對P2P而言,三級等保十分重要性
“國家網絡信息安全等保三級”,簡稱“三級等保”,是由公安機關依據國家信息安全保護條例,對參評機構的信息系統安全保護狀況進行評定,並出具的相關證明。
2016年8月,銀監會等四部委發佈《網絡借貸信息中介業務管理暫行辦法》,提出了一系列P2P規範化運營要求,其中第18條明確規定:
網絡借貸信息中介機構應當按信息安全等級保護制度的要求,開展信息系統定級備案和等級測試,具有完善的防火牆、入侵檢測、數據加密以及災難恢復等網絡安全設施,保護出借人與借款人的信息安全。
《辦法》一出,“三級等保”由此成為互金平臺合規運營的標配,但據不完全統計,目前行業內僅有約一成平臺成功獲得“三級等保”證明。
實際上,網絡信息安全測評共分五級,第三級屬於監管級別,是業內公認的、非銀行機構的最高信息安全認證。
“三級等保”非永久證明,平臺需接受年檢及不定期檢查
權威機構對P2P平臺進行綜合測評後,會打出最終得分(百分制),如果判定為合格,則平臺會收到由公安部頒佈的相關證明(如圖):
2017年以來,包括金投手在內P2P平臺,基於合規運營的要求,開始將三級等保納入重點工作計劃之中。2017年8月,金投手在通過了權威機構的全面測評之後,獲得了由公安部備案並頒發的“三級等保”證明。
但實際上,獲得“三級等保”證明僅僅是平臺合規化的開始,該證明也並非一次性。根據公安部相關規定,已取得認證的企業還需要每年參與年檢,並接受相關部門的不定期抽查。
下圖為標準的三級等保年檢報告封面:
金投手年檢報告封面
報告內容一般約為150頁左右,內容繁多,涉及56個大類、400餘個測評項:
三級等保年檢報告內頁
很多P2P平臺習慣用獲得“三級等保”來對外宣傳,但建議投資者在選擇平臺時,一定要注意該證明的有效期。
如果該平臺獲得三級等保的時間超過一年,投資者一定要核實平臺是否在接下來的年檢中,順利通過了公安部權威機構的複檢。
換句話說,只有持續穩定、安全運營的平臺,才有資格持續享有這份權威認證。
年檢的分數是否持續穩定
大體來說,三級等保從技術要求、及管理要求兩大方面提出了50多個大類、超過300項具體要求,認證過程由國家信息安全監管部門進行監督,有其授權的權威第三方機構進行具體檢查,認證要求可謂十分苛刻。
僅就“漏洞修復”這一個關鍵測評項,如果平臺的自身技術實力不過硬,就會非常消耗時間與精力,甚至最終還無法達標。
注意,“三級等保”來年複查所需檢測的項目,與發證當年的檢測項目是一樣的。所以理論上來說,第二年“三級等保”複查的分數,最好不要低於首年,如果出現上升則可視為平臺安全性有所提升,如果分數下降較多,則應引起警惕。
三級等保測評超過60分即算合格,最終得分越高,意味著平臺信息系統的安全程度越高,投資人賬戶信息安全將得到更有效保護,當然,需要接受的測評條件也越多、越苛刻。
為了讓P2P投資者更全面的瞭解“三級等保”,我把達到目標分數與對應的安全技術水平做了對應,大致如下表(60分以上合格,85分以上優秀):
(製表:金投手)
舉例來說。P2P平臺金投手在2017年的“三級等保”測評分數是79.86分,表現尚可;而在2018年的年檢覆查中,測評分數大幅上升為85.69分。這得益於一年來平臺在優化信息基礎設施、安全措施、數據保護等關鍵方面做出的努力。
測評結果頁
P2P正處於行業洗牌期的關鍵階段,維護投資人利益的第一道屏障,就是平臺信息系統安全保護。所以,等級保護工作不僅是響應監管的合規號召,更是平臺對投資人權益保護的職責所在。
閱讀更多 金投手 的文章
