金融机构信息安全管理指引
金融业机构信息管理规定
金融业机构信息管理规定金融业机构信息管理规定为了规范金融业机构的信息管理行为,保护客户信息的安全和隐私,提升金融业机构的信息管理水平,特制定本规定。
一、信息分类与保护措施1. 个人信息和机构信息应分别进行分类管理,确保不同等级的信息被妥善保护。
2. 个人信息应以匿名方式使用,并采取授权访问和加密技术进行保护。
3. 机构信息应根据敏感程度制定相应的保护措施,包括但不限于设立访问权限、限制数据传输和备份等方式。
二、信息收集与使用1. 金融业机构应依法收集、使用客户信息,并明确将其用途告知客户。
2. 金融业机构不得将客户信息用于任何非法、未经授权、与业务无关的用途。
3. 金融业机构应建立完善的信息收集和使用记录,并定期进行审核和评估。
三、信息存储与保密1. 金融业机构应采取相应的技术措施保护客户信息的存储安全,确保其不被非法获取或篡改。
2. 金融业机构应定期备份客户信息,并确保备份数据的安全和可用性。
3. 金融业机构应设立专门的信息安全管理部门,负责信息安全保护工作,并定期组织相关人员进行培训和考核。
四、信息共享与合作1. 金融业机构在信息共享和合作时应遵守法律法规的要求,确保信息安全和隐私保护。
2. 金融业机构应与合作方签署信息共享和保密协议,明确责任和义务。
3. 金融业机构不得泄露客户信息给未经授权的第三方,且应对第三方使用客户信息的行为进行监督和检查。
五、信息安全事件处置1. 金融业机构应设立信息安全事件应急预案,并及时处置因信息安全事件导致的损失和影响。
2. 金融业机构应采取措施保护客户信息安全,防止信息被恶意程序、黑客等攻击。
3. 金融业机构应及时通知客户和相关部门,采取有效措施修复信息安全漏洞,并配合相关部门进行调查和处理。
六、责任和监督1. 金融业机构的信息管理责任由董事会、高级管理人员和信息管理部门共同负责。
2. 金融监管部门应加强对金融业机构信息管理的监督和检查,确保金融机构履行信息管理的法律法规和规范要求。
银行业金融机构信息系统风险管理指引
银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引是由中国人民银行出台的金融机构信息系统风险管理的指导性文件,旨在为银行业和其他金融机构提供风险管理指导。
该指引概括了银行业金融机构信息系统风险管理的原则、方法和要求,以帮助金融机构更好地管理信息系统风险。
一、原则银行业金融机构信息系统风险管理要求,金融机构必须坚持“安全第一、合规第一”的原则,以安全、可靠、高效的信息系统实现信息安全管理,促进信息安全和服务质量的持续改进。
二、方法(1)金融机构要建立健全信息系统风险管理体系,明确信息系统风险管理职责,建立相应的管理机制,增强信息系统风险意识,完善风险监测和评估体系,加强风险处置能力。
(2)金融机构要建立完善的信息系统安全防护体系,实施和完善信息系统安全防护措施,加强应用系统的安全管理,健全应用系统安全防护策略,并定期进行安全测试和审计,确保信息系统能够正常运行。
(3)金融机构要建立完善的信息系统维护体系,健全信息系统运维政策和流程,完善信息系统管理制度,提高信息系统管理水平,加强信息系统运维监控,保障信息系统正常运行。
三、要求(1)金融机构要结合自身实际,制定信息系统风险管理规范和措施,健全信息系统风险管理框架,细化信息系统风险管理流程,实施信息系统风险管理政策,加强信息系统风险管理,保障信息系统安全运行。
(2)金融机构要定期开展信息系统风险管理考核,积极推进信息系统风险管理持续改进,不断提高信息系统风险管理水平,保障信息系统正常运行。
(3)金融机构要实施信息系统风险管理责任制,将信息系统风险管理纳入内部管理制度,严格执行信息系统风险控制要求,保障信息系统风险管理的有效实施。
以上就是银行业金融机构信息系统风险管理指引的详细说明,通过坚持“安全第一、合规第一”的原则,建立健全信息系统风险管理体系,实施和完善信息系统安全防护措施,建立完善的信息系统维护体系,实施信息系统风险管理责任制,金融机构可以更好的管理信息系统风险,进而保障信息安全和服务质量的持续改进。
金融机构信息安全管理指引
附件省银行业金融机构信息安全管理指引(试行)第一章总则第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。
第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。
第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。
各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。
第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。
第五条各银行机构信息安全管理工作的主要任务是:(一)加强组织领导,健全信息安全管理体制,建立跨部门、跨行业协调机制;(二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能;(三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设;(四)进一步加强信息安全制度和标准规体系建设;(五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;(六)加强安全运行监控体系建设;(七)大力开展信息安全风险评估,实施等级保护;(八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;(九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。
第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。
金融业基本信息安全制度
一、引言随着金融科技的快速发展,金融业已成为我国国民经济的重要支柱。
金融业在为社会提供便捷、高效服务的同时,也面临着日益严峻的信息安全风险。
为确保金融业基本信息安全,保障金融稳定,维护国家金融安全,制定本制度。
二、制度目标1. 建立健全金融业基本信息安全管理体系,提高信息安全防护能力。
2. 保障客户信息、交易信息等金融信息安全,防止信息泄露、篡改、损坏。
