《网络借贷信息中介机构业务活动管理暂行办法》第十八条指出,网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。
规范文件
《信息安全等级保护管理办法》;
《网络借贷信息中介机构业务活动管理暂行办法》第十八条;
《上海市网络借贷信息中介机构业务管理实施办法(征求意见稿)》第十条第十款、第十一条第二款;
《上海市网络借贷信息中介机构事实认定与整改工作指引表》第二部分第六项;
《关于做好P2P网络借贷风险专项整治整改验收工作的通知》附件第11条;
《上海地区网贷系统等级保护要求》。
等级认定
按照国家标准《计算机信息系统安全保护等级划分准则》GB17859-1999规定,计算机信息系统实行五级保护。即从保护能力上划分为五级,以第一级为基础逐级增强。目前,非银机构最高保护级为第三级,网贷系统平台通过备案、测评的信息系统一般也是三级。第二级以上信息系统,应当在安全保护等级确定或者新建投入运营后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
以上海地区网络借贷机构为例,上海市要求企业有三级架构设置:
需要有专门负责的副总;
需要有IT部门及部门负责人;
需要有具体人员负责管理、培训、应急演练,并配合公安协查。
l 网络借贷信息中介机构应当按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。
l 网络借贷信息中介机构应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年;
l 每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。
l 网络借贷信息中介机构成立两年以内,应当建立或使用与其业务规模相匹配的应用级灾备系统设施。
