隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，傳統(tǒng)金融服務(wù)不斷向移動(dòng)端延伸，移動(dòng)金融App成為金融機(jī)構(gòu)服務(wù)金融消費(fèi)者的重要渠道，其所承載的業(yè)務(wù)范疇和業(yè)務(wù)量與日俱增。相較于傳統(tǒng)基于專用網(wǎng)絡(luò)的金融系統(tǒng)部署模式，移動(dòng)金融App通過互聯(lián)網(wǎng)提供服務(wù)，帶來更大的安全挑戰(zhàn)，對(duì)金融機(jī)構(gòu)的安全管理能力提出了更高要求。加強(qiáng)移動(dòng)金融App管理制度體系建設(shè)勢在必行。

安全管理，制度先行。中國人民銀行發(fā)布《中國人民銀行關(guān)于發(fā)布金融行業(yè)標(biāo)準(zhǔn)加強(qiáng)移動(dòng)金融客戶端應(yīng)用軟件安全管理的通知》，要求金融機(jī)構(gòu)加強(qiáng)客戶端軟件設(shè)計(jì)、開發(fā)、發(fā)布、維護(hù)等環(huán)節(jié)的安全管理，構(gòu)建覆蓋全生命周期的管理機(jī)制，切實(shí)保障客戶端軟件安全。金融機(jī)構(gòu)落實(shí)主體責(zé)任，建立健全移動(dòng)金融App管理制度體系，完善管理體制機(jī)制，是做好移動(dòng)金融App安全管理的先決條件。

本次移動(dòng)金融App創(chuàng)新實(shí)踐典型案例入圍名單中，多個(gè)金融機(jī)構(gòu)重視并加強(qiáng)制度體系建設(shè)工作，通過制度先行、厘清責(zé)任，多措并舉推進(jìn)移動(dòng)金融App安全管理體系建設(shè)。主要體現(xiàn)在：一是持續(xù)提升金融科技管理責(zé)任意識(shí)，依據(jù)相關(guān)監(jiān)管政策、行業(yè)自律和標(biāo)準(zhǔn)等要求，落實(shí)對(duì)本單位移動(dòng)金融App的安全管理主體責(zé)任；二是加強(qiáng)移動(dòng)金融App管理制度建設(shè)，建立健全覆蓋移動(dòng)金融App軟件設(shè)計(jì)、開發(fā)、發(fā)布、維護(hù)等生命周期各個(gè)階段的內(nèi)控管理制度；三是扎實(shí)落實(shí)管理職責(zé)和制度要求，有效發(fā)揮制度體系的作用。典型案例介紹如下：

(資料圖)

? 典型案例1：民生銀行移動(dòng)金融客戶端安全合規(guī)管理體系建設(shè)

民生銀行高度重視移動(dòng)金融客戶端應(yīng)用軟件實(shí)名備案工作，響應(yīng)監(jiān)管和行業(yè)自律要求，迅速成立由信息科技部、網(wǎng)絡(luò)金融部、法律合規(guī)部等相關(guān)主管部門組成的專項(xiàng)工作組，組織落實(shí)備案任務(wù)，“民生銀行手機(jī)銀行”App在首批試點(diǎn)工作中率先獲得金融科技產(chǎn)品認(rèn)證證書，并完成移動(dòng)金融客戶端備案工作。

民生銀行持續(xù)完善移動(dòng)客戶端安全合規(guī)管理體系，建立“責(zé)任到人”的敏捷、高效的常態(tài)化跨部門合規(guī)工作機(jī)制。首先，建立工作機(jī)制，成立跨部門的移動(dòng)客戶端安全合規(guī)工作組，配置專人專崗負(fù)責(zé)移動(dòng)客戶端的合規(guī)日常、外部評(píng)估備案工作，確保每項(xiàng)工作有人抓，有人管。其次，擴(kuò)大認(rèn)證范圍，積極開展移動(dòng)金融客戶端的金融科技產(chǎn)品認(rèn)證和備案外，積極開展移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）安全認(rèn)證等相關(guān)工作。第三，持續(xù)外規(guī)內(nèi)化，持續(xù)跟進(jìn)人民銀行、各部委針對(duì)移動(dòng)客戶端的法律法規(guī)、標(biāo)準(zhǔn)制度以及相關(guān)要求，通過梳理解讀完成外部標(biāo)準(zhǔn)規(guī)范的轉(zhuǎn)化落地。第四，加強(qiáng)宣傳教育，民生銀行定期組織協(xié)調(diào)外部監(jiān)管機(jī)構(gòu)專家，面向全行組織移動(dòng)客戶端外部認(rèn)證及客戶端個(gè)人信息保護(hù)相關(guān)專題培訓(xùn)，提升全員安全合規(guī)意識(shí)。

民生銀行健全移動(dòng)客戶端安全生命周期管理。民生銀行總結(jié)備案和認(rèn)證過程的工作經(jīng)驗(yàn)，制定《中國民生銀行移動(dòng)應(yīng)用安全管理辦法》，健全移動(dòng)金融客戶端合規(guī)發(fā)布流程。通過客戶端版本上線前的安全評(píng)審和合規(guī)檢測，以及客戶端上線后的安全合規(guī)后評(píng)估，以及應(yīng)用市場渠道7×24小時(shí)實(shí)時(shí)運(yùn)營監(jiān)測，形成常態(tài)化的移動(dòng)客戶端合規(guī)管理機(jī)制，有效實(shí)現(xiàn)對(duì)客戶端版本的閉環(huán)式管理及持續(xù)合規(guī)運(yùn)營。圍繞移動(dòng)應(yīng)用的全生命周期提供安全服務(wù)，形成了一套完備的備案合規(guī)流程。