3. 防范和打击金融违法犯罪活动,维护金融秩序。
4. 促进金融业健康发展,提升我国金融国际竞争力。
三、制度内容1. 组织架构(1)成立金融业基本信息安全工作领导小组,负责统筹协调、监督指导金融业基本信息安全工作。
(2)设立信息安全管理部门,负责具体实施信息安全管理工作。
2. 信息安全政策(1)制定信息安全战略,明确信息安全目标、原则和方针。
(2)制定信息安全管理制度,包括信息安全组织、信息安全技术、信息安全风险评估、信息安全事件处理等。
3. 信息安全风险管理(1)建立健全信息安全风险评估体系,定期对信息系统、业务流程等进行风险评估。
(2)针对风险评估结果,制定相应的信息安全防护措施,确保信息系统安全稳定运行。
4. 信息安全技术保障(1)采用国际先进的信息安全技术,包括密码技术、网络安全技术、数据安全技术等。
(2)加强信息系统安全防护,包括物理安全、网络安全、应用安全、数据安全等。
5. 信息安全培训与宣传(1)定期组织信息安全培训,提高员工信息安全意识。
(2)开展信息安全宣传活动,普及信息安全知识,提高公众信息安全意识。
6. 信息安全事件处理(1)建立健全信息安全事件报告、调查、处理和报告制度。
(2)对发生的信息安全事件进行及时、有效的调查和处理,防止事态扩大。
7. 客户信息保护(1)严格遵守国家法律法规,确保客户信息安全。
(2)建立客户信息管理制度,对客户信息进行分类、分级管理。
(3)加强客户信息保密,防止客户信息泄露、篡改、损坏。
8. 交易信息保护(1)确保交易信息真实、准确、完整。
金融机构的信息安全保护活动方案
金融机构的信息安全保护活动方案随着信息技术的不断发展和金融行业的迅速进步,金融机构的信息安全保护活动愈发重要。
信息安全保护活动不仅关乎金融机构的发展和稳定运营,更关乎客户的个人隐私和资产安全。
因此,金融机构需制定全面有效的信息安全保护方案,以保障其信息安全。
本文将探讨金融机构的信息安全保护活动方案,并提出相关建议。
一、保护客户信息金融机构作为客户的金融服务提供者,承载着巨大的客户信息责任。
为保护客户信息安全,金融机构应采取以下措施:1. 建立完善的信息安全管理体系:金融机构需将信息安全管理纳入组织架构,并明确定义各级责任人。
同时,制定信息保护政策和流程,确保各环节的合规运作。
2. 强化数据保护措施:金融机构需采用可靠的数据加密技术,对客户敏感信息进行加密存储和传输。
同时,加强对数据库的访问控制,并建立审计机制,及时发现和处理数据异常。
3. 提升员工安全意识:金融机构应定期开展信息安全培训,并加强员工的安全意识教育。
通过了解信息安全风险和保护措施,员工能够更好地保护客户信息,防范社会工程学攻击等安全威胁。
二、防范网络攻击随着金融业务的数字化和网络化,金融机构面临各类网络攻击的风险。
为降低网络攻击风险,金融机构应采取以下措施:1. 构建多层次的网络安全防护体系:金融机构应加强对网络边界的防范,设置防火墙、入侵检测系统等技术措施。
同时,建立内外联动的安全监控系统,及时发现并应对网络攻击事件。
2. 加强对网络设备的管理和维护:金融机构应定期更新和修复网络设备的漏洞,及时更新系统和应用程序补丁。
同时,规范对网络设备的访问控制,禁止未经授权的外部访问。
3. 实施安全审计和漏洞扫描:金融机构应定期进行安全审计和漏洞扫描,发现潜在的网络安全风险,并及时修复漏洞,提升网络防护能力。
三、加强身份验证与访问控制为防止未授权人员或恶意攻击者获取敏感信息,金融机构应加强身份验证和访问控制管理:1. 应用多因素身份认证技术:金融机构应推广使用多因素身份认证技术,如指纹识别、声纹识别和动态口令等,提高身份验证的准确性。
金融机构信息安全管理规章制度细则
金融机构信息安全管理规章制度细则随着信息技术的迅猛发展,金融机构在信息化建设中起到至关重要的作用。
然而,随之而来的挑战是信息安全的威胁和风险也在不断增加。
为了保障金融机构的信息安全,制定和执行一套严格的信息安全管理规章制度尤为重要。
本文将详细阐述金融机构信息安全管理规章制度的细则。
首先,金融机构应制定一套完备的信息安全管理制度,确保其信息资产的安全性、保密性和可用性。
这些制度应涵盖以下几个方面。
首个方面是组织结构与职责。
金融机构应明确设立信息安全部门,并明确其职责和权限。
此外,相关部门的领导和员工也应明确其在信息安全管理中的责任和义务。
通过设立专门的部门和明确职责,可以确保信息安全工作的定责和落实。
其次,金融机构应确保安全政策的制定和执行。
安全政策应涵盖信息资产的分类、信息安全目标、安全控制措施等内容。
为了保证政策的有效执行,金融机构应制定相关培训计划,使员工了解和遵守安全政策。
第三个方面是风险管理与评估。
金融机构应建立风险评估与管理机制,对信息安全风险进行全面评估,并采取有效的措施予以管理。
这包括对风险的识别、评估和处理,以及建立应急响应机制和灾难恢复计划。
另外,金融机构应加强对内、外部人员的安全管理。
对于内部员工,应实施严格的权限控制和访问控制,确保只有授权人员能够访问敏感信息。
同时,还应制定合理的离岗制度和远程工作安全规定,加强对员工的信息安全教育和培训。
对于外部人员,金融机构应建立合作伙伴安全管理制度,保护与外部合作伙伴的信息交换安全。
此外,金融机构还应加强网络和系统安全管理。
这包括建立安全防范体系,包括防火墙、入侵检测系统、网络安全监控等。
同时,金融机构还应制定密码管理规定,加强系统和网络设备的安全配置和维护。
最后,金融机构应建立安全事件的监测和报告机制。
通过建立安全事件的监测系统,金融机构能够及时察觉安全事件的发生,并采取相应的措施。
同时,还应建立安全事件的报告制度,明确安全事件的报告和处理流程。
金融信息安全管理制度
一、总则为保障金融信息的安全,维护金融秩序,防范金融风险,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》等相关法律法规,结合本机构实际情况,制定本制度。
二、适用范围本制度适用于本机构所有涉及金融信息处理的业务系统、网络设备、存储设备、办公设备等,以及所有参与金融信息处理的工作人员。
三、管理原则1. 安全第一:确保金融信息安全,将安全贯穿于金融信息处理的各个环节。
2. 预防为主:采取技术和管理措施,预防金融信息泄露、篡改、破坏等安全事件的发生。
3. 规范管理:建立健全金融信息安全管理制度,明确职责分工,规范操作流程。
