三級等保成網(wǎng)貸備案標配 北上廣80分起步

上海首提三級等保90分以上

事實上，2016年8月24日銀監(jiān)會發(fā)布的《網(wǎng)絡(luò)借貸信息中介機構(gòu)業(yè)務(wù)活動管理暫行辦法》就規(guī)定，網(wǎng)絡(luò)借貸信息中介機構(gòu)應(yīng)當按照國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護制度的要求，開展信息系統(tǒng)定級備案和等級測試。這是監(jiān)管層首次對網(wǎng)貸行業(yè)信息技術(shù)安全提出明確要求，也意味著網(wǎng)絡(luò)安全已成為平臺合規(guī)的重要門檻之一。

在地區(qū)監(jiān)管層面，2017年6月，上海發(fā)布“網(wǎng)貸機構(gòu)業(yè)務(wù)管理辦法”征求意見稿，其中在信息系統(tǒng)安全保護方面，需事前向本市公安機關(guān)網(wǎng)絡(luò)安全部門提交符合國家網(wǎng)絡(luò)安全相關(guān)規(guī)定和國家信息安全等級保護制度要求的證明材料。另外，根據(jù)近期上海地區(qū)發(fā)布的網(wǎng)貸機構(gòu)整改驗收指引，未聘請有資質(zhì)的專業(yè)機構(gòu)對本機構(gòu)進行信息安全等級保護測評，或者未申請并通過公安機關(guān)網(wǎng)絡(luò)安全部門的信息系統(tǒng)安全審核的平臺均不予以備案。

與上海地區(qū)相比，根據(jù)廣東省2017年2月發(fā)布的“網(wǎng)貸機構(gòu)管理暫行辦法”提出，網(wǎng)貸機構(gòu)應(yīng)提交信息安全測評認證機構(gòu)安全測評報告；而北京在相關(guān)要求上則比較含糊，按照北京市金融工作局2017年7月發(fā)布的“網(wǎng)貸機構(gòu)備案登記管理辦法”征求意見稿，網(wǎng)貸機構(gòu)應(yīng)具有完善的網(wǎng)絡(luò)安全設(shè)施和管理制度及安全、穩(wěn)定的網(wǎng)絡(luò)借貸信息中介業(yè)務(wù)系統(tǒng)和災(zāi)難備份。

不過，從各地細則看，即使通過信息系統(tǒng)安全等級保護三級認證，也并不意味著安全。據(jù)悉，上海地區(qū)在三級等保方面要求按照國家標準測評，且測評分數(shù)不低于90分；廣東地區(qū)對等保三級要求也從原來的60分提高到了80分以上。目前，北京金融監(jiān)管部門暫時未對三級等保測評的分數(shù)提出具體要求，但考慮到上海和廣東地區(qū)已實施相關(guān)政策，北京地區(qū)應(yīng)該不會差別太大。

8成擬備案平臺未進行安全測評

據(jù)統(tǒng)計，截至2017年5月底，通過信息系統(tǒng)安全等保三級備案認證的網(wǎng)貸平臺增加到138家，如果加上后來通過認證的平臺，截止2017年底，拿到三級等保的平臺數(shù)量應(yīng)該不會超過200家，僅占正常運營平臺數(shù)量（1750家）10%左右，即便按照最終備案平臺50%通過率計算，目前也僅有20%的平臺獲得了這項資質(zhì)。剩余80%平臺如果要申請備案，必須在未來幾個月內(nèi)完成三級等保測評，時間非常緊迫。

據(jù)網(wǎng)貸天眼了解，現(xiàn)階段正是網(wǎng)貸機構(gòu)信息系統(tǒng)安全測評高峰期，北京某測評機構(gòu)稱，對P2P平臺的測評排期已預(yù)約到3月份之后。由此可見，此前對待監(jiān)管部門整改要求不認真、不上心的平臺此刻恐怕要“傷心”了。

另外，大多數(shù)獲得等保三級認證的平臺只在官網(wǎng)公布了相關(guān)證書，披露等保三級測評報告與綜合評分的平臺寥寥無幾。網(wǎng)貸天眼還注意到，個別P2P平臺拿到的信息安全保護認證級別為二級，包括、財富星球等實力較大的平臺只通過了二級認證。按照備案要求，這些平臺需要在申請備案前完成三級測評。

網(wǎng)貸平臺必須通過三級等保測試

公開信息顯示，國家2001年實施的《計算機信息系統(tǒng)安全保護等級劃分準則》中將安全等級劃分為五個級別：

第一級為用戶自主保護級，該級適用于普通內(nèi)聯(lián)網(wǎng)用戶；

第二級為系統(tǒng)審計保護級，該級適用于通過內(nèi)聯(lián)網(wǎng)或國際網(wǎng)進行商務(wù)活動，需要保密的非重要單位；

第三級為安全標記保護級，該級適用于地方各級國家機關(guān)、金融機構(gòu)、郵電通信、大型工商與信息技術(shù)企業(yè)、重點工程建設(shè)等單位；

