金融機構資訊保安管理指引

2021-03-04 00:38:51 字數 4868 閱讀 9447

附件四川省銀行業金融機構資訊保安管理指引(試行)

第一章總則

第一條為切實加強四川省銀行業金融機構(以下簡稱銀行機構)資訊保安工作的管理和指導,進一步增強銀行機構資訊保安保障能力,保障國家經濟金融執行安全,保護金融消費權益和維護社會穩定,根據國家和人民銀行總行有關規定和要求,特制訂本指引。

第二條本指引所稱資訊保安管理,是指在銀行機構計算機系統建設、執行、維護、使用及廢止等過程中,保障計算機資料資訊、計算機系統、網路、機房基礎設施等安全的一系列活動。

第三條四川省內人民銀行分支機構按屬地管理原則對轄內銀行機構資訊保安工作進行管理、指導和協調。各銀行機構負責本系統(單位)的資訊保安管理,完**民銀行交辦的資訊保安管理任務、接受人民銀行的監督和檢查。

第四條各銀行機構資訊保安管理工作的目標是:建立和完善與金融機構資訊化發展相適應的資訊保安保障體系,滿足金融機構業務發展的安全性要求,保證資訊系統和相關基礎設施功能的正常發揮,有效防範、控制和化解資訊科技風險,增強資訊系統安全預警、應急處置和災難恢復能力,保障資料安全,顯著提高金融機構業務持續執行保障水平。

第五條各銀行機構資訊保安管理工作的主要任務是:

(一)加強組織領導,健全資訊保安管理體制,建立跨部門、跨行業協調機制;

(二)加強資訊保安隊伍建設,落實崗位職責制,不斷提高資訊保安隊伍業務技能;

(三)保證資訊保安建設資金的投入,將資訊保安納入「五年」發展規劃和年度工作計畫,不斷完善資訊保安基礎設施建設;

(四)進一步加強資訊保安制度和標準規範體系建設;

(五)加大資訊保安監督檢查力度;加快以密碼技術應用為基礎的網路信任體系建設;

(六)加強安全執行監控體系建設;

(七)大力開展資訊保安風險評估,實施等級保護;

(八)加快災難恢復系統建設,建立和完善資訊保安應急響應和資訊通報機制;

(九)廣泛、深入開展資訊保安宣傳教育活動,增強全員安全意識。

第六條本指引適用於在四川省內設立的各政策性銀行、國有商業銀行、股份制銀行、郵政儲蓄銀行、城市商業銀行、農村商業銀行、城市信用合作社、農村信用合作社、村鎮銀行的總部和分支機構。非銀行機構參照執行。

第二章組織機構

第七條各銀行機構應建立健全資訊保安管理機構。應建立由行領導負責、相關部門負責人及內部專家組成的資訊保安領導機構,負責本系統(單位)資訊保安管理工作,決策本系統(單位)資訊保安重大事宜。

第八條各銀行機構應設立或指定專門負責資訊保安工作的部門,配備專門負責資訊保安工作的人員,實行a、b崗制度。

第九條各銀行機構應建立和完善統一的資訊保安協調機制。應建立內外部協調機制,加強資訊保安的交流、溝通和協作,充分發揮縱向、橫向協調的組織保障作用,有效提公升資訊保安保障能力。

第一十條各銀行機構應明確資訊保安管理部門、運營部門和應用部門的資訊保安管理職責分工,科學制定安全規劃,有效組織實施安全策略。

第一十一條各銀行機構應建立完善的資訊保安制度管理體系。

第一十二條各銀行機構資訊保安分管行領導、資訊保安主管部門及部門負責人變更後,應報當地人民銀行備案。

第三章人員管理

第一十三條各銀行機構的工作人員應根據不同的崗位或工作範圍,履行相應的資訊保安管理職責。

第一十四條各銀行機構應選派政治思想過硬、具有較高計算機水平的人員從事資訊保安管理工作。凡是因違反國家法律法規和有關規定受到過處罰或處分的人員,不得從事此項工作。

第一十五條各銀行機構應加大人才培養力度,每年至少對資訊保安管理人員進行一次資訊保安培訓,適時對工作人員進行資訊保安知識培訓。

第一十六條各銀行機構資訊保安管理人員應認真履行職責:

