下载文档原格式
金融业机构信息管理规定金融业机构信息管理规定为了规范金融业机构的信息管理行为,保护客户信息的安全和隐私,提升金融业机构的信息管理水平,特制定本规定。
一、信息分类与保护措施1. 个人信息和机构信息应分别进行分类管理,确保不同等级的信息被妥善保护。
2. 个人信息应以匿名方式使用,并采取授权访问和加密技术进行保护。
3. 机构信息应根据敏感程度制定相应的保护措施,包括但不限于设立访问权限、限制数据传输和备份等方式。
二、信息收集与使用1. 金融业机构应依法收集、使用客户信息,并明确将其用途告知客户。
2. 金融业机构不得将客户信息用于任何非法、未经授权、与业务无关的用途。
3. 金融业机构应建立完善的信息收集和使用记录,并定期进行审核和评估。
三、信息存储与保密1. 金融业机构应采取相应的技术措施保护客户信息的存储安全,确保其不被非法获取或篡改。
2. 金融业机构应定期备份客户信息,并确保备份数据的安全和可用性。
3. 金融业机构应设立专门的信息安全管理部门,负责信息安全保护工作,并定期组织相关人员进行培训和考核。
四、信息共享与合作1. 金融业机构在信息共享和合作时应遵守法律法规的要求,确保信息安全和隐私保护。
2. 金融业机构应与合作方签署信息共享和保密协议,明确责任和义务。
3. 金融业机构不得泄露客户信息给未经授权的第三方,且应对第三方使用客户信息的行为进行监督和检查。
五、信息安全事件处置1. 金融业机构应设立信息安全事件应急预案,并及时处置因信息安全事件导致的损失和影响。
2. 金融业机构应采取措施保护客户信息安全,防止信息被恶意程序、黑客等攻击。
3. 金融业机构应及时通知客户和相关部门,采取有效措施修复信息安全漏洞,并配合相关部门进行调查和处理。
六、责任和监督1. 金融业机构的信息管理责任由董事会、高级管理人员和信息管理部门共同负责。
2. 金融监管部门应加强对金融业机构信息管理的监督和检查,确保金融机构履行信息管理的法律法规和规范要求。
银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引是由中国人民银行出台的金融机构信息系统风险管理的指导性文件,旨在为银行业和其他金融机构提供风险管理指导。
该指引概括了银行业金融机构信息系统风险管理的原则、方法和要求,以帮助金融机构更好地管理信息系统风险。
一、原则银行业金融机构信息系统风险管理要求,金融机构必须坚持“安全第一、合规第一”的原则,以安全、可靠、高效的信息系统实现信息安全管理,促进信息安全和服务质量的持续改进。
二、方法(1)金融机构要建立健全信息系统风险管理体系,明确信息系统风险管理职责,建立相应的管理机制,增强信息系统风险意识,完善风险监测和评估体系,加强风险处置能力。
(2)金融机构要建立完善的信息系统安全防护体系,实施和完善信息系统安全防护措施,加强应用系统的安全管理,健全应用系统安全防护策略,并定期进行安全测试和审计,确保信息系统能够正常运行。
(3)金融机构要建立完善的信息系统维护体系,健全信息系统运维政策和流程,完善信息系统管理制度,提高信息系统管理水平,加强信息系统运维监控,保障信息系统正常运行。
三、要求(1)金融机构要结合自身实际,制定信息系统风险管理规范和措施,健全信息系统风险管理框架,细化信息系统风险管理流程,实施信息系统风险管理政策,加强信息系统风险管理,保障信息系统安全运行。
(2)金融机构要定期开展信息系统风险管理考核,积极推进信息系统风险管理持续改进,不断提高信息系统风险管理水平,保障信息系统正常运行。
(3)金融机构要实施信息系统风险管理责任制,将信息系统风险管理纳入内部管理制度,严格执行信息系统风险控制要求,保障信息系统风险管理的有效实施。
以上就是银行业金融机构信息系统风险管理指引的详细说明,通过坚持“安全第一、合规第一”的原则,建立健全信息系统风险管理体系,实施和完善信息系统安全防护措施,建立完善的信息系统维护体系,实施信息系统风险管理责任制,金融机构可以更好的管理信息系统风险,进而保障信息安全和服务质量的持续改进。
附件省银行业金融机构信息安全管理指引(试行)第一章总则第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。
第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。
第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。
各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。