? 典型案例2：銀聯(lián)內(nèi)控合規(guī)體系建設(shè)

中國銀聯(lián)以《網(wǎng)絡(luò)安全法》《個(gè)人信息安全規(guī)范》《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》等為依據(jù)，不斷建立健全組織架構(gòu)、制度體系建設(shè)。

在組織架構(gòu)層面，根據(jù)銀聯(lián)數(shù)據(jù)安全保護(hù)框架的職責(zé)分工，銀聯(lián)信息安全委員會(huì)下設(shè)“個(gè)人信息與隱私保護(hù)專業(yè)組”統(tǒng)籌數(shù)據(jù)安全和個(gè)人信息保護(hù)工作，包括數(shù)據(jù)安全、支付信息安全及金融消費(fèi)者權(quán)益保護(hù)、個(gè)人信息保護(hù)及相關(guān)的內(nèi)控管理。

在制度建設(shè)層面，在《中國銀聯(lián)數(shù)據(jù)管理辦法》等現(xiàn)有制度的基礎(chǔ)上，補(bǔ)充制定了如《中國銀聯(lián)數(shù)據(jù)安全與個(gè)人信息保護(hù)細(xì)則》《中國銀聯(lián)云閃付個(gè)人信息安全影響評(píng)估指南》等多項(xiàng)內(nèi)部管理辦法，以業(yè)務(wù)數(shù)據(jù)的分類分級(jí)保護(hù)和全生命周期管理為基礎(chǔ)，進(jìn)一步細(xì)化個(gè)人信息保護(hù)管理要求。

在日常運(yùn)營層面，從操作權(quán)限、參數(shù)、日志、數(shù)據(jù)、賬務(wù)管理等方面進(jìn)行了全面梳理并優(yōu)化，形成了業(yè)務(wù)上線前合規(guī)評(píng)審、事中實(shí)時(shí)監(jiān)控、事后定期排查及異常跟蹤處置的管理閉環(huán)等。

? 典型案例3：京東金融隱私合規(guī)治理流程

京東科技高度重視京東金融App的合規(guī)安全工作。面對(duì)當(dāng)前隱私合規(guī)監(jiān)管部門較多，法律法規(guī)更新較快，且呈常態(tài)化趨勢，京東科技專門成立了隱私合規(guī)治理虛擬小組，專門負(fù)責(zé)“京東金融”App隱私合規(guī)問題的處理，小組成員包括了研發(fā)、產(chǎn)品、測試、安全、法務(wù)合規(guī)、安全合規(guī)等部門人員。

京東科技制定App隱私合規(guī)處置SOP(標(biāo)準(zhǔn)作業(yè)程序)，在政策解讀，需求階段，研發(fā)階段，測試階段，發(fā)布階段，運(yùn)營階段都制定了相關(guān)的標(biāo)準(zhǔn)流程，指導(dǎo)大家日常工作，在App全生命周期內(nèi)進(jìn)行隱私合規(guī)把控，為用戶的隱私安全保駕護(hù)航。

? 典型案例4：浦發(fā)銀行建立App全生命周期安全管理體系

浦發(fā)銀行為加強(qiáng)App及其他信息系統(tǒng)建設(shè)項(xiàng)目的精細(xì)化安全管理，建設(shè)了信息系統(tǒng)全生命周期安全管理體系。

安全管理體系主要由安全開發(fā)管控流程、安全支撐體系、安全保障體系組成，其中安全管控流程主要涉及四個(gè)方面：即在需求階段利用資產(chǎn)庫和工具進(jìn)行安全評(píng)估，明確安全要求與目標(biāo)，在方案設(shè)計(jì)階段進(jìn)行安全設(shè)計(jì)和審核，在測試階段開展安全需求驗(yàn)證，在系統(tǒng)運(yùn)行階段定期開展上線后的回歸測試及滲透測試。目前已形成了安全需求模板化、安全設(shè)計(jì)標(biāo)準(zhǔn)化、安全開發(fā)組件化、安全測試專業(yè)化、安全流程線上化的閉環(huán)管理體系。

圖：浦發(fā)銀行信息系統(tǒng)全生命周期安全管理體系

? 典型案例5：交通銀行健全信息安全防護(hù)體系

交通銀行從組織結(jié)構(gòu)、管理制度、產(chǎn)品設(shè)計(jì)以及文化建設(shè)等多方面入手，完成了信息安全防護(hù)的頂層設(shè)計(jì)，形成了包括部門職責(zé)劃分，信息保密制度、數(shù)據(jù)備份制度、風(fēng)險(xiǎn)預(yù)警制度、系統(tǒng)維護(hù)制度、人員管理制度等規(guī)范編制以及產(chǎn)品迭代計(jì)劃制定的體系架構(gòu)。以交行企業(yè)手機(jī)銀行為例，團(tuán)隊(duì)組織架構(gòu)采取流程管理和業(yè)務(wù)管理的矩陣化管理模式進(jìn)行，其中在流程管理上包括業(yè)務(wù)、產(chǎn)品、體驗(yàn)、研發(fā)、測試、運(yùn)營、數(shù)據(jù)、風(fēng)控、運(yùn)維等崗位，分別承擔(dān)App的業(yè)務(wù)訴求、需求設(shè)計(jì)、UI設(shè)計(jì)、開發(fā)、測試、營銷推廣、數(shù)據(jù)分析、反洗錢和風(fēng)險(xiǎn)控制、日常經(jīng)營維護(hù)等職責(zé)。從業(yè)務(wù)管理上，按業(yè)務(wù)和功能模塊進(jìn)行管理，各業(yè)務(wù)模塊主要負(fù)責(zé)各業(yè)務(wù)功能的完整性、流程合理性及操作體驗(yàn)連續(xù)性等方面內(nèi)容。