(一)組織落實資訊保安管理規定和本單位及分支機構資訊保安保障工作,制定資訊保安管理制度。

(二)審核資訊化建設專案中的安全方案,組織實施資訊保安專案建設,維護、管理資訊保安專用設施。

(三)督促檢查網路和資訊系統的安全執行狀況,組織檢查執行操作、備份、機房環境與文件等安全管理情況,發現問題,及時通報和預警,並提出整改意見。統計分析和協調處置資訊保安事件。

(四)定期組織資訊保安宣傳教育活動,開展資訊保安檢查、評估與培訓工作。

第十七條加強對職工的資訊保安教育,提高全員資訊保安意識。加大專業技能培養,優化人員結構,形成梯隊,重點加強資料中心高階系統執行人員技能的培養力度,不斷增強自我執行操作能力與應急能力。合理配置和使用人力資源,人盡其才,合理流動,廣開人才**。

第十八條建立資訊保安管理業績評價體系,獎懲分明。

第四章機房環境和裝置資產管理

第十九條本指引所稱機房,是指網路與計算機裝置放置、執行的場所,包含供配電、通訊、空調、消防、監控等配套環境設施。

第二十條各銀行機構機房的規劃、建設、改造、執行、維護和機房設施配備,應符合國家計算機機房有關標準、行業管理有關要求和內部管理有關規定。

第二十一條計算機機房應配套建設消防、防雷、門禁、**監控、環境監控等系統,通過技術和管理手段,確保計算機機房及配套設施安全。

第二十二條計算機機房配套建設的消防系統、防雷系統應通過國家主管部門的竣工驗收和定期檢測。

第二十三條應建立健全計算機機房管理制度,落實專人擔任機房管理員,定期巡查機房執行狀況。機房管理員應經過相關專業培訓,掌握機房各類裝置的操作要領。

第二十四條對計算機機房搬遷等可能影響系統正常執行的維護事項,事前需報當地人民銀行備案。

第二十五條對外提供櫃面服務的場所與核心業務處理環境,應嚴格人員出入管理,並通過安裝門禁、**監控錄影等系統,加強技術防範。

第二十六條各銀行機構應做好計算機裝置的登記工作,嚴格裝置資產管理,落實裝置使用者的安全保護責任。

第二十七條各銀行機構應根據計算機裝置的重要程度,採取相應等級的安全保護措施,防止未授權使用裝置或資訊。有特殊安全保密要求的計算機裝置,應放置在機房特殊功能區,並遵守相關安全保密規定。

第五章密碼技術及網路安全管理

第二十八條各銀行機構資訊系統應根據安全需要合理運用密碼技術和產品,所使用的密碼技術與產品應符合國家密碼管理相關規定。

第二十九條各銀行機構資訊系統重要資訊的傳輸、儲存要採取一定強度的加密措施,建立規範的金鑰管理制度。

第三十條各銀行機構資訊系統所使用的網路應具備可信體系架構,具備身份認證、授權管理、跟蹤審計等功能。

第三十一條各銀行機構資訊系統所使用的網路應具備基本的安全防範能力,能通過身份認證、訪問控制、內容過濾、資訊加密、網路隔離等措施有效防範**於內部和外部的網路威脅。

第三十二條各銀行機構應嚴格網路安全配置管理,制訂合理的網路服務策略和強制路徑策略,強化外部連線使用者認證,加強遠端診斷介面的保護。

第三十三條各銀行機構應規範劃分網路安全域,利用國際網際網路提供金融服務的資訊系統要與辦公網實現安全隔離,加強網路邊界防護,保證重要資訊不被洩露、篡改或非法利用。

第六章國產化及外包服務

第三十四條各銀行機構應積極開展國外技術和產品的國產化替代工程,降低對外資廠商的依賴程度,消除外資產品可能植入後門、邏輯炸彈等惡意**和記錄資訊裝置帶來的安全隱患,提高資訊保安自主可控水平。