第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。
第五条各银行机构信息安全管理工作的主要任务是:(一)加强组织领导,健全信息安全管理体制,建立跨部门、跨行业协调机制;(二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能;(三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设;(四)进一步加强信息安全制度和标准规体系建设;(五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;(六)加强安全运行监控体系建设;(七)大力开展信息安全风险评估,实施等级保护;(八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;(九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。
第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。
一、引言随着金融科技的快速发展,金融业已成为我国国民经济的重要支柱。
金融业在为社会提供便捷、高效服务的同时,也面临着日益严峻的信息安全风险。
为确保金融业基本信息安全,保障金融稳定,维护国家金融安全,制定本制度。
二、制度目标1. 建立健全金融业基本信息安全管理体系,提高信息安全防护能力。
2. 保障客户信息、交易信息等金融信息安全,防止信息泄露、篡改、损坏。
3. 防范和打击金融违法犯罪活动,维护金融秩序。
4. 促进金融业健康发展,提升我国金融国际竞争力。
三、制度内容1. 组织架构(1)成立金融业基本信息安全工作领导小组,负责统筹协调、监督指导金融业基本信息安全工作。
(2)设立信息安全管理部门,负责具体实施信息安全管理工作。
2. 信息安全政策(1)制定信息安全战略,明确信息安全目标、原则和方针。
(2)制定信息安全管理制度,包括信息安全组织、信息安全技术、信息安全风险评估、信息安全事件处理等。
3. 信息安全风险管理(1)建立健全信息安全风险评估体系,定期对信息系统、业务流程等进行风险评估。
(2)针对风险评估结果,制定相应的信息安全防护措施,确保信息系统安全稳定运行。
4. 信息安全技术保障(1)采用国际先进的信息安全技术,包括密码技术、网络安全技术、数据安全技术等。
(2)加强信息系统安全防护,包括物理安全、网络安全、应用安全、数据安全等。
5. 信息安全培训与宣传(1)定期组织信息安全培训,提高员工信息安全意识。
(2)开展信息安全宣传活动,普及信息安全知识,提高公众信息安全意识。
6. 信息安全事件处理(1)建立健全信息安全事件报告、调查、处理和报告制度。
(2)对发生的信息安全事件进行及时、有效的调查和处理,防止事态扩大。
7. 客户信息保护(1)严格遵守国家法律法规,确保客户信息安全。
(2)建立客户信息管理制度,对客户信息进行分类、分级管理。
(3)加强客户信息保密,防止客户信息泄露、篡改、损坏。
8. 交易信息保护(1)确保交易信息真实、准确、完整。
金融机构的信息安全保护活动方案随着信息技术的不断发展和金融行业的迅速进步,金融机构的信息安全保护活动愈发重要。
信息安全保护活动不仅关乎金融机构的发展和稳定运营,更关乎客户的个人隐私和资产安全。
因此,金融机构需制定全面有效的信息安全保护方案,以保障其信息安全。
本文将探讨金融机构的信息安全保护活动方案,并提出相关建议。
一、保护客户信息金融机构作为客户的金融服务提供者,承载着巨大的客户信息责任。
为保护客户信息安全,金融机构应采取以下措施:1. 建立完善的信息安全管理体系:金融机构需将信息安全管理纳入组织架构,并明确定义各级责任人。
同时,制定信息保护政策和流程,确保各环节的合规运作。
2. 强化数据保护措施:金融机构需采用可靠的数据加密技术,对客户敏感信息进行加密存储和传输。
同时,加强对数据库的访问控制,并建立审计机制,及时发现和处理数据异常。
3. 提升员工安全意识:金融机构应定期开展信息安全培训,并加强员工的安全意识教育。
通过了解信息安全风险和保护措施,员工能够更好地保护客户信息,防范社会工程学攻击等安全威胁。
二、防范网络攻击随着金融业务的数字化和网络化,金融机构面临各类网络攻击的风险。
为降低网络攻击风险,金融机构应采取以下措施:1. 构建多层次的网络安全防护体系:金融机构应加强对网络边界的防范,设置防火墙、入侵检测系统等技术措施。
同时,建立内外联动的安全监控系统,及时发现并应对网络攻击事件。
