中国人民银行信息安全管理规定

中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知文章属性•【制定机关】中国人民银行•【公布日期】2011.01.21•【文号】银发[2011]17号•【施行日期】2011.05.01•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知（银发[2011]17号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，国有商业银行，股份制商业银行，中国邮政储蓄银行：个人金融信息是金融机构日常业务工作中积累的一项重要基础数据，也是金融机构客户个人隐私的重要内容。

如何收集、使用、对外提供个人金融信息，既涉及到银行业金融机构业务的正常开展，也涉及客户信息、个人隐私的保护。

如果出现与个人金融信息有关的不当行为，不但会直接侵害客户的合法权益，也会增加银行业金融机构的诉讼风险，加大运营成本。

近年来，个人金融信息侵权行为时有发生，并引起社会的广泛关注。

因此，强化个人金融信息保护和银行业金融机构法制意识，依法收集、使用和对外提供个人金融信息，十分必要。

对个人金融信息的保护是银行业金融机构的一项法定义务。

为了规范银行业金融机构收集、使用和对外提供个人金融信息行为，保护金融消费者合法权益，维护金融稳定，根据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国反洗钱法》、《个人存款账户实名制规定》等法律、法规的规定，现就个人金融信息保护的有关事项通知如下：一、本通知所称个人金融信息，是指银行业金融机构在开展业务时，或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息：(一)个人身份信息，包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等；(二)个人财产信息，包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等；(三)个人账户信息，包括账号、账户开立时间、开户行、账户余额、账户交易情况等；(四)个人信用信息，包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的，能够反映其信用状况的其他信息；(五)个人金融交易信息，包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等；(六)衍生信息，包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息；(七)在与个人建立业务关系过程中获取、保存的其他个人信息。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行 A、B 岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖信息安全管理工作，决策本单位及辖信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

银行数据安全管理办法
第一章总则
第一条为保证银行数据在申请、提取、使用以及借阅过程中的安全，防范数据信息泄露风险，根据《中华人民共和国计算机信息系统安全保护条例》、《人民银行计算机系统安全管理暂行规定》，以及监管部门、省行对数据安全管理的相关要求，特制订本办法。

第二条本办法所称数据是指不通过综合业务系统、信贷管理系统等正常途径导出数据，而是通过省行下发数据中取得的信息和数据。

第三条业务部门、基层网点、系统开发项目组、查询数据信息的有权机关、客户、客户相关关系人等对数据申请查询、提取、使用、借阅、保管、新增、变更以及销毁等均须遵循本办法。

第四条查询数据信息的有权机关是指依照法律、行政法规的明确规定，有权查询、冻结、扣划单位或个人在金融机构存款的司法机关、行政机关、军事机关及行使行政职能的事业单位。

具体包括：人民法院、税务机关、海关、人民检察院、公安机关、国家安全机关、军队保卫部门、监狱、
- 1 -。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理.第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”)。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员,实行A、Ｂ岗制度;地（市）中心支行和县(市)支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

征信业管理条例第一章总则第一条为了规范征信活动，保护当事人合法权益，引导、促进征信业健康发展，推进社会信用体系建设，制定本条例。

第二条在中国境内从事征信业务及相关活动，适用本条例。

本条例所称征信业务，是指对企业、事业单位等组织（以下统称企业）的信用信息和个人的信用信息进行采集、整理、保存、加工，并向信息使用者提供的活动。

国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供，适用本条例第五章规定。

国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定，为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布，不适用本条例。

第三条从事征信业务及相关活动，应当遵守法律法规，诚实守信，不得危害国家秘密，不得侵犯商业秘密和个人隐私。

第四条中国人民银行（以下称国务院征信业监督管理部门）及其派出机构依法对征信业进行监督管理。

县级以上地方人民政府和国务院有关部门依法推进本地区、本行业的社会信用体系建设，培育征信市场，推动征信业发展。

第二章征信机构第五条本条例所称征信机构，是指依法设立，主要经营征信业务的机构。

第六条设立经营个人征信业务的征信机构，应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件，并经国务院征信业监督管理部门批准：（一）主要股东信誉良好，最近 3 年无重大违法违规记录；（二）注册资本不少于人民币5000 万元；（三）有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施；（四）拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件；（五）国务院征信业监督管理部门规定的其他审慎性条件。