4. 及时响应:对金融信息安全事件进行及时响应和处理,减少损失。
四、组织架构1. 成立金融信息安全领导小组,负责制定、实施和监督金融信息安全管理制度。
2. 设立金融信息安全管理部门,负责日常金融信息安全管理工作。
3. 各部门、各岗位明确金融信息安全职责,确保制度落实。
五、职责分工1. 金融信息安全领导小组:(1)制定金融信息安全管理制度,组织培训和考核。
(2)监督、检查各部门金融信息安全管理工作。
(3)协调处理金融信息安全事件。
2. 金融信息安全管理部门:(1)负责金融信息安全管理制度的具体实施。
(2)对各部门、各岗位的金融信息安全工作进行监督、检查。
(3)组织开展金融信息安全培训和考核。
3. 各部门、各岗位:(1)严格执行金融信息安全管理制度。
(2)落实金融信息安全责任,确保金融信息安全。
六、金融信息安全措施1. 网络安全:采用防火墙、入侵检测、漏洞扫描等安全措施,确保网络安全。
2. 数据安全:对金融信息进行加密存储、传输,防止数据泄露、篡改。
3. 身份认证:实施严格的身份认证制度,确保只有授权人员才能访问金融信息。
4. 安全审计:对金融信息处理过程进行安全审计,及时发现和处理安全事件。
5. 安全培训:定期组织员工进行金融信息安全培训,提高安全意识。
七、金融信息安全事件处理1. 事件报告:发现金融信息安全事件时,立即向金融信息安全管理部门报告。
银行业金融机构信息系统风险管理指引
银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条银行业金融机构应认真履行下列信息系统管理职责:(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;(六)做好本机构信息系统审计工作;(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;(九)开展与信息系统风险管理相关的其他工作。
(风险管理)银行业金融机构信息系统风险管理指引
银行业金融机构信息系统风险管理指引第一章总则第一条为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我国银行业安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、国家信息安全相关要求和信息系统管理的有关法律法规,制定本指引。
第二条本指引适用于银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村合作银行、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司、汽车金融公司以及经中国银行业监督管理委员会(以下简称银监会)及其派出机构批准设立的其他金融机构,适用本指引规定。
第三条本指引所称信息系统,是指银行业金融机构运用现代信息、通信技术集成的处理业务、经营管理和内部控制的系统。
第四条本指引所称信息系统风险,是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。
第五条信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力。
第二章机构职责第六条银行业金融机构应建立有效的信息系统风险管理架构,完善内部组织结构和工作机制,防范和控制信息系统风险。
第七条银行业金融机构应认真履行下列信息系统管理职责:(一)贯彻执行国家有关信息系统管理的法律、法规和技术标准,落实银监会相关监管要求;(二)建立有效的信息安全保障体系和内部控制规程,明确信息系统风险管理岗位责任制度,并监督落实;(三)负责组织对本机构信息系统风险进行检查、评估、分析,及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息;(四)及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件,并按有关预案快速响应;(五)每年经董事会或其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告;(六)做好本机构信息系统审计工作;(七)配合银监会及其派出机构做好信息系统风险监督检查工作,并按照监管意见进行整改;(八)组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训;(九)开展与信息系统风险管理相关的其他工作。
金融信息安全管理制度
金融信息安全管理制度随着金融科技的快速发展和普及应用,金融信息安全问题变得日益重要。
金融机构是各种金融活动的主要承担者,其信息安全面临着越来越多的挑战,包括数据泄露、网络攻击、黑客入侵等。
为了保护金融机构和客户的利益,建立科学有效的金融信息安全管理制度势在必行。
金融信息安全管理制度是指金融机构为确保金融信息的保密性、完整性和可用性,采取的一系列规章制度和控制措施。
有效的金融信息安全管理制度能够帮助机构识别和评估风险,制定有效的安全策略,采取相应的技术和管理措施,保护信息资产和数据的安全。
首先,在金融信息安全管理制度中,机构需要设立一个专门的安全管理部门,负责信息安全的规划、组织、实施和监督,确保信息安全工作的顺利进行。
这个部门的职责包括对整个机构的信息系统进行安全评估,制定信息安全政策和制度,定期开展安全培训和演练,及时发现和处理安全事件。
其次,金融信息安全管理制度需要制定完善的权限管理制度。
这包括对不同人员的权限进行明确划分,确保每个人员在系统中的访问权限与其实际工作需求相符。
同时,还需要建立审计机制,定期对权限进行审计,发现并纠正非法操作和异常行为。
只有通过严格的权限管理和审计,才能有效防止信息泄露和滥用。
此外,机构还需要建立健全的网络安全控制制度。
这包括对网络的拓扑结构进行规范,将重要的系统和数据进行隔离,以减小一旦遭受攻击的影响范围。
同时,机构还需要建立有效的防火墙、入侵检测和防病毒系统,及时发现并阻止网络攻击和恶意软件的入侵。
除了技术措施外,金融信息安全管理制度中还需要加强员工的安全意识培训。
员工是信息系统的最终用户和操作者,他们的安全意识和行为对整个系统的安全性至关重要。
因此,机构需要定期开展安全教育和培训,提高员工对信息安全风险和应对措施的认识,确保员工能够正确使用系统,并且能够识别和报告安全事件。