2. 加强对网络设备的管理和维护:金融机构应定期更新和修复网络设备的漏洞,及时更新系统和应用程序补丁。
同时,规范对网络设备的访问控制,禁止未经授权的外部访问。
3. 实施安全审计和漏洞扫描:金融机构应定期进行安全审计和漏洞扫描,发现潜在的网络安全风险,并及时修复漏洞,提升网络防护能力。
三、加强身份验证与访问控制为防止未授权人员或恶意攻击者获取敏感信息,金融机构应加强身份验证和访问控制管理:1. 应用多因素身份认证技术:金融机构应推广使用多因素身份认证技术,如指纹识别、声纹识别和动态口令等,提高身份验证的准确性。
金融机构信息安全管理规章制度细则随着信息技术的迅猛发展,金融机构在信息化建设中起到至关重要的作用。
然而,随之而来的挑战是信息安全的威胁和风险也在不断增加。
为了保障金融机构的信息安全,制定和执行一套严格的信息安全管理规章制度尤为重要。
本文将详细阐述金融机构信息安全管理规章制度的细则。
首先,金融机构应制定一套完备的信息安全管理制度,确保其信息资产的安全性、保密性和可用性。
这些制度应涵盖以下几个方面。
首个方面是组织结构与职责。
金融机构应明确设立信息安全部门,并明确其职责和权限。
此外,相关部门的领导和员工也应明确其在信息安全管理中的责任和义务。
通过设立专门的部门和明确职责,可以确保信息安全工作的定责和落实。
其次,金融机构应确保安全政策的制定和执行。
安全政策应涵盖信息资产的分类、信息安全目标、安全控制措施等内容。
为了保证政策的有效执行,金融机构应制定相关培训计划,使员工了解和遵守安全政策。
第三个方面是风险管理与评估。
金融机构应建立风险评估与管理机制,对信息安全风险进行全面评估,并采取有效的措施予以管理。
这包括对风险的识别、评估和处理,以及建立应急响应机制和灾难恢复计划。
另外,金融机构应加强对内、外部人员的安全管理。
对于内部员工,应实施严格的权限控制和访问控制,确保只有授权人员能够访问敏感信息。
同时,还应制定合理的离岗制度和远程工作安全规定,加强对员工的信息安全教育和培训。
对于外部人员,金融机构应建立合作伙伴安全管理制度,保护与外部合作伙伴的信息交换安全。
此外,金融机构还应加强网络和系统安全管理。
这包括建立安全防范体系,包括防火墙、入侵检测系统、网络安全监控等。
同时,金融机构还应制定密码管理规定,加强系统和网络设备的安全配置和维护。
最后,金融机构应建立安全事件的监测和报告机制。
通过建立安全事件的监测系统,金融机构能够及时察觉安全事件的发生,并采取相应的措施。
同时,还应建立安全事件的报告制度,明确安全事件的报告和处理流程。
一、总则为保障金融信息的安全,维护金融秩序,防范金融风险,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合本机构实际情况,制定本制度。
二、适用范围本制度适用于本机构所有涉及金融信息处理的业务系统、网络设备、存储设备、办公设备等,以及所有参与金融信息处理的工作人员。
三、管理原则1. 安全第一:确保金融信息安全,将安全贯穿于金融信息处理的各个环节。
2. 预防为主:采取技术和管理措施,预防金融信息泄露、篡改、破坏等安全事件的发生。
3. 规范管理:建立健全金融信息安全管理制度,明确职责分工,规范操作流程。
4. 及时响应:对金融信息安全事件进行及时响应和处理,减少损失。
四、组织架构1. 成立金融信息安全领导小组,负责制定、实施和监督金融信息安全管理制度。
2. 设立金融信息安全管理部门,负责日常金融信息安全管理工作。
3. 各部门、各岗位明确金融信息安全职责,确保制度落实。
五、职责分工1. 金融信息安全领导小组:(1)制定金融信息安全管理制度,组织培训和考核。
(2)监督、检查各部门金融信息安全管理工作。
(3)协调处理金融信息安全事件。
2. 金融信息安全管理部门:(1)负责金融信息安全管理制度的具体实施。
(2)对各部门、各岗位的金融信息安全工作进行监督、检查。
(3)组织开展金融信息安全培训和考核。
3. 各部门、各岗位:(1)严格执行金融信息安全管理制度。
(2)落实金融信息安全责任,确保金融信息安全。
六、金融信息安全措施1. 网络安全:采用防火墙、入侵检测、漏洞扫描等安全措施,确保网络安全。
2. 数据安全:对金融信息进行加密存储、传输,防止数据泄露、篡改。
3. 身份认证:实施严格的身份认证制度,确保只有授权人员才能访问金融信息。
4. 安全审计:对金融信息处理过程进行安全审计,及时发现和处理安全事件。
5. 安全培训:定期组织员工进行金融信息安全培训,提高安全意识。
七、金融信息安全事件处理1. 事件报告:发现金融信息安全事件时,立即向金融信息安全管理部门报告。