第三十五條在保證可用性的條件下,各銀行機構應優先考慮購買使用國產的網路產品、伺服器、終端裝置、作業系統、資料庫系統、中介軟體等軟硬體產品和技術。

第三十六條積極開展安全管理認證工作,開展測評認證時,應選擇具有資質的國內認證和諮詢機構,加強資訊保安和保密管理,保證重要敏感資訊不出境。

第三十七條各銀行機構應在充分評估風險控制的基礎上使用外包服務,並建立規範的外包服務管理機構及管理制度。

第三十八條各銀行機構涉及國計民生、銀行關鍵業務的核心系統不得使用外包服務。重要業務系統託管應選擇具有相關資質的中資機構。

第三十九條各銀行機構加強對外包服務全過程的跟蹤管理,完善過程記錄,定期對外包服務的實施過程風險和完成情況進行評估。

第四十條各銀行機構加強對外包服務商的管理,選擇外包服務商應符合國家和行業監管部門資訊保安相關規定,明確服務等級責任(sla),簽訂保密協議。

第七章風險評估及等級保護

第四十一條各銀行機構應加強對資訊系統風險評估的管理,在資訊系統方案設計、建設投產、執行維護、重大變更等各個重要環節應實施風險評估。

第四十二條各銀行機構使用的資訊系統要適時、有效開展風險評估,重要資訊系統至少每一年進行一次評估,並根據評估結果,及時研究整改存在的問題,實施安全加固。

第四十三條各銀行機構應每半年按照《四川省銀行業金融機構資訊保安評估規範》開展一次全面的自評估,在2月底和10月底上報當地人民銀行。

第四十四條各銀行機構要嚴格控制風險評估過程的管理,有規範的制度和專門人員,應建立風險預案,落實預防性應對措施,確保風險評估工作不影響生產系統安全。

第四十五條各銀行機構應每年梳理本機構運營使用的資訊系統,按照國家和人民銀行有關要求開展規範的定級工作,按人民銀行要求報送定級評審材料,二級及以上資訊系統需向當地公安部門備案。

第四十六條各銀行機構應對**及以上的資訊系統按照國家有關要求開展等級保護測評工作,並針對測評問題做好整改工作,並按照屬地管理原則向當地人民銀行報送測評整改總結報告。

第八章災難恢復系統和業務連續性體系

第四十七條各銀行機構應按照國家相關規範加強災難恢復系統建設,制定覆蓋所有重要資訊系統的業務連續性計畫和應急預案,建立和完善各項管理制度,提高業務持續運營能力。

第四十八條實施資料集中的銀行機構應同步規劃、同步建設、同步執行同城或異地資訊系統災難恢復系統,逐步形成生產中心、同城災備中心、異地災備中心的「兩地三中心」災備架構。

第四十九條各銀行機構核心業務系統,應實施應用級備份;對於其他業務系統,可實施系統級或資料級備份。應適時備份和安全儲存業務資料,定期對冗餘備份系統、備份介質進行深度可用性檢查。

第五十條同城災備中心對站點級災難恢復能力應達到《資訊保安技術資訊系統災難恢復規範》(gb/t 20988-2007)中所定義的災難恢復能力等級第4級,並覆蓋70%的重要資訊系統(至少包含核心銀行系統、支付結算系統、電子銀行系統)。同城災備中心原則上與生產中心距離應處於不同的供電區域,應迴避危險區和干擾源。

第五十一條異地災備中心對城市級災難恢復能力應達到《資訊保安技術資訊系統災難恢復規範》(gb/t 20988-2007)中所定義的災難恢復能力等級第3級,並覆蓋所有重要資訊系統。異地災備中心原則上與生產中心應處於不同**板塊,並應迴避危險區和干擾源、迴避與生產中心相同的災患。

金融機構培訓總結

作為新人而言,目前最希望的就是能夠盡快參與到具體的工作中去。儘管知道自己已有的知識是遠遠不能應付未來的工作的,但是這僅僅是乙個模糊的認識和泛泛的感覺,只有在具體的工作中,才能逐步發現自己的問題所在,從而有針對性地合理安排自己的學習,以便自己的知識結構能夠盡快適應工作的需要。3 要有組織秩序感。這在工...

我國的金融機構

國際清算銀行的宗旨是促進各國 銀行之間的合作,為國際金融運作提供額外負擔外的便昨,並作為國際清算的受長人或 人。擴大各國 銀行之間的合作始彈簧是促進國際金融穩定的重要因素之一。所以隨著國際金融市場一體化的迅速推進,這類合作的重要性顯得更為突出。因此國際清算銀行便成了各國 銀行家的會晤場所,接受各 銀...

金融機構銀行實習小結

實習報告是金融機構銀行實習小結過往的一年,我在支行半年,總行半年,完成了一年的見習。在見習中,收穫了很多,成長了很多,逐漸的開始有學校人向社會人進行轉變。在這一年裡,主要的感受有 第一,從微觀和巨集觀上了解了本單位。我覺得這一點非常難得,更不是全單位所有的人都有這樣的機會,所以我特別要感謝黨辦主任對...