隨著移動互聯(lián)網的快速發(fā)展，傳統(tǒng)金融服務不斷向移動端延伸，移動金融App成為金融機構服務金融消費者的重要渠道，其所承載的業(yè)務范疇和業(yè)務量與日俱增。相較于傳統(tǒng)基于專用網絡的金融系統(tǒng)部署模式，移動金融App通過互聯(lián)網提供服務，帶來更大的安全挑戰(zhàn)，對金融機構的安全管理能力提出了更高要求。加強移動金融App管理制度體系建設勢在必行。

安全管理，制度先行。中國人民銀行發(fā)布《中國人民銀行關于發(fā)布金融行業(yè)標準加強移動金融客戶端應用軟件安全管理的通知》，要求金融機構加強客戶端軟件設計、開發(fā)、發(fā)布、維護等環(huán)節(jié)的安全管理，構建覆蓋全生命周期的管理機制，切實保障客戶端軟件安全。金融機構落實主體責任，建立健全移動金融App管理制度體系，完善管理體制機制，是做好移動金融App安全管理的先決條件。

本次移動金融App創(chuàng)新實踐典型案例入圍名單中，多個金融機構重視并加強制度體系建設工作，通過制度先行、厘清責任，多措并舉推進移動金融App安全管理體系建設。主要體現(xiàn)在：一是持續(xù)提升金融科技管理責任意識，依據(jù)相關監(jiān)管政策、行業(yè)自律和標準等要求，落實對本單位移動金融App的安全管理主體責任；二是加強移動金融App管理制度建設，建立健全覆蓋移動金融App軟件設計、開發(fā)、發(fā)布、維護等生命周期各個階段的內控管理制度；三是扎實落實管理職責和制度要求，有效發(fā)揮制度體系的作用。典型案例介紹如下：

(資料圖)

? 典型案例1：民生銀行移動金融客戶端安全合規(guī)管理體系建設

民生銀行高度重視移動金融客戶端應用軟件實名備案工作，響應監(jiān)管和行業(yè)自律要求，迅速成立由信息科技部、網絡金融部、法律合規(guī)部等相關主管部門組成的專項工作組，組織落實備案任務，“民生銀行手機銀行”App在首批試點工作中率先獲得金融科技產品認證證書，并完成移動金融客戶端備案工作。

民生銀行持續(xù)完善移動客戶端安全合規(guī)管理體系，建立“責任到人”的敏捷、高效的常態(tài)化跨部門合規(guī)工作機制。首先，建立工作機制，成立跨部門的移動客戶端安全合規(guī)工作組，配置專人專崗負責移動客戶端的合規(guī)日常、外部評估備案工作，確保每項工作有人抓，有人管。其次，擴大認證范圍，積極開展移動金融客戶端的金融科技產品認證和備案外，積極開展移動互聯(lián)網應用程序（App）安全認證等相關工作。第三，持續(xù)外規(guī)內化，持續(xù)跟進人民銀行、各部委針對移動客戶端的法律法規(guī)、標準制度以及相關要求，通過梳理解讀完成外部標準規(guī)范的轉化落地。第四，加強宣傳教育，民生銀行定期組織協(xié)調外部監(jiān)管機構專家，面向全行組織移動客戶端外部認證及客戶端個人信息保護相關專題培訓，提升全員安全合規(guī)意識。

民生銀行健全移動客戶端安全生命周期管理。民生銀行總結備案和認證過程的工作經驗，制定《中國民生銀行移動應用安全管理辦法》，健全移動金融客戶端合規(guī)發(fā)布流程。通過客戶端版本上線前的安全評審和合規(guī)檢測，以及客戶端上線后的安全合規(guī)后評估，以及應用市場渠道7×24小時實時運營監(jiān)測，形成常態(tài)化的移動客戶端合規(guī)管理機制，有效實現(xiàn)對客戶端版本的閉環(huán)式管理及持續(xù)合規(guī)運營。圍繞移動應用的全生命周期提供安全服務，形成了一套完備的備案合規(guī)流程。

