新疆维吾尔自治区农村信用合作社网上银行业务风险管理体系及规章制度

新疆维吾尔自治区农村信用合作社网上银行业务风险管理体系及规章制度
附件：
新疆维吾尔自治区农村信用合作社网上银行
业务风险管理体系及规章制度
第一章总则
第一条为加强新疆维吾尔自治区农村信用合作社(以下简称信用社)网上银行风险管理，通过建立有效的机制，实现对信用社网上银行风险的识别、监测和控制，促进网上银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。

根据银监会《电子银行安全评估指引》和《电子银行业务管理办法》的要求，制定本体系及相应规章制度。

第二条本办法适用于新疆维吾尔自治区辖内农村商业银行、农村合作银行、县市农村信用合作联社（以下统称县市联社）。

第二章网上银行业务风险管理体系及规章制度
第三条要达到落实风险管理的目的，须通过建立相应的安全管理组织架构及规章制度来进行。

此部分包括三个方面的内容：
- 1 -
1. 网上银行安全体系组织架构设计（以下简称组织架构）；
2. 网上银行安全职能/角色设计（以下简称职能/角色）；
3. 网上银行安全系统的内部控制机制
注：信用社网上银行系统由于共享农信银资金清算中心（以下简称农信银）网银系统，整个风险管理体系分为两部分：信用社网上银行风险管理体系、农信银网上银行风险管理体系。

两套风险管理体系在各自的职责范围内实行垂直管理，即下级向上级汇报的方式，两体系的中层和高层，必须保持协调沟通，形成整体的安全管理体系来保证信用社网上银行的安全。

第四条组织架构设计
- 2 -
网上银行整体安全组织架构图
事会成员，也包括农信银领导，领导小组进行协调沟通，负责信息安全管理的决策事务。

安全负责人（部门）实行双负责制，即包括农信银安全负责人和信用社信息科技管理委员会。

两者保持协调沟通，同时保证各自负责系统内职能和需双方协调的职能得到有效执行。

- 3 -
在安全管理体系中，信息安全领导小组既包括信用社理
在网银安全管理体系的各项职能中，大部份职能相互交叉，如信息安全管理职能、信息安全审计职能、行政管理职能、安全保卫职能。

交叉但不表示同一职能由两单位共同执行，只表示在各单位所负责的系统内执行相应的职能，同时，农信银的运行开发部、安全管理专员需要和信用社的科技中心和电子银行部保持有效的沟通，建立健全信息安全管理体系。

第五条信用社职能/角色设计
(一)信用社网上银行安全组织架构图
- 4 -
(二)信用社职能简介
1.理事会
(1) 批准网上银行的安全策略；
(2) 批准网上银行安全体系内各部门信息安全职责；
(3) 负责组织信息科技管理委员会；
(4) 审核信息系统安全报告，并做出相关的决定；
(5) 确保建立安全体系所必需的资源。

2.信息科技管理委员会
(1) 负责组织信息资产的风险评估，对风险评估报告进行评审，并制定相应的风险控制措施；
(2) 负责监视运营过程中信息资产所面临的威胁和脆弱点的重大变化，适时组织进行风险评估，确定信息资产的风险接受等级，对网上银行业务运营中出现的信息安全隐患及时提出控制措施；
(3) 负责评审重大信息安全违规、违纪及泄密事件，并建议处理意见；
(4) 负责网上银行安全体系的策划；
(5) 向理事会报告网上银行安全体系的运行情况和任何改进的需求;
(6) 确保网上银行安全体系所需的过程建立、实施和保持；
(7) 确保提高全体员工的信息安全意识；
(8) 批准信用社的信息安全策略和风险控制措施，可接受的风险等级及残余风险；
- 5 -
(9) 批准业务连续性计划；
(10) 批准对已证实的重大的安全违规、违纪事件及泄密事件的处理意见；
(11) 批准并组织实施内部审计计划；
(12) 与网上银行安全体系有关事宜的对外联络。

3.网上银行信息安全管理职能
(2) 负责组织网上银行安全体系文件的编制；
(3) 协助信息科技管理委员会进行信息安全体系的建设，保证网上银行安全管理体系的有效运行；
(4) 及时向信息科技管理委员会报告重大的信息安全事故；
(5) 负责计算机网络规划，制定网络安全策略并实施；
(6) 负责通信系统运行安全；
(7) 负责监视运营过程中计算机和网络所面临的威胁和脆弱点的重大变化，及时完善安全策略，保证计算机网络的安全；
(8) 负责离职员工计算机数据清理及杀毒；
(9) 负责信息安全体系内部审核工作的组织和实施；
(10) 负责制定、实施员工信息安全培训计划。

