力的检测认证服务,帮助金融服务机构对内排查个人金融信息层面的安全风险,进行安全整改,对外获得能力资质认证,满足合规需要。
认证对象:
开展或拟开展涉及个人金融信息收集、传输、存储、使用、删除、销毁等的专门提供金融产品或服务的法人组织或其下属及分支机构;
所有涉及个人金融信息的其他组织机构。
认证审查内容分为:
组织级——在组织层面的个人金融信息保护体系和隐私策略:
审查组织个人金融信息保护制度与策略;
审查组织数据分级分类情况;
确定抽取服务/产品、数据范围。
项目级——查看策略实际执行情况,个人信息保护在业务操作中的落地情况:
审查具体保护措施实施情况
审查生命周期中保护策略执行状况抽取项目包括:
依托技术设施提供的服务:例如综合业务系统;
不依托任何技术设施提供的服务:例如金融IT服务外包。
认证流程:
证书样例:
认证周期:
有效期三年;
第一年初审,认证周期内对获证机构开展定期和不定期的证后监督。
认证收效:
全面提升能力
及时发现短板,强化个人金融信息保护制度落实,全面提升个人金融信息保护能力。
降低合规风险
降低个人金融信息泄露风险,降低法人组织及其负责人在个人金融信息方面的法律合规风险。
增强核心竞争力
向监管部门和社会大众展现机构对于个人金融信息保护工作的重视程度,在激烈的竞争中增强自身的核心竞争力。
持续优化提升
持续促进金融机构个人金融信息保护能力提升,打造适应数字经济时代发展的金融核心竞争力。
作为金融行业领先的网络安全服务商,CFCA致力于成为数字化时代网络安全的先导者。由于常年立足服务金融行业,CFCA对金融行业网络安全、数据安全、个人信息保护等业务有着丰富的经验和深厚的积累,参与行业多项个人金融信息相关课题、标准等的制定(如JRT0171标准的编写),对行业要求理解深刻,目前与多家金融服务机构开展了个人信息保护业务项目实践,取得了良好效果。同时,也将持续为金融机构核心业务数据的安全保护、风险防控、监管合规保驾护航。
本文转载自互联网,如有侵权,联系删除
