证优客,一个有温度的认证专家!
证书中心

认证进度一手掌握

扫描二维码

进度一手掌握

快速登录

请完善公司名称
该公司名称已经注册过,贵公司是否已经安排其他人员负责了这个项目呢? 如有疑问请联系客服
立即设置

选择服务公司

体系认证

ISO9001 ISO14001 OHSAS18001 ISO20000 ISO27001 ISO22000

资质认证

AAA信用 系统集成 CMMI 安全集成 涉密资质 ITSS

产品认证

CCC认证 CQC认证 CE认证

资质许可

ICP 文网文 SP

资质许可

首页 > 资讯百科 > 行业动态 > 正文

完成认证的网贷平台不足10%, 传说中的三级等保难在哪里?

证优客 | 2018-04-03

  • 信息系统安全等级保护

P2P风险专项整治整改验收工作正在收紧。据报道,北京第一批网贷备案平台有望在4月初公示,而中国互金协会也将在本周公布首批通过网贷存管测评的银行名单。除了基础性的银行存管,想要申请备案的P2P平台还需闯过另一道大关,那就是网贷平台信息系统的三级等保认证。

全国不到一成平台完成认证

三级等保简称“等保三”,是一种网络信息安全评价标准,一般由市级网络安全公安大队来负责给企业备案。我国把信息系统的安全保护等级分为五级,其中第三级是非银机构的最高级认证,属于监管级别

20168月,《网络借贷信息中介机构业务活动管理暂行办法》的发布,让开展信息系统定级备案和等级测试,成为互金平台合规的门槛之一。如今对P2P网贷平台按照三级进行备案,要求十分严格。根据《信息系统安全等级保护基本要求》,网贷平台只有在完成定级、备案、安全建设和整改、信息安全等级测评、信息安全检查等严格的审查工作后,才能获得等保三级认证。

据北京市网安总队的一位工作人员介绍,平时企业进行等保三备案,需要从网络安全、物理隔离等方面提高网络安全能力,经过专业评估机构认证后,可以直接到公安机关进行备案。但由于网贷的涉众性风险,目前公安机关对于网贷平台的申请比较谨慎,放行者较少。

据第三方机构不完全统计,截至20182月底,国内网贷行业正常运营平台数量已降至1700余家,其中已经通过信息系统安全等保三级备案认证的平台为164家,仅占在运营平台数量的9%

上海平台还需通过公安局审核

值得注意的是,虽然三级等保是网贷平台备案登记的标配,但各地金融办对平台取得三级等保的要求也存在差异,其中上海地区较为严格。上海地区的网贷平台不仅要聘请专业机构进行信息安全等级测评(要求不低于90分),还需申请并通过公安部门的信息安全系统审核。

截至20182月底,上海市正常运营的P2P网贷机构数量为252家。在3月底前,上海的P2P机构要完成整改并向注册地所在区整治办提交整改完成情况报告。目前,上海地区的备案工作已经取得了明显进展,金评媒记者了解到,已经有220家左右的网贷平台提交了90分以上的三级等保测评报告,且已经有部分企业获得了公安部门出具的“信息系统安全审核回执”,该回执是上海网贷平台申请备案所必须提交的材料之一。

值得一提的是,已经完成三级等保备案的平台都普遍低调,包括已经取得回执的点融网以及北京一家等保测评90分以上的平台都谢绝了相关采访。对于上海地区后续的备案工作,一位不愿透露姓名的上海互金平台副总裁告知,上海地区正式的P2P备案管理办法尚未出台,还存在一些政策上的不明朗,各平台目前只能先参照201761日上海金融办发布的《上海市网络借贷信息中介机构业务管理实施办法(征求意见稿)来做备案的相关准备工作,同时等待正式管理办法的出台。

平台财力和技术实力的大考

上述互金平台副总裁称,上海地区网贷平台在三级等保方面的工作相较于全国其他地区进行得更早。

宜贷网就已通过三次等保测评,在这方面积累了丰富的经验。这家平台的相关负责人表示,如果平台在设计信息安全系统之初就整体按照三级等保的相关要求进行,后续的三级等保测评就会比较轻松。

这位负责人认为,目前大多数平台在互金专项三级等保认证过程中可能会遇到如下三点困难:

一、对平台的安全设备要求苛刻。不仅要实现防篡改、防ddos攻击等功能,还需配备堡垒机、日志审计、防火墙、灾备系统等安全设备;更要聘请专业技术维护人员为平台系统安全提供支撑,这些都需要公司投入大量资金,对公司的财力是一大挑战。

二、对平台运营公司制度体系的完善程度要求高。其中包括完善的管理制度和对应制度执行情况的证明、记录,涉及人事、财务、项目工程开发、管理等各个方面,每一个环节都须提供制度对应的表格来支撑。

三、对业务平台系统应用自身的安全性要求高。例如对账号密码复杂度定期修改就有很苛刻的要求:需要有所有相关用户的登陆时间、Ip地址;需要对如何更改手机号码、身份证号码、银行卡号等重要操作进行详细的日志审计记录;需要对用户数据隐私性保护、业务系统敏感信息的脱敏、加密存储要求等要求有详细说明;需要实时监测系统是否存在应用安全漏洞。

“换句话说,如果平台自身技术实力不过硬,仅漏洞修复就是一项非常吃力与消耗时间的工作。”上述平台负责人感慨。

相关资讯