4.信息安全审计监察职能
(1) 负责网上银行整体安全审计工作;
(2) 审核各部门网上银行安全策略文件；
(3) 审核各部门网上银行安全策略执行情况；
- 6 -
(4) 审核各部门网上银行安全记录；
(5) 审核各部门网上银行安全整改情况；
(6) 负责信用社系统内各类案件、事故的立案、调查、处理工作，并做好管理、统计与分析工作。

5.行政管理职能
(1) 负责职能范围内有关信息安全管理文件的编制；
(2) 负责根据信用社有关保密规定，审查对外发布的信息，防止泄密事件的发生；
(3) 负责信用社归档文件和资料的信息安全管理工作；
(4) 负责信用社传真机对外收、发信息的安全；
(5) 负责组织员工安全意识与安全技能培训；
(6) 负责进行人员安全管理；
(7) 负责网上银行业务风险管理所涉及的法律事务工作，并负责网上银行业务知识产权的保护工作。

6.安全保卫职能
(1) 负责信用社的安全保卫工作，并制定相应的安全保卫制度；
(2) 负责信用社消防设施的建设、管理，并制定相应的防火、防盗安全管理制度；
(3) 负责向信息科技管理委员会报告重大的防火、防盗安全事件，并及时进行适当的处理;
(4) 负责门禁管理系统的运行和维护，并监督物理环境的安全；
(5) 负责电视监控及电视监控系统的维护。

发现安全隐
- 7 -
患应进行及时报告、处理；
(6) 负责安防报警系统的24小时监控和维护，一旦发生安防报警应立即处理。

7.网上银行业务安全管理职能
(2) 协助网上银行安全体系文件的编制；
(3) 协助信息科技管理委员会进行信息安全体系的建设，保证网上银行安全管理体系的有效运行；
(4) 负责网上银行业务安全的建设、管理；
(5) 及时向信息科技管理委员会报告重大的信息安全事故；
(6) 贯彻落实网上银行监管的各项规定与政策，编制各类报表并及时上报；
(7) 拟定网上银行管理、运营的各项规章制度；
(8) 配合市场营销部门提供客户服务，配合市场营销部门组织开展网上银行业务的市场调研、产品开发及产品完善工作；
(9) 落实网上银行风险管理政策及内控要求，确保网上银行业务运行的连续性和安全性。

- 8 -
（三）信用社安全角色设计
员会负责信息安全管理工作，其中一部分为网上银行安全管理。

网上银行安全管理角色分布在十一个部门，分别是审计部、纪检监察部、办公室、人力资源部、资产风险管理部、安全保卫部、电子银行部、计划财务部、会计部、信贷管理部、科技中心。

在科技中心下设臵系统安全管理员、网络安全管理员。

系统安全管理员负责网上银行系统中服务器的相关系统安全管理工作；网络安全管理员负责网上银行网络安全工作，包括交换机、防火墙、防DOS攻击设备、防病毒、漏洞扫描、链路均衡、安全预警、安全维护等工作。

电子银行部设臵安全管理员,负责网上银行业务的安全管理工作，包括网上银行内部管理系统、证书及key管理等
- 9 -
在理事会下设臵信息科技管理委员会，信息科技管理委
的日常工作、安全管理工作。

审计部设业务安全审计员，负责对科技中心、电子银行部网上银行业务进行安全审核。

在本次设计中，只涉及与网上银行安全相关的角色，其他角色本次设计不提及。

第六条农信银职能/角色设计
（一）农信银安全组织架构图
农信银资金清算中心网上银行安全组织架构主要分为三层，第一层由领导小组和安全负责人组成，领导网上银行
- 10 -
安全的战略发展方向和方针，处理和决策重大事件。

安全负责人作为监督和督促网上银行安全的角色，在重大事件上有较强的执行能力，与信息安全领导小组之间沟通，监管职能单位，保证网上银行安全运行。

第二层以职能分类，职能单位分别执行和运作管辖内的工作内容，由一位具备组织及管理能力的职能单位领导管理，并向信息安全领导小组汇报和请示工作。

第三层各工作部门落实职能单位的职责工作，执行各职能单位制定的有关网上银行运行、安全、维护等工作，遇到与规定、要求相违背的情况时，能够及时准确上报信息到职能单位。

（二）农信银职能简介
1.农信银信息安全领导小组
信息安全领导小组由农信银主任、科技分管副主任、科技中心负责人、信息资产的相关部门主要负责人、信息系统安全专家组成。