银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条银行业金融机构应认真履行下列信息系统管理职责:(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;(六)做好本机构信息系统审计工作;(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;(九)开展与信息系统风险管理相关的其他工作。
银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条银行业金融机构应认真履行下列信息系统管理职责:(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;(六)做好本机构信息系统审计工作;(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;(九)开展与信息系统风险管理相关的其他工作。
金融信息安全管理制度随着金融科技的快速发展和普及应用,金融信息安全问题变得日益重要。
金融机构是各种金融活动的主要承担者,其信息安全面临着越来越多的挑战,包括数据泄露、网络攻击、黑客入侵等。
为了保护金融机构和客户的利益,建立科学有效的金融信息安全管理制度势在必行。
金融信息安全管理制度是指金融机构为确保金融信息的保密性、完整性和可用性,采取的一系列规章制度和控制措施。
有效的金融信息安全管理制度能够帮助机构识别和评估风险,制定有效的安全策略,采取相应的技术和管理措施,保护信息资产和数据的安全。
首先,在金融信息安全管理制度中,机构需要设立一个专门的安全管理部门,负责信息安全的规划、组织、实施和监督,确保信息安全工作的顺利进行。
这个部门的职责包括对整个机构的信息系统进行安全评估,制定信息安全政策和制度,定期开展安全培训和演练,及时发现和处理安全事件。
其次,金融信息安全管理制度需要制定完善的权限管理制度。
这包括对不同人员的权限进行明确划分,确保每个人员在系统中的访问权限与其实际工作需求相符。
同时,还需要建立审计机制,定期对权限进行审计,发现并纠正非法操作和异常行为。
只有通过严格的权限管理和审计,才能有效防止信息泄露和滥用。
此外,机构还需要建立健全的网络安全控制制度。
这包括对网络的拓扑结构进行规范,将重要的系统和数据进行隔离,以减小一旦遭受攻击的影响范围。
同时,机构还需要建立有效的防火墙、入侵检测和防病毒系统,及时发现并阻止网络攻击和恶意软件的入侵。
除了技术措施外,金融信息安全管理制度中还需要加强员工的安全意识培训。
员工是信息系统的最终用户和操作者,他们的安全意识和行为对整个系统的安全性至关重要。
因此,机构需要定期开展安全教育和培训,提高员工对信息安全风险和应对措施的认识,确保员工能够正确使用系统,并且能够识别和报告安全事件。
最后,在金融信息安全管理制度中,还应该加强对第三方合作伙伴的信息安全管理。
金融机构的业务活动通常涉及到与其他机构和个人的合作,这些合作伙伴可能成为信息泄露和攻击的入口。
附件省银行业金融机构信息安全管理指引(试行)第一章总则第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。
第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。
第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。
各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。
第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。
第五条各银行机构信息安全管理工作的主要任务是:(一)加强组织领导,健全信息安全管理体制,建立跨部门、跨行业协调机制;(二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能;(三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设;(四)进一步加强信息安全制度和标准规体系建设;(五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;(六)加强安全运行监控体系建设;(七)大力开展信息安全风险评估,实施等级保护;(八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;(九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。
