中国银行计算机信息安全策略纲要(试行)

发文单位：中国银行

文号：中银科[2002]38号

发布日期：2002-11-29

执行日期：2002-11-29

1.前言

随着信息技术的不断发展，金融信息安全与我国经济建设、社会安定和国家安全紧密相连。中国银行各项业务已经由传统手工处理转向高科技信息系统处理模式，信息技术已成为银行赖以发展的基础。中国银行信息系统是技术密集、资金密集、大型复杂的网络化的人机系统，其安全问题日益突出。

金融信息安全的风险来于管理层、技术层和操作层。银行信息系统所面临的主要威胁是：

（1）人为的失误：计算机技术人员及业务人员在信息系统的设计、开发、安装、使用过程中，都有机会产生人为的错误或失误。

（2）欺诈行为：来自于银行内部员工或银行外部人员，欺骗性地修改或产生信息系统的数据，盗窃银行资金，进行金融犯罪。

（3）内部人员破坏行为：由于对工作不满或其他原因，有意在程序中设置“后门”或程序炸弹，并对设备、数据、系统进行故意破坏的行为。

（4）物理资源服务丧失：设备故障或物理环境发生意外灾难（电源断电、通讯中断、水灾、火灾、地震等）而产生系统宕机事件。

（5）黑客攻击：黑客通过非法手段访问或破坏银行信息系统。

（6）商业信息泄密：部分员工利用权限之便而造成信息系统数据的外泄。

（7）病毒（恶意程序）侵袭：指编制或者在计算机程序中插入破坏计算机功能或者毁坏系统数据的计算机指令或者程序代码。

（8）程序系统自身的缺陷：程序设计开发时，对系统的安全性考虑不足，留下安全隐患，这是一种来自系统自身的威胁。

随着全行信息大中心的相继建成，数据形成了高度集中，风险也随之高度集中，因此信息安全问题所形成的现代金融风险，使传统的金融风险内涵发生了根本性变化。中国银行信息系统的安全不但涉及国家和金融业的利益，而且还涉及到广大客户的利益，任何不安全因素都可能造成信息的丢失、资金财产的损失和金融市场的混乱，甚至影响到社会的稳定。由于信息系统存在着自然或人为等诸多因素的脆弱性和潜在风险，中国银行在信息化建设过程

中应建立明确的安全策略，加强信息化管理和技术防范措施，确保信息系统的安全稳定。中国银行的信息安全化建设是保障自身业务稳定发展、稳定金融市场、增强竞争力和生存力的基础，信息安全强调社会责任、强调合法、合规经营，并对中国银行稳健发展具有战略意义。

2.安全策略

2.1总体目标及原则

中国银行信息系统安全总体目标是保护中国银行信息系统的硬件、软件、业务信息和数据、通讯网络设备等资源的安全，有效防范各类安全事故或人为有意的破坏事件，合法、合规发展我行各类信息系统，确保中国银行为社会各界提供安全高效稳定的金融服务。

实现中国银行信息系统安全总体目标应本着“安全第一、预防为主、职责明确、综合治理”的基本原则。建立信息资产所有人机制，明确信息资产所有人（业务部门）、代管人（信息科技部门）及安全管理人的权责并对信息资产进行分类。

2.2组织管理体系

组织管理体系建立的目标是建立中国银行自上而下的信息安全工作管理体系，确立安全管理组织机构的职责，统筹规划、专家决策，以推动中国银行全辖信息安全工作的开展。

组织管理机构由中国银行计算机安全工作委员会、计算机安全工作机构——（包含计算机安全专家小组、计算机安全检查机构、计算机技术保障机构）、利用计算机信息系统提供业务服务的计算机综合应用机构共同组成。

－－－－－－－－－－－－

｜计算机安全工作委员会｜

－－－－－－－－－－－－

｜

－－－－－－－－－－－－－－－

↓↓

－－－－－－－－－－－－－－

｜计算机安全工作机构｜｜计｜

－－－－－－－－－－－｜算｜

↓↓↓｜机｜

－－－－－－－－－｜综｜

｜计｜｜计｜｜计｜｜合｜

｜算｜｜算｜｜算｜｜应｜

｜机｜｜机｜｜机｜｜用｜

｜安｜｜技｜｜安｜｜机｜

｜全｜｜术｜｜全｜｜构｜

｜专｜｜保｜｜检｜－－－

｜家｜｜障｜｜查｜

｜小｜｜机｜｜机｜

｜组｜｜构｜｜构｜

－－－－－－－－－

安全管理组织架构

计算机安全工作委员会：总行主管科技的行领导及计算机信息安全相关部门（信科部、保卫部、监察室、人力资源部、稽核部、财会部、零售业务部、银行卡中心等部门）的一名总经理室成员组成，责任是贯彻落实国家和人民银行关于计算机安全工作的方针和政策；研究决定我行计算机安全的重大事项；制定我行计算机安全措施的实施策略和原则；组织开展中国银行计算机安全普及教育；研究我行计算机安全工作的重大事项；组织领导计算机安全相关部门工作。

计算机安全专家小组：由行内外金融计算机安全专家组成，在我行计算机安全工作委员会办公室的领导下，从理论上、技术上指导我行计算机安全技术体系建立，对我行目前安全体系的风险进行评估和鉴定。

计算机技术保障机构：由中国银行总行信息科技部、全辖计算机运行中心、软件开发中心人员组成，负责制定我行全辖信息安全建设规划、组织实施有效的技术措施、协调落实全辖信息安全工作的开展，实现信息系统的建设和维护支持工作。

计算机安全检查机构：由信科部、保卫部、稽核部、监察部等部门组成，在计算机安全工作委员会的领导下，监督检查我行信息系统建设过程中安全制度的执行情况，协调解决计算机安全问题。

计算机综合应用机构：由中国银行业务部门及管理部门组成，在计算机安全工作委员会的指引下，安全合规地使用信息系统，为客户提供服务。

2.3人员安全管理

人员安全管理的目标是通过设立银行安全管理制度及岗位责任制，为保证最大程度地降低信息化建设过程中由于人为失误或错误所造成的风险。

人员是银行信息系统安全的决定性因素。与信息安全相关的岗位职责分配的基本原则为：

职责分离原则：在人员岗位建立时，相关的信息系统访问的安全责任应该确定，不相容的职责应分离。接触信息系统的人员应承担与其工作性质相应的安全责任，各类人员不得从事超越自己职责以外的任何工作。

有限授权原则：任何人员对信息资源的访问权利应受到限制，应对超越职责的访问进行控制。

相互制约原则：安全环节的管理应采取相互制约原则，做到职责分明，各司其职，相互配合和制约。