农信银主任为信息安全领导小组组长，实行组长负责制。

在信息安全领导小组下设臵处理信息安全领导小组办公室，科技分管副主任即信息安全负责人任办公室主任，负责信息安全领导小组的日常事务处理，办公室成员包括运行开发部负责人、信息资产等相关部门主要负责人。

信息安全领导小组职责如下：
(1) 负责网上银行安全体系的策划，批准网上银行的安全策略；
(2) 批准分配网上银行安全体系内各部门信息安全职
- 11 -
责；
(3) 制定与信息系统安全有关的长远规划;
(4) 确保建立安全体系所必需的资源;
(5) 制定与信息系统安全有关的长远规划；
(6) 关注信息资产重大威胁的出现及变化；
(7) 确认信息系统风险评估的结果；
(8) 关注紧急或重大信息系统安全事件并批准相关措施的启用；
(9) 审定并批准公布中心级信息系统安全规章制度；
(10) 审批与信息系统安全管理有关的其他重要决定；
(11) 定期向中心董事会汇报信息系统安全工作情况；
(12) 审核批准安全年报、安全教育培训计划；
(13) 审核全中心信息系统安全报告，并做出相关决定；
(14) 决定信息系统是否要采取安全措施或增加安全措施；
(15) 签发信息系统和信息的安全等级；
(16) 负责评审重大信息安全违规、违纪及泄密事件，并建议处理意见；
(17) 仲裁全中心级信息系统安全事故的责任；
(18) 与各成员行安全领导小组之间的协作。

2.农信银安全负责人
信息安全负责人由科技分管副主任承担，其直接领导为信息安全领导小组组长，即农信银主任，其下为运行开发部负责人，各信息资产责任人、安全管理专员、安全审计员、
安全保卫员。

信息安全负责人主要职责为：
(1) 确保网上银行安全体系建立、实施和保持；
(2) 确保在农信银提高全体员工的信息安全意识；
(3) 批准农信银的信息安全策略和风险控制措施，可接受的风险等级及残余风险；
(4) 批准业务连续性计划；
(5) 批准对已证实的重大的安全违规、违纪事件及泄密事件的处理意见；
(6) 批准并组织实施内部审计计划；
(7) 落实信息系统安全方面的职责和角色；
(8) 根据国家信息系统安全的有关法律、法规、制度和规范及农信银信息系统安全策略，结合实际，制定、落实信息系统安全方面的规章制度、实施细则、安全目标岗位责任制；
(9) 批准实施信息系统安全的具体过程和方法；
(10) 确定并向上级信息系统安全领导机构提交信息系统安全方面的提议；
(11) 向主任报告信息安全管理体系的业绩和任何改进的需求；
(12) 评估新系统或服务的安全性并监督实施；
(13) 审查信息系统安全事故；
(14) 推动本机构信息系统安全的各项工作；
(15) 通过与外部其它组织间的安全协作，监督、检查、指导内部信息系统安全保护工作；
(16) 通过与执法机关、监管机构等的合作，协助查处危害内部信息系统安全的违法犯罪案件；
- 13 -
(17) 与当地执法机关、管理机关、信息服务商和电信运营商保持适当联系，确保在发生安全事故时能够得到及时响应及必要帮助；
(18) 参加组织间信息系统安全方面的技术交流；
(19) 与各成员行之间的协作；
(20) 与网上银行安全体系有关事宜的对外联络；
(21) 与外部其它组织间的安全协作。

3.农信银网上银行信息安全管理职能
信息安全管理职能由安全管理专员承担，其直接领导为信息安全负责人。

安全管理专员必须为专职人员，不能兼任。

其主要职责如下：
(1) 负责宣传和贯彻信息安全策略；
(2) 负责组织网上银行安全体系文件的编制；
(3) 协助安全负责人进行信息安全体系的建设，保证网上银行安全管理体系的有效运行；
(4) 及时向信息安全负责人报告重大信息安全事故；
(5) 负责监视运营过程中计算机和网络所面临的威胁和脆弱点的重大变化，及时完善安全策略，保证计算机网络的安全；
(6) 负责离职员工计算机数据清理及杀毒；
(7) 向安全负责人报告网上银行安全体系的运行情况和任何改进需求；
(8) 负责监视运营过程中信息资产所面临的威胁和脆弱点的重大变化，适时组织进行风险评估，确定信息资产的风险接受等级，对网上银行业务运营中出现的信息安
全隐患及时提出控制措施；
(9) 负责制定、实施员工信息安全培训计划；
(10) 掌握最新的病毒情况，及时撰写解决方案并进行安全预警；
(11) 掌握最新的安全漏洞情况，及时撰写解决方案并进行安全预警。