第四級為結(jié)構(gòu)化保護級，該級適用于中央級國家機關(guān)、廣播電視部門、社會應(yīng)急服務(wù)部門、尖端科技企業(yè)集團、國家重點科研機構(gòu)和國防建設(shè)等部門；

第五級為訪問驗證保護級，該級適用于國防關(guān)鍵部門和依法需要對計算機信息系統(tǒng)實施特殊隔離的單位。

根據(jù)準則，P2P平臺作為類金融機構(gòu)，需要通過信息安全保護等級三級測試。據(jù)悉，目前，僅有公安部授權(quán)的第三方評測機構(gòu)才可開展該項測試工作，

通過三級認證后每年仍需復(fù)查

根據(jù)《關(guān)于開展全國重要信息系統(tǒng)安全等級保護定級工作的通知》（公通字〔2007〕861號），信息系統(tǒng)安全定級工作基本流程為： “自主定級、專家評審、主管部門審批、公安機關(guān)審核”。

據(jù)業(yè)內(nèi)人士介紹，定級流程分為5步：

第一，系統(tǒng)定級。平臺確定要測試的系統(tǒng)等級，尋找當?shù)毓矙C關(guān)認可的評測機構(gòu)一起編寫定級報告。如果確定需要通過三級等保，則還需要組織專家評審。

第二，系統(tǒng)備案。系統(tǒng)投入運行30日內(nèi)到當?shù)毓矙C關(guān)網(wǎng)監(jiān)部門辦理備案手續(xù)。

第三，差距分析。評測機構(gòu)初步評測后，告知運營單位需要進行哪些整改。建設(shè)整改短則一周，長則3個月。

第四，等級測評。整改完成后，評測機構(gòu)出具評測報告，并將報告提交給公安機關(guān)部門進行保存。

第五，定期檢查。定級為二級的系統(tǒng)評測當年復(fù)查一次即可。定級為三級的系統(tǒng)需要每年進行評測檢查并出具報告。定級為四級的系統(tǒng)需要每半年進行評測檢查。

北上深三地備案標準不同

網(wǎng)貸天眼在通過三級等保認證的平臺發(fā)現(xiàn)，

團貸網(wǎng)（深圳地區(qū)）、鉅寶盆（上海地區(qū)）、麻袋理財（上海地區(qū)）公布了相關(guān)測評報告，分別為94.28分、92.2分、89.53分。按照兩地在測評報告分數(shù)上的要求，麻袋理財?shù)姆謹?shù)如果四舍五入才能勉強達標。

上海匯盈金服相關(guān)技術(shù)人員表示，申請信息安全三級等保測試首先由平臺向測評機構(gòu)提出申請，然后由測評機構(gòu)現(xiàn)場對平臺做測評，范圍包括平臺的安全體系、管理制度、管理規(guī)范等，最后根據(jù)機構(gòu)測評結(jié)果來相應(yīng)改善系統(tǒng)，改善完畢后，測評機構(gòu)進行檢查，通過后會出具相應(yīng)測評報告，并有具體分數(shù)。最后，平臺持測評報告去公安部門備案，公安部門檢測通過后會出具三級等保證書。匯盈金服表示，公司通過三級等保測試總共耗時2-3個月，并于2017年5月拿到證書。

鉅寶盆方面向網(wǎng)貸天眼透露稱，測評機構(gòu)進場調(diào)研耗時2周左右，整改時間持續(xù)2周，最后通過測評拿到證書，前后耗時2個月左右。不過，鉅寶盆技術(shù)人員稱，具體整改時間取決于公司的安全現(xiàn)狀和技術(shù)能力。但如果公司安全性問題較大，或技術(shù)能力比較弱，這個整改時間就會相應(yīng)拖長。

至于三級等保測評成本方面，網(wǎng)貸天眼在中國網(wǎng)絡(luò)安全等級保護網(wǎng)提供的測評機構(gòu)進行咨詢，多數(shù)測評機構(gòu)基礎(chǔ)成本在15-20萬元之間。對此，鉅寶盆稱，全部成本加起來大概40萬左右。

位于北京的網(wǎng)貸平臺

搜易貸的工作人員告訴網(wǎng)貸天眼，搜易貸于2016年10月續(xù)評拿到三級等保證書，耗時一個月左右，測評得分為97.81。據(jù)悉，如果是初次測評，至少需要2個月時間才能完成。北京

民信貸

2017年9月份通過三級等保測評，前后耗時一個月左右。該公司負責測評工作的技術(shù)人員表示，三級等保測評主要支出在定級和備案兩方面，目前北京地區(qū)系統(tǒng)

評級

平均價格在12萬—16萬之間，但不同平臺因系統(tǒng)技術(shù)復(fù)雜程度不同，實際成本差別較大，三四十萬也很正常。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。