第七条申请设立经营个人征信业务的征信机构，应当向国务院征信业监督管理部门提交申请书和证明其符合本条例第六条规定条件的材料。

国务院征信业监督管理部门应当依法进行审查，自受理申请之日起 60 日内作出批准或者不予批准的决定。

决定批准的，颁发个人征信业务经营许可证；不予批准的，应当书面说明理由。

中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.12.28•【文号】银发[2010]366号•【施行日期】2010.12.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】计算机软件著作权,银行业监督管理正文中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知（2010年12月28日银发[2010]366号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行，各直属企事业单位：为进一步做好人民银行计算机系统信息安全风险防范和事件处置工作，总行制定了《中国人民银行计算机系统信息安全报告制度》，现印发给你们，请遵照执行。

附件：中国人民银行计算机系统信息安全报告制度附件中国人民银行计算机系统信息安全报告制度一、总则第一条根据《中国人民银行计算机系统信息安全管理规定》(银发[2010]276号印发)，为加强人民银行计算机系统信息安全(以下简称信息安全)管理，规范计算机系统信息安全报告流程，提高信息安全事件和风险处置效率，制定本制度。

第二条本制度适用于人民银行总行、上海总部、各分支机构行、各直属企事业单位及其他相关单位。

第三条本制度报告范畴界定为网络与信息系统计算机系统的信息安全，报告事项包括信息安全事件和信息安全风险两类。

第四条本制度所称信息安全事件，是指由于人为、自然因素或计算机软硬件缺陷等原因，导致网络、信息系统出现异常或数据受到侵害，影响网络与信息系统正常运行或数据安全。

第五条本制度所称信息安全风险，是指人为、自然的威胁利用网络与信息系统及其管理机制中存在的脆弱性，导致信息安全事件发生的可能性。

第六条任何单位和个人均有信息安全报告的义务。

按照“谁发现、谁报告”的原则，信息安全事件发生或风险发现单位的计算机系统相关业务部门在向本单位应急办报告的同时，通报本单位科技部门。

中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------中国人民银行关于发布《银行业信息系统灾难恢复管理规范》行业标准的通知（2008年2月4日银发[2008]48号）中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，清算总中心，国家外汇管理局，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行，中国银联股份有限公司，中国外汇交易中心，中国金融电子化公司：《银行业信息系统灾难恢复管理规范》行业标准已经全国金融标准化技术委员会审查通过，现予以发布，并就有关事项通知如下：一、标准的编号和名称JR/T0044-2008，《银行业信息系统灾难恢复管理规范》。

二、该标准自发布之日起实施。

附件：银行业信息系统灾难恢复管理规范ICSAll JR备案号：中华人民共和国金融行业标准JR/T0044-2008银行业信息系统灾难恢复管理规范Management Specification of Information System Disaster Recovery for Banks2008-02-04发布2008-02-04实施中国人民银行发布目录前言引言1范围2规范性引用文件3术语和定义4银行业信息系统灾难恢复综述4.1灾难恢复工作内容4.2灾难恢复的周期性工作4.3机构间合作5组织机构设立和职责5.1组织机构设立5.2组织机构的组成和职责6灾难恢复需求分析6.1风险分析6.2业务影响分析6.3确定灾难恢复需求7灾难恢复策略制定7.1成本风险分析和策略的确定7.2灾难恢复能力等级7.3灾难备份中心的布局7.4资源、服务的获取和保障8灾难备份中心的建设8.1基础设施建设8.2灾难备份系统建设8.3项目监理9灾难备份中心的运行维护管理9.1管理制度建设9.2运行维护工作内容9.3运行维护的资源保障10灾难恢复预案的制定、演练与管理10.1灾难恢复预案的制定10.2灾难恢复预案的演练10.3灾难恢复预案的管理11应急响应和灾难恢复11.1应急响应11.2灾难恢复11.3重建与回退12监督管理12.1审计12.2备案附录A (资料性附录)应急响应和灾难恢复工作要点附录B (资料性附录)RTO/RPO与灾难恢复能力等级的关系前言本标准是对银行业信息系统灾难恢复管理要求的描述。