第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。
非银行机构参照执行。
第二章组织机构第七条各银行机构应建立健全信息安全管理机构。
应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
第八条各银行机构应设立或指定专门负责信息安全工作的部门,配备专门负责信息安全工作的人员,实行A、B岗制度。
第九条各银行机构应建立和完善统一的信息安全协调机制。
应建立外部协调机制,加强信息安全的交流、沟通和协作,充分发挥纵向、横向协调的组织保障作用,有效提升信息安全保障能力。
第十条各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工,科学制定安全规划,有效组织实施安全策略。
第十一条各银行机构应建立完善的信息安全制度管理体系。
第十二条各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后,应报当地人民银行备案。
第三章人员管理第十三条各银行机构的工作人员应根据不同的岗位或工作围,履行相应的信息安全管理职责。
第十四条各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和有关规定受到过处罚或处分的人员,不得从事此项工作。
第十五条各银行机构应加大人才培养力度,每年至少对信息安全管理人员进行一次信息安全培训,适时对工作人员进行信息安全知识培训。
第十六条各银行机构信息安全管理人员应认真履行职责:(一)组织落实信息安全管理规定和本单位及分支机构信息安全保障工作,制定信息安全管理制度。
(二)审核信息化建设项目中的安全方案,组织实施信息安全项目建设,维护、管理信息安全专用设施。
(三)督促检查网络和信息系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十七条加强对职工的信息安全教育,提高全员信息安全意识。
加大专业技能培养,优化人员结构,形成梯队,重点加强数据中心高端系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。
合理配置和使用人力资源,人尽其才,合理流动,广开人才来源。
第十八条建立信息安全管理业绩评价体系,奖惩分明。
第四章机房环境和设备资产管理第十九条本指引所称机房,是指网络与计算机设备放置、运行的场所,包含供配电、通信、空调、消防、监控等配套环境设施。
第二十条各银行机构机房的规划、建设、改造、运行、维护和机房设施配备,应符合国家计算机机房有关标准、行业管理有关要求和部管理有关规定。
第二十一条计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统,通过技术和管理手段,确保计算机机房及配套设施安全。
第二十二条计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测。
第二十三条应建立健全计算机机房管理制度,落实专人担任机房管理员,定期巡查机房运行状况。
机房管理员应经过相关专业培训,掌握机房各类设备的操作要领。
第二十四条对计算机机房搬迁等可能影响系统正常运行的维护事项,事前需报当地人民银行备案。
第二十五条对外提供柜面服务的场所与核心业务处理环境,应严格人员出入管理,并通过安装门禁、视频监控录像等系统,加强技术防。
第二十六条各银行机构应做好计算机设备的登记工作,严格设备资产管理,落实设备使用者的安全保护责任。
第二十七条各银行机构应根据计算机设备的重要程度,采取相应等级的安全保护措施,防止未授权使用设备或信息。
有特殊安全要求的计算机设备,应放置在机房特殊功能区,并遵守相关安全规定。
第五章密码技术及网络安全管理第二十八条各银行机构信息系统应根据安全需要合理运用密码技术和产品,所使用的密码技术与产品应符合国家密码管理相关规定。
第二十九条各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施,建立规的密钥管理制度。
第三十条各银行机构信息系统所使用的网络应具备可信体系架构,具备身份认证、授权管理、跟踪审计等功能。
第三十一条各银行机构信息系统所使用的网络应具备基本的安全防能力,能通过身份认证、访问控制、容过滤、信息加密、网络隔离等措施有效防来源于部和外部的网络威胁。
第三十二条各银行机构应严格网络安全配置管理,制订合理的网络服务策略和强制路径策略,强化外部连接用户认证,加强远程诊断接口的保护。