最后,在金融信息安全管理制度中,还应该加强对第三方合作伙伴的信息安全管理。
金融机构的业务活动通常涉及到与其他机构和个人的合作,这些合作伙伴可能成为信息泄露和攻击的入口。
金融行业信息(内网)安全管理规定(参考)
金融行业信息(内网)安全管理规定ViaControl信息安全管理规定(参考)第一章总则第一条为了强化XX银行的信息安全管理,防范计算机信息技术风险,保障我行的电子文档安全,保障员工规范利用公司网络资源,保障网络及终端的软硬件资产安全,提高网络系统维护的响应能力和速度,保障公司计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定,结合本公司的实际,特制定本规定。
第二条本规定所称信息安全管理,是指在XX银行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。
第三条XX银行信息安全管理工作实行统一领导和分级管理。
总行统一领导分支机构和直属企事业单位的信息安全管理,负责总行机关的信息安全管理。
分支机构负责本单位和辖内的信息安全管理,各直属企事业单位负责本单位的信息安全管理.第四条XX银行信息安全管理实行分管领导负责制,按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实单位与个人信息安全责任制。
第五条本规定适用于XX银行总行机关、各分支机构和直属企事业单位(以下统称“各单位”)。
所有使用XX银行网络或信息资源的其他外部机构和个人均应遵守本规定.第六条信息安全管理制度辅助实施工具采用上海互普信息技术有限公司生产的ViaControl威盾网络保安系统。
第七条任何单位和个人不得以任何理由逃避该安全制度的管理,不得利用联网计算机从事危害本地局域网服务器、工作站的活动,不得危害或侵入未授权的(包括CERNET或其它互联网在内的)服务器、工作站。
不得从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息网络系统的全面安全。
第八条ViaControl控制台权限划分:(参考)第九条项目参与人员:(1)安全委员会(2)总经理层(3)网管中心(4)相关部门经理第二章组织保障第十条各单位应设立由本单位领导和相关部门主要负责人组成的计算机安全工作领导小组,办公室设在本单位科技部门,负责协调本单位及辖内信息安全管理工作,决策本单位及辖内信息安全重大事宜。
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知
中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知文章属性•【制定机关】中国银行保险监督管理委员会•【公布日期】2018.05.21•【文号】银保监发〔2018〕22号•【施行日期】2018.05.21•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】银行业监督管理正文中国银行保险监督管理委员会关于印发银行业金融机构数据治理指引的通知银保监发〔2018〕22号各银监局,机关各部门,各政策性银行、大型银行、股份制银行,邮储银行,外资银行,金融资产管理公司,其他会管金融机构:现将《银行业金融机构数据治理指引》印发给你们,请遵照执行。
2018年5月21日银行业金融机构数据治理指引第一章总则第一条为指导银行业金融机构加强数据治理,提高数据质量,发挥数据价值,提升经营管理能力,根据《中华人民共和国银行业监督管理法》等法律法规,制定本指引。
第二条本指引适用于中华人民共和国境内经银行业监督管理机构批准设立的银行业金融机构。
本指引所称银行业金融机构,是指在中华人民共和国境内设立的商业银行、农村信用合作社等吸收公众存款的金融机构、政策性银行以及国家开发银行。
第三条数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。
第四条银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。
第五条银行业金融机构数据治理应当遵循以下基本原则:(一)全覆盖原则。
数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。
(二)匹配性原则。
数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。
(三)持续性原则。
数据治理应当持续开展,建立长效机制。
金融机构客户信息安全管理策略
金融机构客户信息安全管理策略金融机构客户信息安全管理策略一、金融机构客户信息安全的重要性在当今数字化时代,金融机构客户信息安全的重要性愈发凸显。
随着金融业务与信息技术的深度融合,大量客户的个人身份、财务状况、交易记录等敏感信息被金融机构收集、存储和处理。
这些信息不仅关系到客户的隐私权益,更是金融机构开展业务的核心资产。
1.1 保护客户隐私权益客户在金融机构办理业务时,不得不提供各种个人信息,如姓名、身份证号、联系方式、银行账号等。
这些信息一旦泄露,可能会被不法分子用于、冒名顶替等非法活动,给客户带来直接的经济损失和精神困扰。
例如,客户的银行卡信息泄露可能导致账户资金被盗刷,个人隐私信息被公开可能会遭受骚扰电话、垃圾邮件等侵扰。
1.2 维护金融机构声誉和信任金融机构的声誉是其在市场竞争中的重要资本。
一旦发生客户信息安全事件,客户对金融机构的信任将受到严重打击。
负面消息可能迅速传播,引发公众对金融机构的质疑,导致客户流失,进而影响金融机构的业务发展和市场份额。
例如,某些知名金融机构曾因客户信息泄露事件,遭受巨额罚款,客户纷纷转投其他机构,其品牌形象也受到长期损害。
1.3 符合法律法规要求各国政府和监管机构对金融机构客户信息安全都有严格的法律法规要求。
金融机构必须遵守相关法律法规,否则将面临严厉的法律制裁。
例如,欧盟的《通用数据保护条例》(GDPR)对数据保护提出了高标准的要求,规定企业在处理个人数据时需遵循一系列原则,包括数据最小化、合法性、透明性等,违反规定的企业可能面临高额罚款。
1.4 防范金融风险客户信息安全与金融风险紧密相连。
如果客户信息被恶意篡改或滥用,可能导致金融交易风险增加,如虚假交易、洗钱等非法活动。