中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条人民银行信息安全管理工作实行统一领导和分级管理。

总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少一名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第一节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

（金融保险）银行信息安全管理规定中国人民银行信息安全管理规定第一章总则第一条为强化人民银行信息安全管理，防范计算机信息技术风险，保障人民银行计算机网络和信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本规定。

第二条本规定所称信息安全管理，是指在人民银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的壹系列管理活动。

第三条人民银行信息安全管理工作实行统壹领导和分级管理。

总行统壹领导分支机构和直属企事业单位的信息安全管理，负责总行机关的信息安全管理。

分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。

第四条人民银行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位和个人信息安全责任制。

第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。

所有使用人民银行网络或信息资源的其他外部机构和个人均应遵守本规定。

第二章组织保障第六条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。

第七条各单位科技部门应设立信息安全管理部门或岗位。

总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心支行科技部门配备专职信息安全管理人员，实行A、B岗制度；地（市）中心支行和县（市）支行设立信息安全管理岗位。

第八条除科技部门外，各单位其他部门均应指定至少壹名部门计算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息安全管理工作。

第三章人员管理第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。

第壹节信息安全管理人员第十条各单位应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.01.18•【文号】银发[2010]19号•【施行日期】2010.01.18•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国人民银行关于印发《网上银行系统信息安全通用规范(试行)》的通知（2010年1月18日银发[2010]19号）中国人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，副省级城市中心支行；各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行：为加强网上银行管理，促进网上银行业务健康发展，有效增强网上银行系统的信息安全防范能力，中国人民银行制定了《网上银行系统信息安全通用规范(试行)》，现印发给你们，请遵照执行。

请中国人民银行上海总部，各分行、营业管理部、省会(首府)城市中心支行，副省级城市中心支行将本通知转发至辖区内各城市商业银行、农村商业银行、城市信用社和农村信用社。

执行中如遇问题，请及时告知中国人民银行科技司。

附件：网上银行系统信息安全通用规范(试行)附件网上银行系统信息安全通用规范(试行)（中国人民银行）前言本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。

本规范分为基本要求和增强要求两个层次。

基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。

本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。

本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。

目录1使用范围和要求2规范性引用文件3术语和定义3.1网上银行3.2互联网3.3敏感信息3.4客户端程序3.5 USBKey3.6 USBKey 固件3.7强效加密4符号和缩略语5网上银行系统概述5.1系统标识5.2系统定义5.3系统描述5.4安全域6安全规范6.1安全技术规范6.2安全管理规范6.3业务运作安全规范附1 基本的网络防护架构参考图附2 增强的网络防护架构参考图1使用范围和要求本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。

中国⼈民银⾏关于⾦融机构进⼀步做好客户个⼈⾦融信息保护⼯作的通知⽂号：银发[2012]80号颁布⽇期：2012-03-27执⾏⽇期：2012-03-27时效性：现⾏有效效⼒级别：部门规章中国⼈民银⾏上海总部，各分⾏、营业管理部，各省会（⾸府）城市中⼼⽀⾏，各国有商业银⾏，股份制商业银⾏，中国邮政储蓄银⾏：2012年3⽉15⽇，中央电视台曝光了有关商业银⾏员⼯向不法分⼦出售客户个⼈⾦融信息，并导致⼤量客户总计3000余万元存款被盗的事件。

这⼀事件说明，部分银⾏业⾦融机构并未充分重视客户个⼈⾦融信息保护⼯作，没有认识到保护客户个⼈⾦融信息是银⾏业⾦融机构的法定义务，缺乏⾏之有效的内控制度，也不了解违法收集、使⽤和对外提供客户个⼈⾦融信息可能导致的恶劣影响和严重后果。

