2015年12月28日,银监会会同工业和信息化部、公安部、国家互联网信息办公室等部门,发布了《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》,并向社会公开征求意见。
此次《办法》征求意见的截止日期是2016年1月27日,后续应该还会根据意见进行最后修订,如果顺利的话,预计在2016年中旬可以正式下发。
此次征求意见的《办法》共有四十七个条款,其中明确提出信息安全与IT风险管理要求的就多达十几处,足见监管机构及有关部门对网络与信息安全的重视,同时,也体现了互联网金融在网络与信息安全方面的严峻挑战。
对于P2P公司来讲,为了应对监管合规,网络与信息安全的投入也将进一步加大,具体需要落实的工作主要有以下几个方面:
1、落实等级保护相关工作
按照等级保护对信息系统进行定级、备案、测评与整改。由于P2P公司信息系统数量并不多,而且其中定级、备案、测评花钱了事并不存在太大问题,在技术整改方面可能需要一定的资金与资源的投入。总体来看此部分工作难度中等,需要投入中等,实施周期较长。
2、信息科技风险管理相关工作
信息科技风险管理一直是银监会主抓的重点内容,并且银监会很可能按照银行业监管标准对P2P公司进行现场检查,内容涉及信息科技管理、科技风险管理和科技审计等方面。如果真是这样,一直粗放型成长的P2P公司绝不是那么容易就能够应付的。总体来看此部分工作难度很大、需要投入较大,实施周期较长。
3、信息系统灾备建设相关工作
对重要业务数据做好备份措施,并在两年内建立应用级灾备系统,这对任何一家企业来讲都不是件很容易做到的事情。此部分工作难度比较大、需要投入很大,实施周期也很长。
4、敏感信息保护相关工作
《办法》中涉及到了身份信息、交易信息、业务活动数据、上网日志、信息交互内容的保护,明确了使用电子签名、电子认证的要求,及信息的跨国界流动的相关要求。信息保护目前来看是个无解的命题,没有任何一家企业可以完美解决,最多也就是勉强可以守住底线。对于P2P公司来讲,这方面基本上是一片空白,综合来此部分工作看难度巨大、需要投入很大、实施周期很长。
5、信息安全评估、审计相关工作
每两年进行一次全面安全评估,接受国家或行业主管部门的信息安全检查和审计,年度财务审计中也会包含信息安全相关内容。这部分主要配合评估、检查与审计,当然,相关风险与问题的整改工作另当别论。综合来看此部分工作难度不大、需要投入中等、实施周期不长。
总体来看,行业监管要求的不断完善,对于新兴业务的发展有着非常大的促进作用,同时也可以进一步去伪存真、优胜劣待,更好的保护广大的投资人的根本利益。