这些风险不仅会给金融机构自身带来损失,还可能引发系统性金融风险,影响整个金融体系的稳定。
例如,不法分子利用窃取的客户信息进行洗钱活动,可能干扰正常的金融秩序,威胁国家金融安全。
二、金融机构客户信息安全面临的挑战2.1 网络攻击日益复杂随着网络技术的发展,黑客攻击手段不断升级。
金融病金融机构的信息安全管理
金融病金融机构的信息安全管理金融机构的信息安全管理一直备受关注,信息安全对金融行业尤为重要。
随着金融科技的快速发展,金融机构面临着越来越严峻的信息安全挑战。
本文将就金融机构的信息安全管理进行讨论,分析当前面临的问题以及应对之策。
首先,金融机构的信息安全管理存在的问题主要包括以下几个方面:一是网络攻击风险增大。
随着互联网的普及,金融机构的信息系统面临着来自网络黑客、病毒、木马等网络安全威胁。
一旦受到攻击,不仅会导致客户信息泄露,还会对金融机构的声誉和业务造成严重影响。
二是内部人员失信风险。
内部人员对于金融机构信息系统具有较高的权限,一旦内部人员泄露或滥用信息,将对金融机构造成严重损失。
内部人员的失信行为可能是有意为之,也可能是无意之举,但无论如何,信息安全管理都应该重视这一问题。
三是管理体系不完善。
金融机构的信息安全管理不完善,可能会导致一些安全漏洞被攻击者利用。
如果金融机构缺乏完善的信息安全管理体系和规范,将难以有效保护客户和机构自身的信息安全。
针对以上问题,金融机构可以采取以下措施加强信息安全管理:一是建立健全的信息安全管理制度。
金融机构应该建立完善的信息安全管理制度,包括明确的信息安全责任部门和人员、规范的信息安全管理流程和控制措施,确保信息安全管理工作能够有序开展。
二是加强内部人员的安全教育。
金融机构应该加强对内部人员的信息安全培训和教育,提高员工对信息安全的认识和重视程度,降低内部人员失信风险。
三是加强系统和数据安全防护。
金融机构应该加强系统和数据的安全防护能力,包括密钥管理、访问控制、日志监控等技术手段,提高信息系统的抗攻击能力。
四是加强风险评估和监测。
金融机构应该建立完善的信息安全风险评估和监测机制,及时发现和应对潜在的安全风险,保障信息系统的安全稳定运行。
综上所述,金融机构的信息安全管理是一个持续且不断完善的过程。
金融机构应该认识到信息安全的重要性,加强信息安全管理,有效保护客户和机构自身的信息安全。
金融行业信息安全管理策略
金融行业信息安全管理策略信息安全管理在金融行业具有重要意义,因为金融机构处理的是大量用户敏感信息和资金流转,一旦信息泄露或被篡改,将给用户带来巨大损失,对金融机构的声誉和业务也会造成巨大影响。
因此,金融行业必须制定严格的信息安全管理策略,以确保信息的保密性、完整性和可用性。
首先,金融机构应建立完善的安全管理体系。
这包括设立信息安全管理部门,明确安全管理人员的职责和权限,建立信息安全政策和规程,对全体员工进行信息安全意识培训,定期进行安全漏洞扫描和风险评估,建立安全事件响应机制等。
只有建立了完善的安全管理体系,金融机构才能有效地应对各种安全威胁。
其次,金融机构应加强对网络安全的保护。
网络是金融机构信息交流的重要渠道,也是黑客攻击的重要目标。
因此,金融机构应建立强大的网络安全防御体系,包括建立防火墙、入侵检测系统、安全审计系统等,加密重要数据传输,禁止未经授权的访问,定期对系统进行安全检查和更新补丁。
同时,金融机构还应加强对移动设备的管理和控制,防止用户信息在设备丢失或被盗时泄露。
再次,金融机构应强化对数据安全的保护。
金融机构处理的信息涉及大量用户个人信息和资金数据,泄露将带来重大损失。
因此,金融机构应采取措施对数据进行加密存储和传输,建立严格的数据访问控制机制,对数据进行定期备份和恢复测试,建立数据泄霄事件应急预案,确保在发生数据泄露时能够及时止损和追责。
最后,金融机构应关注信息安全的合规性。
金融行业的信息安全受到法律法规和监管机构的严格监管,金融机构必须确保自身的信息安全管理策略符合法规要求,及时调整安全管理策略以满足监管要求。
同时,金融机构还应建立安全审计和监督机制,对信息安全管理进行定期审计和检查,确保安全管理策略的有效实施和持续改进。
总的来说,金融行业信息安全管理策略是金融机构保障用户信息安全和资金安全的重要保障。
金融机构应建立完善的安全管理体系,加强网络安全和数据安全保护,保证信息安全合规性,才能有效应对各种信息安全威胁,维护金融机构的声誉和稳健运营。
金融平台信息安全管理制度
第一章总则第一条为加强我司金融平台的信息安全,确保金融业务的正常开展,保障客户信息和公司资产的安全,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等相关法律法规,结合我司实际情况,特制定本制度。
第二条本制度适用于我司所有涉及金融业务的平台,包括但不限于网上银行、手机银行、第三方支付、理财平台等。
第二章组织与职责第三条成立信息安全领导小组,负责统筹规划、组织协调、监督实施信息安全管理工作。
第四条设立信息安全管理部门,负责具体执行信息安全管理制度,开展信息安全防护、风险评估、应急响应等工作。
第五条各业务部门应积极配合信息安全管理部门开展信息安全工作,确保信息安全管理制度的有效实施。
第三章信息安全管理制度第六条信息安全风险评估(一)定期对金融平台进行安全风险评估,发现潜在的安全隐患,制定相应的整改措施。
(二)针对重要业务系统,开展专项风险评估,确保业务连续性和数据安全。
第七条信息安全防护(一)建立完善的安全防护体系,包括网络安全、主机安全、数据安全、应用安全等方面。
(二)采用防火墙、入侵检测、漏洞扫描等安全设备和技术,对金融平台进行实时监控和防护。
(三)加强物理安全防护,确保服务器、存储设备等关键设施的安全。
第八条个人信息保护(一)严格遵守《中华人民共和国个人信息保护法》等相关法律法规,对客户个人信息进行严格保护。
(二)采用加密、脱敏等技术手段,确保客户信息在传输、存储、处理过程中的安全。
(三)建立客户信息查询、修改、删除等权限管理制度,防止非法查询、篡改和泄露。
第九条应急响应(一)建立信息安全事件应急响应机制,确保在发生信息安全事件时,能够迅速、有效地进行处置。
(二)制定信息安全事件应急预案,明确事件报告、应急响应、信息发布等流程。
(三)定期组织应急演练,提高员工应对信息安全事件的能力。
第四章奖惩与监督第十条对在信息安全工作中表现突出的个人和集体给予表彰和奖励。
