《网络借贷信息中介机构业务活动管理暂行办法》

2015年12月28日，银监会会同工业和信息化部、公安部、国家互联网信息办公室等部门，发布了《网络借贷信息中介机构业务活动管理暂行办法（征求意见稿）》，并向社会公开征求意见。

此次《办法》征求意见的截止日期是2016年1月27日，后续应该还会根据意见进行最后修订，如果顺利的话，预计在2016年中旬可以正式下发。

此次征求意见的《办法》共有四十七个条款，其中明确提出信息安全与IT风险管理要求的就多达十几处，足见监管机构及有关部门对网络与信息安全的重视，同时，也体现了互联网金融在网络与信息安全方面的严峻挑战。

对于P2P公司来讲，为了应对监管合规，网络与信息安全的投入也将进一步加大，具体需要落实的工作主要有以下几个方面：

1、落实等级保护相关工作

按照等级保护对信息系统进行定级、备案、测评与整改。由于P2P公司信息系统数量并不多，而且其中定级、备案、测评花钱了事并不存在太大问题，在技术整改方面可能需要一定的资金与资源的投入。总体来看此部分工作难度中等，需要投入中等，实施周期较长。

2、信息科技风险管理相关工作

信息科技风险管理一直是银监会主抓的重点内容，并且银监会很可能按照银行业监管标准对P2P公司进行现场检查，内容涉及信息科技管理、科技风险管理和科技审计等方面。如果真是这样，一直粗放型成长的P2P公司绝不是那么容易就能够应付的。总体来看此部分工作难度很大、需要投入较大，实施周期较长。

3、信息系统灾备建设相关工作

对重要业务数据做好备份措施，并在两年内建立应用级灾备系统，这对任何一家企业来讲都不是件很容易做到的事情。此部分工作难度比较大、需要投入很大，实施周期也很长。

4、敏感信息保护相关工作

《办法》中涉及到了身份信息、交易信息、业务活动数据、上网日志、信息交互内容的保护，明确了使用电子签名、电子认证的要求，及信息的跨国界流动的相关要求。信息保护目前来看是个无解的命题，没有任何一家企业可以完美解决，最多也就是勉强可以守住底线。对于P2P公司来讲，这方面基本上是一片空白，综合来此部分工作看难度巨大、需要投入很大、实施周期很长。

5、信息安全评估、审计相关工作

每两年进行一次全面安全评估，接受国家或行业主管部门的信息安全检查和审计，年度财务审计中也会包含信息安全相关内容。这部分主要配合评估、检查与审计，当然，相关风险与问题的整改工作另当别论。综合来看此部分工作难度不大、需要投入中等、实施周期不长。

总体来看，行业监管要求的不断完善，对于新兴业务的发展有着非常大的促进作用，同时也可以进一步去伪存真、优胜劣待，更好的保护广大的投资人的根本利益。