为进⼀步强化银⾏业⾦融机构个⼈⾦融信息保护⼯作，保护⾦融消费者合法权益，维护⾦融稳定，现就有关事项通知如下：⼀、各银⾏业⾦融机构必须严格遵守《中华⼈民共和国商业银⾏法》、《个⼈存款账户实名制规定》、《个⼈信⽤信息基础数据库管理暂⾏办法》（中国⼈民银⾏令〔2005〕第3号发布）、《中国⼈民银⾏关于银⾏业⾦融机构做好个⼈⾦融信息保护⼯作的通知》（银发〔2011〕17号）等法律、法规、规章和规范性⽂件的规定，依法合规收集、保存、使⽤和对外提供个⼈⾦融信息，不得向任何单位和个⼈出售客户个⼈⾦融信息，不得违规对外提供客户个⼈⾦融信息。

⼆、各银⾏业⾦融机构应采取有效措施确保客户个⼈⾦融信息安全，防⽌信息泄露和滥⽤。

在制度上，应完善本机构相关内控制度，强化各部门、岗位和⼈员在客户个⼈⾦融信息保护⽅⾯的责任，堵塞漏洞，完善内部监督和责任追究机制；在技术上，应当严格权限管理，完善信息安全防范措施，有效降低个⼈⾦融信息被盗的风险；在员⼯教育上，应于近期在全辖范围内集中开展⼀次客户个⼈⾦融信息保护的培训教育⼯作，使员⼯充分了解、认真贯彻相关法律、法规、规章和规范性⽂件的规定，明确个⼈⾦融信息泄露和滥⽤对本机构及员⼯个⼈带来的法律后果，进⼀步落实本机构的各项内控制度。

第1篇第一章总则第一条为了保障银行业务的正常开展，维护国家金融安全，保护银行业务数据安全，防范网络风险，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规，制定本规定。

第二条本规定适用于中华人民共和国境内所有银行业金融机构，包括商业银行、农村合作银行、城市信用合作社、农村信用合作社等。

第三条银行网络安全建设应当遵循以下原则：（一）安全与发展并重，确保银行业务安全稳定运行；（二）综合施策，加强网络安全防护体系建设；（三）预防为主，及时应对网络安全风险；（四）协同联动，形成网络安全防控合力。

第二章网络安全防护体系第四条银行应建立健全网络安全防护体系，包括以下几个方面：（一）网络安全管理制度：制定网络安全管理制度，明确网络安全责任，规范网络安全行为。

（二）网络安全技术防护：采用防火墙、入侵检测系统、入侵防御系统、病毒防护系统等网络安全技术，保障网络系统安全。

（三）网络安全监测与预警：建立网络安全监测体系，实时监测网络异常情况，及时发布网络安全预警信息。

（四）网络安全应急响应：制定网络安全应急预案，建立健全应急响应机制，确保网络安全事件得到及时有效处置。

（五）网络安全教育与培训：加强网络安全教育，提高员工网络安全意识和技能。

第三章网络安全管理制度第五条银行应建立健全网络安全管理制度，包括以下内容：（一）网络安全组织架构：明确网络安全管理部门职责，设立网络安全领导小组，负责网络安全工作的统筹协调。