第十一条对违反信息安全管理制度,造成信息安全事件或损失的,依法追究责任。
金融机构安全管理规定
金融机构安全管理规定金融机构一向是经济社会的重要支撑力量,对于金融机构而言,安全管理是一项至关重要的工作。
金融机构安全管理规定的制定和执行,不仅关系到金融机构自身的安全和稳定,也对维护金融市场的正常运行有着重要的意义。
一、信息安全管理信息安全是金融机构安全管理的核心内容之一。
金融机构在日常业务运作中,所处理的信息往往涉及到客户的个人隐私、企业的商业机密等重要信息,一旦遭到泄露或滥用,不仅会导致企业经济损失,还会给客户带来不可估量的损失。
金融机构必须建立健全信息安全管理制度,包括规范信息处理流程,加强存储和传输安全控制,加强内部员工的安全意识培训等。
二、风险管理金融机构面临各种风险,如信用风险、市场风险、操作风险等。
为了确保金融机构能够正常运营,合理有效地管理风险是至关重要的。
金融机构应建立完善的风险管理制度,包括制定风险预警机制,建立风险监测和评估体系,做好风险防控工作。
此外,金融机构还应加强对金融市场的监测和研判,及时调整投资组合,降低风险暴露度。
三、内部控制内部控制是金融机构安全管理的重要环节。
一个良好的内部控制体系可以有效地防范内部欺诈和违规行为,保障金融机构的安全和稳定。
金融机构应建立健全内部控制制度,包括明确岗位职责和权限,建立审计和风险防控机制,加强内部审计和风险管理,提高内部员工的责任意识和风险意识。
四、反洗钱与反恐怖融资近年来,洗钱和恐怖融资活动不断增加,给金融机构的安全管理带来了更大的挑战。
金融机构应制定与国际反洗钱和反恐怖融资标准相符的内部管理制度,加强对客户身份的核实和风险评估,建立合规审查和报告机制,加强内部员工的培训和意识教育。
五、危机事件管理金融机构在运营过程中难免会遇到各种危机事件,如自然灾害、业务异常、恶意攻击等。
金融机构应建立健全危机事件管理制度,包括建立危机事件应急预案,做好灾备措施,加强与相关部门和合作机构的沟通与合作,提高危机事件的应变能力和处理能力。
六、保密管理保密是金融机构安全管理的重要部分。
金融信息安全管理制度
一、总则为加强金融信息安全,保障金融业务的正常开展,维护客户利益,防范金融风险,根据国家有关法律法规和金融监管政策,结合我行实际情况,特制定本制度。
二、适用范围本制度适用于我行所有员工、客户以及与我行有业务往来的第三方机构。
三、信息安全管理体系1. 建立健全信息安全组织架构,明确信息安全责任。
(1)成立信息安全工作领导小组,负责全行信息安全的统筹规划、组织协调和监督指导。
(2)设立信息安全管理部门,负责具体实施信息安全工作。
2. 制定信息安全管理制度,明确信息安全责任。
(1)制定信息安全政策,明确信息安全目标、原则和责任。
(2)制定信息安全管理制度,包括但不限于:a. 信息安全保密制度b. 信息安全风险评估制度c. 信息安全事件报告与处理制度d. 网络安全管理制度e. 硬件设备安全管理制度f. 软件安全管理制度3. 开展信息安全培训,提高员工信息安全意识。
(1)对新入职员工进行信息安全培训,使其了解信息安全的基本知识和技能。
(2)对全体员工定期进行信息安全培训,提高信息安全意识。
四、信息安全措施1. 信息安全保密措施(1)对客户信息、业务数据等进行分类管理,明确保密等级。
(2)采用加密技术,确保信息在传输、存储和访问过程中的安全。
(3)对敏感信息进行物理隔离,防止信息泄露。
2. 信息安全风险评估与防范(1)定期对信息系统进行安全风险评估,识别潜在的安全风险。
(2)针对评估出的风险,制定相应的防范措施,确保信息系统安全稳定运行。
3. 网络安全措施(1)加强网络安全防护,采用防火墙、入侵检测系统等技术手段,防止网络攻击。
(2)对内部网络进行物理隔离,防止内部信息泄露。
4. 硬件设备安全措施(1)对重要硬件设备进行集中管理,防止设备丢失或被盗。
(2)对设备进行定期检查和维护,确保设备安全稳定运行。
5. 软件安全措施(1)对软件进行定期更新,确保软件安全稳定运行。
(2)对软件进行安全评估,防止软件漏洞被利用。
金融信息安全管理制度
金融信息安全管理制度1. 背景随着金融行业的快速发展和信息技术的广泛应用,金融机构面临着越来越多的信息安全威胁。
为了保障金融信息的机密性、完整性和可用性,制定一套严格的金融信息安全管理制度是至关重要的。
2. 目的本管理制度的目的是确保金融机构的信息系统和信息资产得到有效的保护,防止信息泄露、破坏和滥用,提高金融机构对信息安全的风险意识和应对能力。
3. 适用范围本制度适用于金融机构的所有信息系统和信息资产,包括但不限于网络设备、服务器、数据库、软件系统、数据存储设备等。
4. 主要内容本制度包含以下主要内容:4.1 信息安全政策金融机构应制定明确的信息安全政策,明确信息安全目标和要求,将信息安全纳入组织的整体管理框架中。
4.2 信息资产管理金融机构应建立信息资产清单,对各类信息资产进行分类、评估和管理,确保信息资产的安全可靠性。
4.3 访问控制金融机构应制定严格的访问控制策略和措施,对信息系统和信息资产的访问进行有效控制,确保只有授权的人员可以访问相关信息。
4.4 加密与解密金融机构应对需要保密的信息进行加密处理,并确保加密算法和密钥的安全可靠性,以防止信息在传输和存储过程中被未授权的人员获取。
4.5 安全漏洞管理金融机构应建立安全漏洞管理机制,及时发现和修补系统和应用程序中的安全漏洞,防止黑客攻击和恶意软件侵入。
4.6 事件管理金融机构应建立完善的事件管理机制,及时响应和处理安全事件,进行事后审计和改进。
4.7 员工教育与培训金融机构应加强员工的信息安全意识教育和培训,提高员工对信息安全的重视和防范能力。
4.8 外部合作与监管金融机构应与相关部门和机构密切合作,建立信息安全的外部合作机制和监管机制,共同维护金融行业的信息安全稳定。
5. 法律责任金融机构及其管理人员应遵守国家相关法律法规,依法履行信息安全管理的法律责任。
对于违反信息安全管理制度的行为,将依法给予相应的处罚和追责。
6. 责任与监督金融机构应明确信息安全管理的责任部门和责任人,建立有效的监督机制和制度,确保信息安全管理制度的有效实施和持续改进。
金融公司信息安全管理制度
金融公司信息安全管理制度一、目的和范围本制度旨在明确金融公司信息安全管理的基本要求,指导员工在日常工作中遵循相应的安全操作规程,保护公司信息资产免受威胁。
适用于所有涉及公司内部数据处理、传输和存储的员工及相关合作方。
