為進(jìn)一步加強(qiáng)銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管，促進(jìn)銀行保險(xiǎn)機(jī)構(gòu)提升信息科技外包風(fēng)險(xiǎn)管控能力，銀保監(jiān)會(huì)制定了《銀行保險(xiǎn)機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管辦法》（以下簡(jiǎn)稱《辦法》）并于2021年底正式發(fā)布實(shí)施?！掇k法》中的五個(gè)章節(jié)中反復(fù)提到金融機(jī)構(gòu)敏感信息保護(hù)，共涉及七個(gè)條款，具體如下：

1.《辦法》第一章總則第五條，銀行保險(xiǎn)機(jī)構(gòu)在實(shí)施信息科技外包時(shí)應(yīng)當(dāng)堅(jiān)持以下原則中，明確了“保障網(wǎng)絡(luò)和信息安全，加強(qiáng)重要數(shù)據(jù)和個(gè)人信息保護(hù)”的原則；

2. 《辦法》第二章信息科技外包治理第十三條，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)對(duì)信息科技外包活動(dòng)及相關(guān)服務(wù)提供商進(jìn)行分級(jí)管理，對(duì)“涉及集中存儲(chǔ)或處理銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)和客戶個(gè)人敏感信息的外包”列為重要外包；

3. 《辦法》第三章信息科技外包準(zhǔn)入第十八條，對(duì)于符合重要外包條件的非駐場(chǎng)外包，應(yīng)當(dāng)進(jìn)一步重點(diǎn)調(diào)查“服務(wù)提供商是否有管理制度和技術(shù)措施保障銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)的完整性和保密性”；“服務(wù)提供商是否擁有或可能擁有業(yè)務(wù)系統(tǒng)的最高管理權(quán)限或訪問權(quán)限，是否能夠?yàn)g覽、獲取重要數(shù)據(jù)或客戶個(gè)人敏感信息”；

4. 《辦法》第三章信息科技外包準(zhǔn)入第二十一條，銀行保險(xiǎn)機(jī)構(gòu)在信息科技外包合同或協(xié)議中應(yīng)當(dāng)明確“安全保密和消費(fèi)者權(quán)益保護(hù)約定，包括但不限于：禁止服務(wù)提供商在合同允許范圍外使用或者披露銀行保險(xiǎn)機(jī)構(gòu)的信息，服務(wù)提供商不得將銀行保險(xiǎn)機(jī)構(gòu)數(shù)據(jù)以任何形式轉(zhuǎn)移、挪用或謀取外包合同約定以外的利益”；

5. 《辦法》第五章信息科技外包風(fēng)險(xiǎn)管理第三十條，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)建立并持續(xù)完善風(fēng)險(xiǎn)管理制度和流程，充分識(shí)別并評(píng)估信息科技外包可能產(chǎn)生的風(fēng)險(xiǎn)，包括但不限于“數(shù)據(jù)泄露、丟失和篡改。因服務(wù)提供商的不當(dāng)行為或其服務(wù)的信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊，導(dǎo)致銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)或客戶個(gè)人信息泄露、丟失和篡改”；

6. 《辦法》第五章信息科技外包風(fēng)險(xiǎn)管理第三十二條，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施，包括但不限于“對(duì)客戶信息、源代碼和文檔等敏感信息采取嚴(yán)格管控措施，對(duì)敏感信息泄露風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)”；

7. 《辦法》第六章監(jiān)督管理第三十八條，銀行保險(xiǎn)機(jī)構(gòu)信息科技外包活動(dòng)中發(fā)生“銀行保險(xiǎn)機(jī)構(gòu)重要數(shù)據(jù)或客戶個(gè)人信息泄露”風(fēng)險(xiǎn)事件時(shí)，應(yīng)當(dāng)按照相關(guān)突發(fā)事件監(jiān)管報(bào)告要求，向銀保監(jiān)會(huì)或其派出機(jī)構(gòu)報(bào)告；

基于當(dāng)前中國(guó)金融機(jī)構(gòu)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)，監(jiān)管機(jī)構(gòu)對(duì)“敏感信息泄露”風(fēng)險(xiǎn)十分重視并出臺(tái)了相關(guān)管理要求，為金融機(jī)構(gòu)提出了具體的行動(dòng)方向，如：在《辦法》第四章信息科技外包監(jiān)控評(píng)價(jià)第二十三條中，明確要求“銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)對(duì)外包服務(wù)過程進(jìn)行持續(xù)監(jiān)控，及時(shí)發(fā)現(xiàn)和糾正服務(wù)過程中存在的各類異常情況”；以及，第五章信息科技外包風(fēng)險(xiǎn)管理第三十二條，銀行保險(xiǎn)機(jī)構(gòu)應(yīng)當(dāng)制定和落實(shí)網(wǎng)絡(luò)和信息安全管理措施，“對(duì)敏感信息泄露風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)”。

“金融機(jī)構(gòu)需要采取具體舉措來防范針對(duì)外包（供應(yīng)鏈）安全帶來的敏感信息泄露；一旦發(fā)生泄露事件，要能夠及時(shí)發(fā)現(xiàn)并采取有效措施以減少損失。”盛邦安全金融行業(yè)負(fù)責(zé)人談到。

互聯(lián)網(wǎng)敏感信息監(jiān)測(cè)系統(tǒng)（RaySIN）是盛邦安全針對(duì)該類問題而設(shè)計(jì)開發(fā)的平臺(tái)，能夠?qū)π孤痘虮┞对诨ヂ?lián)網(wǎng)側(cè)的網(wǎng)絡(luò)資產(chǎn)、社會(huì)資產(chǎn)、社工情報(bào)等信息進(jìn)行排查和提前防范，降低攻擊面風(fēng)險(xiǎn)。它通過自動(dòng)化的方式，融合盛邦安全多年攻防滲透經(jīng)驗(yàn)，模擬黑客在搜索引擎、文庫(kù)、代碼托管、第三方共享平臺(tái)等渠道進(jìn)行信息搜集的方式，獲取用戶單位泄露在互聯(lián)網(wǎng)側(cè)的組織結(jié)構(gòu)、技術(shù)方案、員工通訊錄、用戶名密碼、系統(tǒng)源碼、網(wǎng)絡(luò)資產(chǎn)等容易被攻擊者作為突破口的敏感信息；同時(shí)將搜集到的敏感信息利用大數(shù)據(jù)手段進(jìn)行關(guān)聯(lián)分析，幫助用戶徹底摸底敏感信息暴露情況，發(fā)現(xiàn)未知資產(chǎn)，排查敏感信息泄露，減小威脅暴露面。

RaySIN能夠幫助金融行業(yè)用戶根據(jù)自身業(yè)務(wù)特征，及時(shí)發(fā)現(xiàn)敏感信息泄露風(fēng)險(xiǎn)、縮小安全暴露面，并采取有效處置措施，有效降低合規(guī)風(fēng)險(xiǎn)以及資金與聲譽(yù)損失。