三級(jí)等保成網(wǎng)貸備案標(biāo)配 北上廣80分起步

上海首提三級(jí)等保90分以上

事實(shí)上，2016年8月24日銀監(jiān)會(huì)發(fā)布的《網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)業(yè)務(wù)活動(dòng)管理暫行辦法》就規(guī)定，網(wǎng)絡(luò)借貸信息中介機(jī)構(gòu)應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度的要求，開展信息系統(tǒng)定級(jí)備案和等級(jí)測(cè)試。這是監(jiān)管層首次對(duì)網(wǎng)貸行業(yè)信息技術(shù)安全提出明確要求，也意味著網(wǎng)絡(luò)安全已成為平臺(tái)合規(guī)的重要門檻之一。

在地區(qū)監(jiān)管層面，2017年6月，上海發(fā)布“網(wǎng)貸機(jī)構(gòu)業(yè)務(wù)管理辦法”征求意見稿，其中在信息系統(tǒng)安全保護(hù)方面，需事前向本市公安機(jī)關(guān)網(wǎng)絡(luò)安全部門提交符合國(guó)家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國(guó)家信息安全等級(jí)保護(hù)制度要求的證明材料。另外，根據(jù)近期上海地區(qū)發(fā)布的網(wǎng)貸機(jī)構(gòu)整改驗(yàn)收指引，未聘請(qǐng)有資質(zhì)的專業(yè)機(jī)構(gòu)對(duì)本機(jī)構(gòu)進(jìn)行信息安全等級(jí)保護(hù)測(cè)評(píng)，或者未申請(qǐng)并通過(guò)公安機(jī)關(guān)網(wǎng)絡(luò)安全部門的信息系統(tǒng)安全審核的平臺(tái)均不予以備案。

與上海地區(qū)相比，根據(jù)廣東省2017年2月發(fā)布的“網(wǎng)貸機(jī)構(gòu)管理暫行辦法”提出，網(wǎng)貸機(jī)構(gòu)應(yīng)提交信息安全測(cè)評(píng)認(rèn)證機(jī)構(gòu)安全測(cè)評(píng)報(bào)告；而北京在相關(guān)要求上則比較含糊，按照北京市金融工作局2017年7月發(fā)布的“網(wǎng)貸機(jī)構(gòu)備案登記管理辦法”征求意見稿，網(wǎng)貸機(jī)構(gòu)應(yīng)具有完善的網(wǎng)絡(luò)安全設(shè)施和管理制度及安全、穩(wěn)定的網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)系統(tǒng)和災(zāi)難備份。

不過(guò)，從各地細(xì)則看，即使通過(guò)信息系統(tǒng)安全等級(jí)保護(hù)三級(jí)認(rèn)證，也并不意味著安全。據(jù)悉，上海地區(qū)在三級(jí)等保方面要求按照國(guó)家標(biāo)準(zhǔn)測(cè)評(píng)，且測(cè)評(píng)分?jǐn)?shù)不低于90分；廣東地區(qū)對(duì)等保三級(jí)要求也從原來(lái)的60分提高到了80分以上。目前，北京金融監(jiān)管部門暫時(shí)未對(duì)三級(jí)等保測(cè)評(píng)的分?jǐn)?shù)提出具體要求，但考慮到上海和廣東地區(qū)已實(shí)施相關(guān)政策，北京地區(qū)應(yīng)該不會(huì)差別太大。

8成擬備案平臺(tái)未進(jìn)行安全測(cè)評(píng)

據(jù)統(tǒng)計(jì)，截至2017年5月底，通過(guò)信息系統(tǒng)安全等保三級(jí)備案認(rèn)證的網(wǎng)貸平臺(tái)增加到138家，如果加上后來(lái)通過(guò)認(rèn)證的平臺(tái)，截止2017年底，拿到三級(jí)等保的平臺(tái)數(shù)量應(yīng)該不會(huì)超過(guò)200家，僅占正常運(yùn)營(yíng)平臺(tái)數(shù)量（1750家）10%左右，即便按照最終備案平臺(tái)50%通過(guò)率計(jì)算，目前也僅有20%的平臺(tái)獲得了這項(xiàng)資質(zhì)。剩余80%平臺(tái)如果要申請(qǐng)備案，必須在未來(lái)幾個(gè)月內(nèi)完成三級(jí)等保測(cè)評(píng)，時(shí)間非常緊迫。

