金融机构信息安全管理指引

附件

省银行业金融机构信息安全管理指引（试行）

第一章总则

第一条为切实加强省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。

第二条本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。

第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统（单位）的信息安全管理，完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。

第四条各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。

第五条各银行机构信息安全管理工作的主要任务是：

（一）加强组织领导，健全信息安全管理体制,建立跨部门、

跨行业协调机制；

（二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能；

（三）保证信息安全建设资金的投入，将信息安全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设；

（四）进一步加强信息安全制度和标准规体系建设；

（五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；

（六）加强安全运行监控体系建设；

（七）大力开展信息安全风险评估，实施等级保护；

（八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；

（九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。

第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。

第二章组织机构

第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。

第八条各银行机构应设立或指定专门负责信息安全工作的部门，配备专门负责信息安全工作的人员，实行A、B岗制度。

第九条各银行机构应建立和完善统一的信息安全协调机制。应建立外部协调机制，加强信息安全的交流、沟通和协作，充分发挥纵向、横向协调的组织保障作用，有效提升信息安全保障能力。

第十条各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工，科学制定安全规划，有效组织实施安全策略。

第十一条各银行机构应建立完善的信息安全制度管理体系。

第十二条各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后，应报当地人民银行备案。

第三章人员管理

第十三条各银行机构的工作人员应根据不同的岗位或工作围，履行相应的信息安全管理职责。

第十四条各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和有关规定受到过处罚或处分的人员，不得从事此项工作。

第十五条各银行机构应加大人才培养力度，每年至少对信息安全管理人员进行一次信息安全培训，适时对工作人员进行信息安全知识培训。

第十六条各银行机构信息安全管理人员应认真履行职责：

（一）组织落实信息安全管理规定和本单位及分支机构信息安全保障工作，制定信息安全管理制度。

（二）审核信息化建设项目中的安全方案，组织实施信息安全项目建设，维护、管理信息安全专用设施。

（三）督促检查网络和信息系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处置信息安全事件。

（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。

第十七条加强对职工的信息安全教育，提高全员信息安全意识。加大专业技能培养，优化人员结构，形成梯队，重点加强数据中心高端系统运行人员技能的培养力度，不断增强自我运行操作能力与应急能力。合理配置和使用人力资源，人尽其才，合理流动，广开人才来源。

第十八条建立信息安全管理业绩评价体系，奖惩分明。

第四章机房环境和设备资产管理

第十九条本指引所称机房，是指网络与计算机设备放置、运行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。

第二十条各银行机构机房的规划、建设、改造、运行、维护和机房设施配备，应符合国家计算机机房有关标准、行业管理有关要求和部管理有关规定。

第二十一条计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统，通过技术和管理手段，确保计算机机房及配套设施安全。

第二十二条计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测。

第二十三条应建立健全计算机机房管理制度，落实专人担任机房管理员，定期巡查机房运行状况。机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。

第二十四条对计算机机房搬迁等可能影响系统正常运行的维护事项，事前需报当地人民银行备案。

第二十五条对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防。

第二十六条各银行机构应做好计算机设备的登记工作，严格设备资产管理，落实设备使用者的安全保护责任。

第二十七条各银行机构应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未授权使用设备或信息。有特殊安全要求的计算机设备，应放置在机房特殊功能区，并遵守相关安全规定。

第五章密码技术及网络安全管理

第二十八条各银行机构信息系统应根据安全需要合理运用密码技术和产品，所使用的密码技术与产品应符合国家密码管理相关规定。

第二十九条各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施，建立规的密钥管理制度。

第三十条各银行机构信息系统所使用的网络应具备可信体系架构，具备身份认证、授权管理、跟踪审计等功能。

第三十一条各银行机构信息系统所使用的网络应具备基本的