（二）网络安全责任制度：明确各部门、各岗位的网络安全责任，确保网络安全工作落到实处。

（三）网络安全操作规范：制定网络安全操作规范，规范员工网络安全行为。

（四）网络安全审查制度：对涉及网络安全的系统、设备、软件等进行审查，确保其安全性。

（五）网络安全信息通报制度：建立网络安全信息通报机制，及时向相关部门、员工通报网络安全信息。

第四章网络安全技术防护第六条银行应采取以下网络安全技术防护措施：（一）物理安全：确保网络设备、服务器等物理设备的安全，防止设备丢失、损坏或被盗。

第1篇一、引言随着信息技术的飞速发展，个人信息保护问题日益凸显。

银行作为个人信息的重要收集、存储和使用单位，其个人信息保护工作尤为重要。

为了规范银行个人信息保护，我国制定了一系列法律法规，旨在保护公民个人信息权益，维护社会和谐稳定。

本文将从我国银行个人信息法律规定出发，对相关法律法规进行梳理和分析。

二、我国银行个人信息法律体系我国银行个人信息法律体系主要包括以下法律法规：1.《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）2.《中华人民共和国民法典》中关于个人信息保护的相关规定3.《中华人民共和国网络安全法》中关于个人信息保护的相关规定4.《中华人民共和国数据安全法》中关于个人信息保护的相关规定5.《中华人民共和国商业银行法》中关于个人信息保护的相关规定6.《中国人民银行关于银行业金融机构加强个人信息保护的通知》7.《中国人民银行关于规范金融机构客户身份识别有关工作的通知》8.《中国人民银行关于进一步加强金融消费者权益保护工作的指导意见》三、银行个人信息保护的基本原则1.合法、正当、必要的原则：银行在收集、使用、存储、处理个人信息时，必须遵循合法、正当、必要的原则，不得非法收集、使用、存储、处理个人信息。

2.明确告知原则：银行在收集、使用个人信息前，应当向个人信息主体明确告知收集、使用、存储、处理个人信息的目的、方式、范围、期限等信息。

3.最少、必要原则：银行在收集、使用个人信息时，应当遵循最少、必要原则，不得过度收集、使用个人信息。

4.安全原则：银行应当采取必要措施，确保个人信息的安全，防止个人信息泄露、损毁、篡改等。

5.责任原则：银行在个人信息保护工作中，应当承担相应的法律责任。

四、银行个人信息收集、使用、存储、处理的法律规定1.个人信息收集银行在收集个人信息时，应当遵循以下规定：（1）明确告知个人信息主体收集的目的、方式、范围、期限等信息；（2）不得非法收集个人信息；（3）不得强迫个人信息主体提供个人信息；（4）不得收集与业务无关的个人信息。

中国人民银行关于进一步加强征信信息安全管理的通知正文：----------------------------------------------------------------------------------------------------------------------------------------------------人民银行关于进一步加强征信信息安全管理的通知银发〔2018〕102号中国人民银行上海总部，各分行、营业管理部，各省会（首府）城市中心支行，各副省级城市中心支行；国家开发银行，各政策性银行、国有商业银行、股份制商业银行，中国邮政储蓄银行：为贯彻落实党的十九大精神和第五次全国金融工作会议精神，加强个人信息保护，做好新时代征信信息安全管理工作，切实保护信息主体合法权益，提升人民群众在征信领域的幸福感和安全感，依据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》（中国人民银行令〔2005〕第3号发布）等法规规章的相关规定，现就进一步加强金融信用信息基础数据库运行机构和接入机构（以下简称运行机构和接入机构）征信信息安全管理有关事项通知如下：一、切实增强征信信息安全管理意识，强化征信信息安全主体责任运行机构和接入机构要清醒认识当前征信信息安全面临的严峻形势，切实增强征信信息安全管理意识。

建立健全征信信息安全管理的体制和机制，成立征信信息安全工作领导小组，明确岗位职责，强化征信信息安全主体责任，按照“分级管理、逐级负责”和“谁主管谁负责、谁使用谁负责”的原则，明确领导层中分管征信工作的负责人为第一责任人，征信系统及相关信息系统的使用人为直接责任人，并明确第一责任人、直接责任人和其他相关人员的责任分工。

二、完善征信业务操控流程，不断提高征信信息安全管理水平运行机构和接入机构要切实加强对征信各级管理人员和从业人员的全员征信合规性教育培训，围绕征信信息安全管理，通过加强征信系统用户管理、健全征信信息查询管理、优化自助查询机管理、完善征信异常查询监控机制、妥善办理异议与投诉等措施，完善征信业务操控流程，牢牢守住不发生征信信息安全风险的底线。

中国⼈民银⾏关于发布《征信机构信息安全规范》⾏业标准的通知⽂号：银发[2014]346号颁布⽇期：2014-11-17执⾏⽇期：2014-11-17时效性：现⾏有效效⼒级别：部门规章中国⼈民银⾏上海总部，各分⾏、营业管理部，各省会(⾸府)城市中⼼⽀⾏，各副省级城市中⼼⽀⾏；国家开发银⾏，各政策性银⾏、国有商业银⾏、股份制商业银⾏，中国邮政储蓄银⾏：《征信机构信息安全规范》⾏业标准已经全国⾦融标准化技术委员会审查通过，现予以发布，并就有关事项通知如下：⼀、标准的编号及名称JR／T0117-2014《征信机构信息安全规范》⼆、标准⾃发布之⽇起实施请⼈民银⾏分⽀机构将本通知转发⾄辖区内征信机构。