據(jù)網(wǎng)貸天眼了解，現(xiàn)階段正是網(wǎng)貸機(jī)構(gòu)信息系統(tǒng)安全測(cè)評(píng)高峰期，北京某測(cè)評(píng)機(jī)構(gòu)稱，對(duì)P2P平臺(tái)的測(cè)評(píng)排期已預(yù)約到3月份之后。由此可見，此前對(duì)待監(jiān)管部門整改要求不認(rèn)真、不上心的平臺(tái)此刻恐怕要“傷心”了。

另外，大多數(shù)獲得等保三級(jí)認(rèn)證的平臺(tái)只在官網(wǎng)公布了相關(guān)證書，披露等保三級(jí)測(cè)評(píng)報(bào)告與綜合評(píng)分的平臺(tái)寥寥無(wú)幾。網(wǎng)貸天眼還注意到，個(gè)別P2P平臺(tái)拿到的信息安全保護(hù)認(rèn)證級(jí)別為二級(jí)，包括、財(cái)富星球等實(shí)力較大的平臺(tái)只通過(guò)了二級(jí)認(rèn)證。按照備案要求，這些平臺(tái)需要在申請(qǐng)備案前完成三級(jí)測(cè)評(píng)。

網(wǎng)貸平臺(tái)必須通過(guò)三級(jí)等保測(cè)試

公開信息顯示，國(guó)家2001年實(shí)施的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》中將安全等級(jí)劃分為五個(gè)級(jí)別：

第一級(jí)為用戶自主保護(hù)級(jí)，該級(jí)適用于普通內(nèi)聯(lián)網(wǎng)用戶；

第二級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)，該級(jí)適用于通過(guò)內(nèi)聯(lián)網(wǎng)或國(guó)際網(wǎng)進(jìn)行商務(wù)活動(dòng)，需要保密的非重要單位；

第三級(jí)為安全標(biāo)記保護(hù)級(jí)，該級(jí)適用于地方各級(jí)國(guó)家機(jī)關(guān)、金融機(jī)構(gòu)、郵電通信、大型工商與信息技術(shù)企業(yè)、重點(diǎn)工程建設(shè)等單位；

第四級(jí)為結(jié)構(gòu)化保護(hù)級(jí)，該級(jí)適用于中央級(jí)國(guó)家機(jī)關(guān)、廣播電視部門、社會(huì)應(yīng)急服務(wù)部門、尖端科技企業(yè)集團(tuán)、國(guó)家重點(diǎn)科研機(jī)構(gòu)和國(guó)防建設(shè)等部門；

第五級(jí)為訪問(wèn)驗(yàn)證保護(hù)級(jí)，該級(jí)適用于國(guó)防關(guān)鍵部門和依法需要對(duì)計(jì)算機(jī)信息系統(tǒng)實(shí)施特殊隔離的單位。

根據(jù)準(zhǔn)則，P2P平臺(tái)作為類金融機(jī)構(gòu)，需要通過(guò)信息安全保護(hù)等級(jí)三級(jí)測(cè)試。據(jù)悉，目前，僅有公安部授權(quán)的第三方評(píng)測(cè)機(jī)構(gòu)才可開展該項(xiàng)測(cè)試工作，

通過(guò)三級(jí)認(rèn)證后每年仍需復(fù)查

根據(jù)《關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》（公通字〔2007〕861號(hào)），信息系統(tǒng)安全定級(jí)工作基本流程為： “自主定級(jí)、專家評(píng)審、主管部門審批、公安機(jī)關(guān)審核”。

據(jù)業(yè)內(nèi)人士介紹，定級(jí)流程分為5步：

第一，系統(tǒng)定級(jí)。平臺(tái)確定要測(cè)試的系統(tǒng)等級(jí)，尋找當(dāng)?shù)毓矙C(jī)關(guān)認(rèn)可的評(píng)測(cè)機(jī)構(gòu)一起編寫定級(jí)報(bào)告。如果確定需要通過(guò)三級(jí)等保，則還需要組織專家評(píng)審。

第二，系統(tǒng)備案。系統(tǒng)投入運(yùn)行30日內(nèi)到當(dāng)?shù)毓矙C(jī)關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。

第三，差距分析。評(píng)測(cè)機(jī)構(gòu)初步評(píng)測(cè)后，告知運(yùn)營(yíng)單位需要進(jìn)行哪些整改。建設(shè)整改短則一周，長(zhǎng)則3個(gè)月。

第四，等級(jí)測(cè)評(píng)。整改完成后，評(píng)測(cè)機(jī)構(gòu)出具評(píng)測(cè)報(bào)告，并將報(bào)告提交給公安機(jī)關(guān)部門進(jìn)行保存。