二、组织结构与职责公司应设立专门的信息安全管理部门,负责制定、执行和维护信息安全政策和程序。
同时,各业务部门也需指派信息安全责任人,配合信息安全管理部门工作。
三、资产管理1. 对公司信息资产进行分类和分级管理,根据不同级别采取相应安全措施。
2. 定期进行资产审计,确保信息资产的完整性和可用性。
3. 加强对敏感数据的保护,包括客户个人信息、交易数据等。
四、人员安全1. 对所有员工进行必要的信息安全培训,提升员工的安全意识。
2. 实施严格的访问控制策略,确保只有授权人员才能访问敏感信息。
3. 建立员工违规行为的处理流程,一旦发现违规行为,立即采取措施进行处理。
五、物理和环境安全1. 对公司重要设施如服务器室实施物理隔离和监控。
2. 确保数据中心具备防火、防水、防尘等环境保障措施。
3. 定期检查和维护安全设备,保证其正常运作。
六、通信和操作管理1. 使用加密技术保护数据传输过程中的安全。
2. 管理和控制外部设备接入,防止潜在的安全风险。
3. 制定应急响应计划,以便在发生安全事件时迅速反应。
七、系统获取、开发和维护1. 在系统开发初期就应考虑安全性,遵循安全编码规范。
2. 定期对系统进行安全测试和漏洞扫描,及时修补发现的漏洞。
3. 对关键系统实施严格的变更管理,确保任何更改都经过审批和测试。
八、信息安全事件管理1. 建立信息安全事件的识别、报告、响应和恢复流程。
2. 对发生的安全事件进行详细记录和分析,从中吸取教训并改进措施。
3. 定期向高层管理人员报告信息安全状况和重大事件处理情况。
九、业务连续性管理确保关键业务能够在面临自然灾害、人为破坏等意外情况下持续运行。
制定灾难恢复计划和备份策略,定期进行演练验证其有效性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件省银行业金融机构信息安全管理指引(试行)第一章总则第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。
第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。
第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。
各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。
第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。
第五条各银行机构信息安全管理工作的主要任务是:(一)加强组织领导,健全信息安全管理体制,建立跨部门、跨行业协调机制;(二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能;(三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设;(四)进一步加强信息安全制度和标准规体系建设;(五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设;(六)加强安全运行监控体系建设;(七)大力开展信息安全风险评估,实施等级保护;(八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制;(九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。
第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。
非银行机构参照执行。
第二章组织机构第七条各银行机构应建立健全信息安全管理机构。
应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
第八条各银行机构应设立或指定专门负责信息安全工作的部门,配备专门负责信息安全工作的人员,实行A、B岗制度。
第九条各银行机构应建立和完善统一的信息安全协调机制。
应建立外部协调机制,加强信息安全的交流、沟通和协作,充分发挥纵向、横向协调的组织保障作用,有效提升信息安全保障能力。
第十条各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工,科学制定安全规划,有效组织实施安全策略。
第十一条各银行机构应建立完善的信息安全制度管理体系。
第十二条各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后,应报当地人民银行备案。
第三章人员管理第十三条各银行机构的工作人员应根据不同的岗位或工作围,履行相应的信息安全管理职责。
第十四条各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和有关规定受到过处罚或处分的人员,不得从事此项工作。
第十五条各银行机构应加大人才培养力度,每年至少对信息安全管理人员进行一次信息安全培训,适时对工作人员进行信息安全知识培训。
第十六条各银行机构信息安全管理人员应认真履行职责:(一)组织落实信息安全管理规定和本单位及分支机构信息安全保障工作,制定信息安全管理制度。
(二)审核信息化建设项目中的安全方案,组织实施信息安全项目建设,维护、管理信息安全专用设施。
(三)督促检查网络和信息系统的安全运行状况,组织检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第十七条加强对职工的信息安全教育,提高全员信息安全意识。
加大专业技能培养,优化人员结构,形成梯队,重点加强数据中心高端系统运行人员技能的培养力度,不断增强自我运行操作能力与应急能力。
合理配置和使用人力资源,人尽其才,合理流动,广开人才来源。
第十八条建立信息安全管理业绩评价体系,奖惩分明。
第四章机房环境和设备资产管理第十九条本指引所称机房,是指网络与计算机设备放置、运行的场所,包含供配电、通信、空调、消防、监控等配套环境设施。
第二十条各银行机构机房的规划、建设、改造、运行、维护和机房设施配备,应符合国家计算机机房有关标准、行业管理有关要求和部管理有关规定。
第二十一条计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统,通过技术和管理手段,确保计算机机房及配套设施安全。