4.农信银信息安全操作安全职能
信息安全操作安全职能是指防控在信息系统的规划、建设、运行、升级、废弃过程中出现安全问题。

由安全管理专员提出相应安全要求，分别由系统管理员、网络管理员、开发人员及运行维护人员完成的安全职能。

此部分职能由运行开发部承担。

其职能如下：
(1) 监测系统安全状况。

通过网络管理系统、IPS等手段，监测网络的安全运行状况，并进行记录，如发现异常，及时向安全管理专员反馈。

此部门职能由运行维护人员完成；
(2) 负责防火墙、IPS、防病毒系统、证书系统等安全设备、软件的安装、调试、维护工作。

此部分职能由网络管理员承担；
(3) 根据网络风险评估结果，与安全服务商、供应商一同进行网络安全加固、网络安全风险规避。

具体为：路由器、交换机访问控制列表规划与设臵，路由器、交换机补丁安装，路由器、交换机用户与口令管理，路由器、交换机版本升级；防火墙安全策略设臵，防火墙用户与口令管理，防火墙补丁安装，防火墙版本升级；其它网
- 15 -
络设备、网络安全设备安全策略设臵、版本升级、补丁安装、用户与口令管理。

此部分职能由网络管理员承担；
(4) 根据系统风险评估结果，进行系统安全加固、系统安全风险规避。

具体为：系统安全策略设臵、版本升级、补丁下载与安装、用户与口令策略管理、安全服务管理。

此部分职能由系统管理员承担；
(5) 将安全需求在开发的应用系统中实现。

此部分功能由开发人员完成；
(6) 协助安全管理专员处理网络攻击事件。

由网络管理员、系统管理员共同承担。

5.农信银信息安全审计职能
(1) 负责网上银行整体安全审计工作;
(2) 审核各个部门网上银行安全策略文件；
(3) 审核各个部门网上银行安全策略执行情况；
(4) 审核各个部门网上银行安全记录；
(5) 审核各个部门网上银行安全整改情况。

6.农信银行政管理职能
(1) 负责职能范围内有关信息安全管理文件的编制；
(2) 负责根据农信银有关保密规定，审查对外发布的信息，防止泄密事件的发生；
(3) 负责农信银归档文件和资料的信息安全管理工作；
(4) 负责农信银传真机对外收、发信息的安全；
(5) 负责组织员工安全意识与安全技能培训；
(6) 负责进行人员安全管理。

- 16 -
7.农信银安全保卫职能
(1) 负责农信银的安全保卫工作，并制定相应的安全保卫制度；
(2) 负责农信银消防设施的建设、管理，并制定相应的防火、防盗安全管理制度；
(3) 负责向信息安全负责人报告重大的防火、防盗安全事件，并及时进行适当的处理；
(4) 负责门禁管理系统的运行和维护，并监督物理环境的安全；
(5) 负责电视监控及电视监控系统的维护。

发现安全隐患应进行及时报告、处理；
(6) 负责安防报警系统的24小时监控和维护，一旦发生安防报警应立即处理。

- 17 -
（三）农信银安全角色设计
信息安全领导小组下设安全负责人，安全负责人负责农信银安全管理工作，其中一部分为网上银行安全管理。

网上银行安全管理角色分布在五个部门，分别是安全管理专员、运行开发部、监事会办公室、人力资源部、综合管理部。

在安全管理专员下根据需要临时确定安全检查员；在运行开发部下设臵操作员；监事会办公室下设臵安全审计员；在综合管理部下设臵安全保卫及经理。

安全管理专员：设立专职岗位，职责独立，定期对信息
- 18 -
系统安全的符合性进行检查，提交检查报告，汇总安全事件响应报告，提出安全建设规划和改进意见以及对违反安全规定的人员处理意见等；
安全检查员：由安全管理专员根据需要临时确定，根据安全管理专员编制的检查项目，负责常规或专业技术领域的检查；
运行开发部操作员：是指信息系统的使用、维护人员，在执行自身的工作中，履行安全规定，报告异常情况，不得超越自身的操作权限；负责网上银行系统中服务器、网络设备和安全设备以及其它设备的相关系统安全管理工作；负责网上银行网络安全工作，包括服务器、交换机、防火墙、防DOS攻击设备、防病毒、漏洞扫描、链路均衡、安全预警、安全维护等工作。

监事会办公室下设安全审计员：专职，在信息资产责任人的授权下，对信息系统的安全进行定期的独立性检查。

负责对运行开发部网上银行业务系统管理进行安全审核。

另有信息资产责任人一职位，根据信息系统总体职责，通过上级部门授权分级落实信息资产责任人，信息资产责任人为最小单位，部门负责人为信息资产责任人，在各部门中均有涉及。