第五，定期檢查。定級(jí)為二級(jí)的系統(tǒng)評(píng)測(cè)當(dāng)年復(fù)查一次即可。定級(jí)為三級(jí)的系統(tǒng)需要每年進(jìn)行評(píng)測(cè)檢查并出具報(bào)告。定級(jí)為四級(jí)的系統(tǒng)需要每半年進(jìn)行評(píng)測(cè)檢查。

北上深三地備案標(biāo)準(zhǔn)不同

網(wǎng)貸天眼在通過(guò)三級(jí)等保認(rèn)證的平臺(tái)發(fā)現(xiàn)，

團(tuán)貸網(wǎng)（深圳地區(qū)）、鉅寶盆（上海地區(qū)）、麻袋理財(cái)（上海地區(qū)）公布了相關(guān)測(cè)評(píng)報(bào)告，分別為94.28分、92.2分、89.53分。按照兩地在測(cè)評(píng)報(bào)告分?jǐn)?shù)上的要求，麻袋理財(cái)?shù)姆謹(jǐn)?shù)如果四舍五入才能勉強(qiáng)達(dá)標(biāo)。

上海匯盈金服相關(guān)技術(shù)人員表示，申請(qǐng)信息安全三級(jí)等保測(cè)試首先由平臺(tái)向測(cè)評(píng)機(jī)構(gòu)提出申請(qǐng)，然后由測(cè)評(píng)機(jī)構(gòu)現(xiàn)場(chǎng)對(duì)平臺(tái)做測(cè)評(píng)，范圍包括平臺(tái)的安全體系、管理制度、管理規(guī)范等，最后根據(jù)機(jī)構(gòu)測(cè)評(píng)結(jié)果來(lái)相應(yīng)改善系統(tǒng)，改善完畢后，測(cè)評(píng)機(jī)構(gòu)進(jìn)行檢查，通過(guò)后會(huì)出具相應(yīng)測(cè)評(píng)報(bào)告，并有具體分?jǐn)?shù)。最后，平臺(tái)持測(cè)評(píng)報(bào)告去公安部門備案，公安部門檢測(cè)通過(guò)后會(huì)出具三級(jí)等保證書。匯盈金服表示，公司通過(guò)三級(jí)等保測(cè)試總共耗時(shí)2-3個(gè)月，并于2017年5月拿到證書。

鉅寶盆方面向網(wǎng)貸天眼透露稱，測(cè)評(píng)機(jī)構(gòu)進(jìn)場(chǎng)調(diào)研耗時(shí)2周左右，整改時(shí)間持續(xù)2周，最后通過(guò)測(cè)評(píng)拿到證書，前后耗時(shí)2個(gè)月左右。不過(guò)，鉅寶盆技術(shù)人員稱，具體整改時(shí)間取決于公司的安全現(xiàn)狀和技術(shù)能力。但如果公司安全性問(wèn)題較大，或技術(shù)能力比較弱，這個(gè)整改時(shí)間就會(huì)相應(yīng)拖長(zhǎng)。

至于三級(jí)等保測(cè)評(píng)成本方面，網(wǎng)貸天眼在中國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)提供的測(cè)評(píng)機(jī)構(gòu)進(jìn)行咨詢，多數(shù)測(cè)評(píng)機(jī)構(gòu)基礎(chǔ)成本在15-20萬(wàn)元之間。對(duì)此，鉅寶盆稱，全部成本加起來(lái)大概40萬(wàn)左右。

位于北京的網(wǎng)貸平臺(tái)

搜易貸的工作人員告訴網(wǎng)貸天眼，搜易貸于2016年10月續(xù)評(píng)拿到三級(jí)等保證書，耗時(shí)一個(gè)月左右，測(cè)評(píng)得分為97.81。據(jù)悉，如果是初次測(cè)評(píng)，至少需要2個(gè)月時(shí)間才能完成。北京

民信貸

2017年9月份通過(guò)三級(jí)等保測(cè)評(píng)，前后耗時(shí)一個(gè)月左右。該公司負(fù)責(zé)測(cè)評(píng)工作的技術(shù)人員表示，三級(jí)等保測(cè)評(píng)主要支出在定級(jí)和備案兩方面，目前北京地區(qū)系統(tǒng)

評(píng)級(jí)

平均價(jià)格在12萬(wàn)—16萬(wàn)之間，但不同平臺(tái)因系統(tǒng)技術(shù)復(fù)雜程度不同，實(shí)際成本差別較大，三四十萬(wàn)也很正常。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。