第二十二条计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测。
第二十三条应建立健全计算机机房管理制度,落实专人担任机房管理员,定期巡查机房运行状况。
机房管理员应经过相关专业培训,掌握机房各类设备的操作要领。
第二十四条对计算机机房搬迁等可能影响系统正常运行的维护事项,事前需报当地人民银行备案。
第二十五条对外提供柜面服务的场所与核心业务处理环境,应严格人员出入管理,并通过安装门禁、视频监控录像等系统,加强技术防。
第二十六条各银行机构应做好计算机设备的登记工作,严格设备资产管理,落实设备使用者的安全保护责任。
第二十七条各银行机构应根据计算机设备的重要程度,采取相应等级的安全保护措施,防止未授权使用设备或信息。
有特殊安全要求的计算机设备,应放置在机房特殊功能区,并遵守相关安全规定。
第五章密码技术及网络安全管理第二十八条各银行机构信息系统应根据安全需要合理运用密码技术和产品,所使用的密码技术与产品应符合国家密码管理相关规定。
第二十九条各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施,建立规的密钥管理制度。
第三十条各银行机构信息系统所使用的网络应具备可信体系架构,具备身份认证、授权管理、跟踪审计等功能。
第三十一条各银行机构信息系统所使用的网络应具备基本的安全防能力,能通过身份认证、访问控制、容过滤、信息加密、网络隔离等措施有效防来源于部和外部的网络威胁。
第三十二条各银行机构应严格网络安全配置管理,制订合理的网络服务策略和强制路径策略,强化外部连接用户认证,加强远程诊断接口的保护。
第三十三条各银行机构应规划分网络安全域,利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离,加强网络边界防护,保证重要信息不被泄露、篡改或非法利用。
第六章国产化及外包服务第三十四条各银行机构应积极开展国外技术和产品的国产化替代工程,降低对外资厂商的依赖程度,消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装置带来的安全隐患,提高信息安全自主可控水平。
第三十五条在保证可用性的条件下,各银行机构应优先考虑购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术。
第三十六条积极开展安全管理认证工作,开展测评认证时,应选择具有资质的国认证和咨询机构,加强信息安全和管理,保证重要敏感信息不出境。
第三十七条各银行机构应在充分评估风险控制的基础上使用外包服务,并建立规的外包服务管理机构及管理制度。
第三十八条各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。
重要业务系统托管应选择具有相关资质的中资机构。
第三十九条各银行机构加强对外包服务全过程的跟踪管理,完善过程记录,定期对外包服务的实施过程风险和完成情况进行评估。
第四十条各银行机构加强对外包服务商的管理,选择外包服务商应符合国家和行业监管部门信息安全相关规定,明确服务等级责任(SLA),签订协议。
第七章风险评估及等级保护第四十一条各银行机构应加强对信息系统风险评估的管理,在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。
第四十二条各银行机构使用的信息系统要适时、有效开展风险评估,重要信息系统至少每一年进行一次评估,并根据评估结果,及时研究整改存在的问题,实施安全加固。
第四十三条各银行机构应每半年按照《省银行业金融机构信息安全评估规》开展一次全面的自评估,在2月底和10月底上报当地人民银行。
第四十四条各银行机构要严格控制风险评估过程的管理,有规的制度和专门人员,应建立风险预案,落实预防性应对措施,确保风险评估工作不影响生产系统安全。
第四十五条各银行机构应每年梳理本机构运营使用的信息系统,按照国家和人民银行有关要求开展规的定级工作,按人民银行要求报送定级评审材料,二级及以上信息系统需向当地公安部门备案。
第四十六条各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作,并针对测评问题做好整改工作,并按照属地管理原则向当地人民银行报送测评整改总结报告。
第八章灾难恢复系统和业务连续性体系第四十七条各银行机构应按照国家相关规加强灾难恢复系统建设,制定覆盖所有重要信息系统的业务连续性计划和应急预案,建立和完善各项管理制度,提高业务持续运营能力。
第四十八条实施数据集中的银行机构应同步规划、同步建设、同步运行同城或异地信息系统灾难恢复系统,逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。
第四十九条各银行机构核心业务系统,应实施应用级备份;对于其他业务系统,可实施系统级或数据级备份。
应适时备份和安全保存业务数据,定期对冗余备份系统、备份介质进行深度可用性检查。
第五十条同城灾备中心对站点级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规》(GB/T 20988-2007)中所定义的灾难恢复能力等级第4级,并覆盖70%的重要信息系统(至少包含核心银行系统、支付结算系统、电子银行系统)。
同城灾备中心原则上与生产中心距离应处于不同的供电区域,应回避危险区和干扰源。
第五十一条异地灾备中心对城市级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规》(GB/T 20988-2007)中所定义的灾难恢复能力等级第3级,并覆盖所有重要信息系统。
异地灾备中心原则上与生产中心应处于不同地震板块,并应回避危险区和干扰源、回避与生产中心相同的灾患。
第五十二条灾难备份中心的规划应综合平衡风险与成本、运维管理与灾难恢复力量等因素,进行业务影响、可行性、成本收益分析以及建设方案风险评估,明确灾难恢复策略。
第五十三条灾难备份中心的选址要从国家整体安全出发,接受行业监管部门的指导,合理规划布局。
建设方式包括自建、联合共建或利用外部企业(组织)的灾难备份设施等。
第五十四条各银行机构每年开展业务连续性计划演练,演练方式包括桌面演练、模拟演练、单元演练、端到端演练和全面演练。