第三十三条各银行机构应规划分网络安全域,利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离,加强网络边界防护,保证重要信息不被泄露、篡改或非法利用。
第六章国产化及外包服务第三十四条各银行机构应积极开展国外技术和产品的国产化替代工程,降低对外资厂商的依赖程度,消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装置带来的安全隐患,提高信息安全自主可控水平。
第三十五条在保证可用性的条件下,各银行机构应优先考虑购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术。
第三十六条积极开展安全管理认证工作,开展测评认证时,应选择具有资质的国认证和咨询机构,加强信息安全和管理,保证重要敏感信息不出境。
第三十七条各银行机构应在充分评估风险控制的基础上使用外包服务,并建立规的外包服务管理机构及管理制度。
第三十八条各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。
重要业务系统托管应选择具有相关资质的中资机构。
第三十九条各银行机构加强对外包服务全过程的跟踪管理,完善过程记录,定期对外包服务的实施过程风险和完成情况进行评估。
第四十条各银行机构加强对外包服务商的管理,选择外包服务商应符合国家和行业监管部门信息安全相关规定,明确服务等级责任(SLA),签订协议。
第七章风险评估及等级保护第四十一条各银行机构应加强对信息系统风险评估的管理,在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。
第四十二条各银行机构使用的信息系统要适时、有效开展风险评估,重要信息系统至少每一年进行一次评估,并根据评估结果,及时研究整改存在的问题,实施安全加固。
第四十三条各银行机构应每半年按照《省银行业金融机构信息安全评估规》开展一次全面的自评估,在2月底和10月底上报当地人民银行。
第四十四条各银行机构要严格控制风险评估过程的管理,有规的制度和专门人员,应建立风险预案,落实预防性应对措施,确保风险评估工作不影响生产系统安全。
第四十五条各银行机构应每年梳理本机构运营使用的信息系统,按照国家和人民银行有关要求开展规的定级工作,按人民银行要求报送定级评审材料,二级及以上信息系统需向当地公安部门备案。
第四十六条各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作,并针对测评问题做好整改工作,并按照属地管理原则向当地人民银行报送测评整改总结报告。
第八章灾难恢复系统和业务连续性体系第四十七条各银行机构应按照国家相关规加强灾难恢复系统建设,制定覆盖所有重要信息系统的业务连续性计划和应急预案,建立和完善各项管理制度,提高业务持续运营能力。
第四十八条实施数据集中的银行机构应同步规划、同步建设、同步运行同城或异地信息系统灾难恢复系统,逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。
第四十九条各银行机构核心业务系统,应实施应用级备份;对于其他业务系统,可实施系统级或数据级备份。
应适时备份和安全保存业务数据,定期对冗余备份系统、备份介质进行深度可用性检查。
第五十条同城灾备中心对站点级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规》(GB/T 20988-2007)中所定义的灾难恢复能力等级第4级,并覆盖70%的重要信息系统(至少包含核心银行系统、支付结算系统、电子银行系统)。
同城灾备中心原则上与生产中心距离应处于不同的供电区域,应回避危险区和干扰源。
第五十一条异地灾备中心对城市级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规》(GB/T 20988-2007)中所定义的灾难恢复能力等级第3级,并覆盖所有重要信息系统。
异地灾备中心原则上与生产中心应处于不同地震板块,并应回避危险区和干扰源、回避与生产中心相同的灾患。
第五十二条灾难备份中心的规划应综合平衡风险与成本、运维管理与灾难恢复力量等因素,进行业务影响、可行性、成本收益分析以及建设方案风险评估,明确灾难恢复策略。
第五十三条灾难备份中心的选址要从国家整体安全出发,接受行业监管部门的指导,合理规划布局。
建设方式包括自建、联合共建或利用外部企业(组织)的灾难备份设施等。
第五十四条各银行机构每年开展业务连续性计划演练,演练方式包括桌面演练、模拟演练、单元演练、端到端演练和全面演练。
