对P2P行业来说,网络安全事关投资人资金安全。自2013年以来,P2P行业中已有上百家平台遭遇黑客攻击,甚至不乏个别上千万资金被黑客洗劫一空的恶性事件。因此,在全国备案战打响的当下,P2P平台的安全性受到监管部门的格外重视。
对P2P行业来说,网络安全事关投资人资金安全。自2013年以来,P2P行业中已有上百家平台遭遇黑客攻击,甚至不乏个别上千万资金被黑客洗劫一空的恶性事件。因此,在全国备案战打响的当下,P2P平台的安全性受到监管部门的格外重视。
上海首提三级等保90分以上
事实上,2016年8月24日银监会发布的《网络借贷信息中介机构业务活动管理暂行办法》就规定,网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试。这是监管层首次对网贷行业信息技术安全提出明确要求,也意味着网络安全已成为平台合规的重要门槛之一。
在地区监管层面,2017年6月,上海发布“网贷机构业务管理办法”征求意见稿,其中在信息系统安全保护方面,需事前向本市公安机关网络安全部门提交符合国家网络安全相关规定和国家信息安全等级保护制度要求的证明材料。另外,根据近期上海地区发布的网贷机构整改验收指引,未聘请有资质的专业机构对本机构进行信息安全等级保护测评,或者未申请并通过公安机关网络安全部门的信息系统安全审核的平台均不予以备案。
与上海地区相比,根据广东省2017年2月发布的“网贷机构管理暂行办法”提出,网贷机构应提交信息安全测评认证机构安全测评报告;而北京在相关要求上则比较含糊,按照北京市金融工作局2017年7月发布的“网贷机构备案登记管理办法”征求意见稿,网贷机构应具有完善的网络安全设施和管理制度及安全、稳定的网络借贷信息中介业务系统和灾难备份。
不过,从各地细则看,即使通过信息系统安全等级保护三级认证,也并不意味着安全。据悉,上海地区在三级等保方面要求按照国家标准测评,且测评分数不低于90分;广东地区对等保三级要求也从原来的60分提高到了80分以上。目前,北京金融监管部门暂时未对三级等保测评的分数提出具体要求,但考虑到上海和广东地区已实施相关政策,北京地区应该不会差别太大。
8成拟备案平台未进行安全测评
据统计,截至2017年5月底,通过信息系统安全等保三级备案认证的网贷平台增加到138家,如果加上后来通过认证的平台,截止2017年底,拿到三级等保的平台数量应该不会超过200家,仅占正常运营平台数量(1750家)10%左右,即便按照最终备案平台50%通过率计算,目前也仅有20%的平台获得了这项资质。剩余80%平台如果要申请备案,必须在未来几个月内完成三级等保测评,时间非常紧迫。
据网贷天眼了解,现阶段正是网贷机构信息系统安全测评高峰期,北京某测评机构称,对P2P平台的测评排期已预约到3月份之后。由此可见,此前对待监管部门整改要求不认真、不上心的平台此刻恐怕要“伤心”了。
另外,大多数获得等保三级认证的平台只在官网公布了相关证书,披露等保三级测评报告与综合评分的平台寥寥无几。网贷天眼还注意到,个别P2P平台拿到的信息安全保护认证级别为二级,包括、财富星球等实力较大的平台只通过了二级认证。按照备案要求,这些平台需要在申请备案前完成三级测评。
网贷平台必须通过三级等保测试
公开信息显示,国家2001年实施的《计算机信息系统安全保护等级划分准则》中将安全等级划分为五个级别:
第一级为用户自主保护级,该级适用于普通内联网用户;
第二级为系统审计保护级,该级适用于通过内联网或国际网进行商务活动,需要保密的非重要单位;
第三级为安全标记保护级,该级适用于地方各级国家机关、金融机构、邮电通信、大型工商与信息技术企业、重点工程建设等单位;
第四级为结构化保护级,该级适用于中央级国家机关、广播电视部门、社会应急服务部门、尖端科技企业集团、国家重点科研机构和国防建设等部门;
第五级为访问验证保护级,该级适用于国防关键部门和依法需要对计算机信息系统实施特殊隔离的单位。
根据准则,P2P平台作为类金融机构,需要通过信息安全保护等级三级测试。据悉,目前,仅有公安部授权的第三方评测机构才可开展该项测试工作,
通过三级认证后每年仍需复查
根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号),信息系统安全定级工作基本流程为: “自主定级、专家评审、主管部门审批、公安机关审核”。
据业内人士介绍,定级流程分为5步:
第一,系统定级。平台确定要测试的系统等级,寻找当地公安机关认可的评测机构一起编写定级报告。如果确定需要通过三级等保,则还需要组织专家评审。
第二,系统备案。系统投入运行30日内到当地公安机关网监部门办理备案手续。
第三,差距分析。评测机构初步评测后,告知运营单位需要进行哪些整改。建设整改短则一周,长则3个月。
第四,等级测评。整改完成后,评测机构出具评测报告,并将报告提交给公安机关部门进行保存。
第五,定期检查。定级为二级的系统评测当年复查一次即可。定级为三级的系统需要每年进行评测检查并出具报告。定级为四级的系统需要每半年进行评测检查。
北上深三地备案标准不同
网贷天眼在通过三级等保认证的平台发现,
团贷网(深圳地区)、钜宝盆(上海地区)、麻袋理财(上海地区)公布了相关测评报告,分别为94.28分、92.2分、89.53分。按照两地在测评报告分数上的要求,麻袋理财的分数如果四舍五入才能勉强达标。
上海汇盈金服相关技术人员表示,申请信息安全三级等保测试首先由平台向测评机构提出申请,然后由测评机构现场对平台做测评,范围包括平台的安全体系、管理制度、管理规范等,最后根据机构测评结果来相应改善系统,改善完毕后,测评机构进行检查,通过后会出具相应测评报告,并有具体分数。最后,平台持测评报告去公安部门备案,公安部门检测通过后会出具三级等保证书。汇盈金服表示,公司通过三级等保测试总共耗时2-3个月,并于2017年5月拿到证书。
钜宝盆方面向网贷天眼透露称,测评机构进场调研耗时2周左右,整改时间持续2周,最后通过测评拿到证书,前后耗时2个月左右。不过,钜宝盆技术人员称,具体整改时间取决于公司的安全现状和技术能力。但如果公司安全性问题较大,或技术能力比较弱,这个整改时间就会相应拖长。
至于三级等保测评成本方面,网贷天眼在中国网络安全等级保护网提供的测评机构进行咨询,多数测评机构基础成本在15-20万元之间。对此,钜宝盆称,全部成本加起来大概40万左右。
位于北京的网贷平台
搜易贷的工作人员告诉网贷天眼,搜易贷于2016年10月续评拿到三级等保证书,耗时一个月左右,测评得分为97.81。据悉,如果是初次测评,至少需要2个月时间才能完成。北京
民信贷
2017年9月份通过三级等保测评,前后耗时一个月左右。该公司负责测评工作的技术人员表示,三级等保测评主要支出在定级和备案两方面,目前北京地区系统
评级
平均价格在12万—16万之间,但不同平台因系统技术复杂程度不同,实际成本差别较大,三四十万也很正常。