? 典型案例2：銀聯(lián)內控合規(guī)體系建設

中國銀聯(lián)以《網絡安全法》《個人信息安全規(guī)范》《中國人民銀行金融消費者權益保護實施辦法》等為依據(jù)，不斷建立健全組織架構、制度體系建設。

在組織架構層面，根據(jù)銀聯(lián)數(shù)據(jù)安全保護框架的職責分工，銀聯(lián)信息安全委員會下設“個人信息與隱私保護專業(yè)組”統(tǒng)籌數(shù)據(jù)安全和個人信息保護工作，包括數(shù)據(jù)安全、支付信息安全及金融消費者權益保護、個人信息保護及相關的內控管理。

在制度建設層面，在《中國銀聯(lián)數(shù)據(jù)管理辦法》等現(xiàn)有制度的基礎上，補充制定了如《中國銀聯(lián)數(shù)據(jù)安全與個人信息保護細則》《中國銀聯(lián)云閃付個人信息安全影響評估指南》等多項內部管理辦法，以業(yè)務數(shù)據(jù)的分類分級保護和全生命周期管理為基礎，進一步細化個人信息保護管理要求。

在日常運營層面，從操作權限、參數(shù)、日志、數(shù)據(jù)、賬務管理等方面進行了全面梳理并優(yōu)化，形成了業(yè)務上線前合規(guī)評審、事中實時監(jiān)控、事后定期排查及異常跟蹤處置的管理閉環(huán)等。

? 典型案例3：京東金融隱私合規(guī)治理流程

京東科技高度重視京東金融App的合規(guī)安全工作。面對當前隱私合規(guī)監(jiān)管部門較多，法律法規(guī)更新較快，且呈常態(tài)化趨勢，京東科技專門成立了隱私合規(guī)治理虛擬小組，專門負責“京東金融”App隱私合規(guī)問題的處理，小組成員包括了研發(fā)、產品、測試、安全、法務合規(guī)、安全合規(guī)等部門人員。

京東科技制定App隱私合規(guī)處置SOP(標準作業(yè)程序)，在政策解讀，需求階段，研發(fā)階段，測試階段，發(fā)布階段，運營階段都制定了相關的標準流程，指導大家日常工作，在App全生命周期內進行隱私合規(guī)把控，為用戶的隱私安全保駕護航。

? 典型案例4：浦發(fā)銀行建立App全生命周期安全管理體系

浦發(fā)銀行為加強App及其他信息系統(tǒng)建設項目的精細化安全管理，建設了信息系統(tǒng)全生命周期安全管理體系。

安全管理體系主要由安全開發(fā)管控流程、安全支撐體系、安全保障體系組成，其中安全管控流程主要涉及四個方面：即在需求階段利用資產庫和工具進行安全評估，明確安全要求與目標，在方案設計階段進行安全設計和審核，在測試階段開展安全需求驗證，在系統(tǒng)運行階段定期開展上線后的回歸測試及滲透測試。目前已形成了安全需求模板化、安全設計標準化、安全開發(fā)組件化、安全測試專業(yè)化、安全流程線上化的閉環(huán)管理體系。

圖：浦發(fā)銀行信息系統(tǒng)全生命周期安全管理體系

? 典型案例5：交通銀行健全信息安全防護體系

交通銀行從組織結構、管理制度、產品設計以及文化建設等多方面入手，完成了信息安全防護的頂層設計，形成了包括部門職責劃分，信息保密制度、數(shù)據(jù)備份制度、風險預警制度、系統(tǒng)維護制度、人員管理制度等規(guī)范編制以及產品迭代計劃制定的體系架構。以交行企業(yè)手機銀行為例，團隊組織架構采取流程管理和業(yè)務管理的矩陣化管理模式進行，其中在流程管理上包括業(yè)務、產品、體驗、研發(fā)、測試、運營、數(shù)據(jù)、風控、運維等崗位，分別承擔App的業(yè)務訴求、需求設計、UI設計、開發(fā)、測試、營銷推廣、數(shù)據(jù)分析、反洗錢和風險控制、日常經營維護等職責。從業(yè)務管理上，按業(yè)務和功能模塊進行管理，各業(yè)務模塊主要負責各業(yè)務功能的完整性、流程合理性及操作體驗連續(xù)性等方面內容。