联系⼈及电话：谢业华，(010)66199538；曲维民，(010)66194552。

附件：征信机构信息安全规范中国⼈民银⾏2014年11⽉17⽇ICS 35．240．40A11备案号：JR中华⼈民共和国⾦融⾏业标准JR／T 0117-2014征信机构信息安全规范Specification for information security of credit information service agency2014-11-17发布 2014-11-17实施中国⼈民银⾏发布⽬次前⾔1 范围2 规范性引⽤⽂件3 术语和定义4 符号和缩略语5 征信系统概述5．1 系统标识5．2 系统定义5．3 系统描述6 总体要求7 安全管理7．1 安全管理制度7．2 安全管理机构7．3 ⼈员安全管理7．4 系统建设管理7．5 系统运维管理8 安全技术8．1 客户端安全8．2 通信⽹络安全8．3 服务器端安全9 业务运作9．1 系统接⼊9．2 系统注销9．3 ⽤户管理9．4 信息采集和处理9．5 信息加⼯9．6 信息保存9．7 信息查询9．8 异议处理9．9 信息跨境流动9．10 研究分析9．11 安全检查与评估前⾔本标准按照GB／T1．1-2009给出的规则起草。

中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见正文：---------------------------------------------------------------------------------------------------------------------------------------------------- 中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见（银发[2006]123号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各政策性银行、国有商业银行、股份制商业银行：为进一步增强银行业金融机构信息安全保障能力，保障国家经济运行安全，维护社会稳定和客户权益，现就“十一五”期间银行业金融机构信息安全保障工作提出以下指导意见：“十一五”期间，我国银行业金融机构信息安全保障工作的目标是：建立和完善与银行业金融机构信息化发展相适应的信息安全保障体系，满足银行业金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障数据安全，显著提高银行业金融机构业务持续运行保障水平。

“十一五”期间，我国银行业金融机构信息安全保障工作的主要任务是：加强组织领导，健全信息安全管理体制，建立跨部门、跨行业协调机制；加强信息安全队伍建设，落实岗位职责制，推行信息安全管理持证上岗制度；保证信息安全建设资金的投入，不断完善信息安全基础设施建设；进一步加强信息安全制度和标准规范体系建设；加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；加强安全运行监控体系建设；大力开展信息安全风险评估，实施等级保护；加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；广泛、深入开展信息安全宣传教育活动，增强全员安全意识。

中国人民银行信息安全管理相关规定(doc 19页)第一条第二条第三条第四条部门计算机安全员配合信息安全管理人员工作，并参加各项信息安全技能培训。

第五条部门计算机安全员在如下职责范围内开展工作：（一）负责本部门计算机病毒防治工作，监督检查本部门客户端安全管理情况。

（二）负责提出本部门信息安全保障需求，及时与信息安全管理人员沟通信息安全信息。

（三）负责本部门国际互联网使用和接入安全管理，组织开展本部门信息安全自查，协助科技部门完成对本部门的信息安全检查工作。

第三节技术支持人员第六条本规定所称技术支持人员，是指参与人民银行网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。

第七条人民银行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（一）不得对外泄漏或引用工作中触及的任何敏感信息。

严格权限访问，未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。

（二）主动检查和监控生产系统安全运行状况，发现安全隐患或故障及时报告本部门主管领导，并及时响应、处置。

（三）严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度，做好数据备份工作。

第八条外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺。

提供技术服务期间，严格遵守人民银行相关安全规定与操作规程，关键操作应经授权，并有人民银行内部员工在场。

不得拷贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作信息。

第四节业务系统操作人员第九条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。

第十条业务系统操作人员应承担如下安全义务：（一）严格规程操作，防止误操作。

定期修改操作密码并妥善保管，按需、适时进行必要的数据备份。

（二）发现业务系统出现异常及时报告科技部门。

（三）不得在操作终端上安装与业务系统无关的软件和硬件，不得擅自修改业务系统及其运行环境参数设置。