信息资产责任人对所担负的信息资产的安全负主要责任。

- 19 -
第七条网上银行安全系统的内部控制机制
（一）内部控制环境
内部控制环境是网上银行内部控制体系运行的基础和土壤，是推动网上银行安全运行，健康发展的引擎，是内部控制体系的关键所在。

信用社网上银行内部控制环境主要包括网上银行安全体系的组织架构及其职能、内部控制政策和程序。

网上银行安全体系组织架构的设臵是把实现风险控制目标所需要的工作进行分解，并根据专业化分工、有效协调和精简节约的原则进行机构与部门的设计，以规范网上银行风险管理工作及其相互间的关系。

- 20 -
（二）安全体系和技术
1.网络及安全设备拓扑图
- 21 -
2.网络及安全设备的布署策略
网银WEB服务器和外部因特网间采用防火墙进行隔离，网银WEB访问只能访问位于DMZ 停火区的服务，并在该防火墙上只接受443端口的HTTPS的访问；所有的HTTPS访问由SSL安全网关认证客户身份，并建立SSL安全通道，实现通讯安全，SSL安全网关双臂链接，确保外部密文，内部才有明文；SSL安全网关将解密的请求提交给IPS入侵防御服务器，检测各类攻击，阻断恶意的通信，IPS入侵防御双臂链接。

2.1 防火墙（1）
只允许外部端口443（即https）访问WEB服务器，其它访问一律拒绝；只允许内部RA服务器对CFCA的访问，拒绝其它内部服务器对外部机器的访问。

2.2 SSL安全网关
所有的https访问由SSL安全网关认证客户身份，并建立SSL安全通道，实现通讯安全。

2.3 IPS入侵防御（1）
SSL安全网关将解密的请求提交给IPS入侵防御服务器，检测各类攻击，自动阻断恶意的通信。

2.4 防火墙（2）
允许WEB服务器对网银应用服务器的访问，允许内部RA服务器对CFCA的访问，除此以外的访问一律拒绝。

2.5 IPS入侵防御（2）
检测来自信用社端的各类攻击，自动阻断恶意的通信。

2.6 防火墙（3）
允许北京农信银端的网银应用服务器对新疆农村信用
- 22 -
社端的网银前臵服务器的访问，拒绝其它访问。

2.7 防火墙（4）
该防火墙在新疆农村信用社端，允许北京农信银端的网银应用服务器对新疆农村信用社端的网银前臵服务器的访问，拒绝其它访问。

3.整体安全策略
因特外网和DMZ区接入互联网，直接面对各种攻击，对系统安全性要求较高，因此在设计系统方案的时候，充分的考虑了系统对安全方面的特殊要求，在网络、硬件、系统、应用、数据等五个层面考虑了详细的安全措施：
3.1 网络安全
（1）网银WEB服务器和外部因特网间采用防火墙进行隔离，网银WEB访问只能访问位于DMZ停火区的服务，并在该防火墙上只接受443端口的HTTPS的访问。

（2）所有的HTTPS访问由SSL安全网关认证客户身份，并建立SSL安全通道，实现通讯安全。

SSL安全网关双臂链接，确保外部密文，内部才有明文。

（3）SSL安全网关将解密的请求提交给IPS入侵防御服务器，检测各类攻击，阻断恶意的通信。

IPS入侵防御双臂链接。

3.2 硬件安全
（1）本系统中配臵的所有计算机系统均采用当前成熟的计算机安全方案，满足C2级安全标准。

（2）平台设备的配臵应考虑设备运行的安全稳定，系统达到最大容量时，平台所有设备能安全稳定运行。

- 23 -
（3）核心硬件均考虑了双电源设计方案。

3.3 系统安全
（1）本此配臵的系统中均采用unix或linux操作系统，具有较高的安全性，同时在实施中将严格按照当前最新的补丁进行加载，并在后续维护中及时更新系统安全补丁，以保证系统的安全性。

（2）在系统实施中，通过启用日志功能和安全审计功能，及时对系统进行安全审计，保证系统的安全性
3.4 应用安全
（1）系统在数据传输、处理等过程中提供数据检验，核对功能和纠错功能，以保证应用系统的正常运行。

（2）主机操作系统定期进行自动备份。

（3）通过系统软件功能，系统管理用户可以方便地对系统数据进行维护，清理过期的和挤压的数据或文件。

（4）系统具有提供分权分级管理功能，只有系统管理员可以使用超级用户登录。

3.5 数据安全
数据传输采用SSL安全通道包括保证数据传输过程中不被侦听、不被篡改、插入等。

4．业务安全策略。