信息安全管理机构

关键词：科研单位高校应用教育

信息安全管理机构（共6篇）

篇1：信息安全管理机构

征信机构信息安全规范

一、总则

1.1标准适用范围

标准规定了不同安全保护等级征信系统的安全要求，包括安全管理、安全技术和业务运作三个方面。

标准适用于征信机构信息系统的建设、运行和维护，也可作为各单位开展安全检查和内部审计的安全依据。接入征信机构信息系统的信息提供者、信息使用者也可以参照与本机构有关条款执行，标准还可作为专业检测机构开展检测、认证的依据。

1.2相关定义

（一）征信系统：征信机构与信息提供者协议约定，或者通过互联网、政府信息公开等渠道，对分散在社会各领域的企业和个人信用信息，进行采集、整理、保存和加工而形成的信用信息数据库及相关系统。

（二）敏感信息：影响征信系统安全的密码、密钥以及业务敏感数据等信息。

1、密码包括但不限与查询密码、登录密码、证书的PIN等。

2、密钥包括但不限与用于确保通讯安全、报告完整性的密钥。

3、业务敏感数据包括但不限于信息主体的身份信息、婚姻状况以及银行账户信息等涉及个人隐私的数据。

（三）客户端程序：征信机构开发的、通过浏览器访问征信系统并为征信系统其他功能（如数据采集）的程序，并提供必需功能的组件，包括但不限于：可执行文件、控件、浏览器插件、静态链接库、动态链接库等（不包括IE等通用浏览器）；或信息提供者、信息使用者以独立开发的软件接入征信系统的客户端程序。

（四）通讯网络：通讯网络指的是由客户端、服务器以及相关网络基础设施组建的网络连接。征信系统通过互联玩或网络专线等方式与信息提供者、信息使用者相连，征信系统安全设计应在考虑建设成本、网络便利性等因素的同时，采取必要的技术防护措施，有效应对网络通讯安全威胁。

（五）服务器端：服务器端指用于提供征信系统核心业务处理和应用服务的服务器设备及安装的相关软件程序，征信机构应充分利用有效的物理安全技术、网络安全技术、主机安全技术、应用安全技术及数据安全与备份恢复技术等，在外部威胁和受保护的资源间建立多道严密的安全防线。

1.3总体要求

本标准从安全管理、安全技术和业务运作三个方面提出征信系统的安全要求。

（一）安全管理从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面提出要求。

（二）安全技术从客户端、通讯网络、服务器端等方面提出要求。

（三）业务运作从系统接入、系统注销、用户管理、信息采集和处理、信息加工、信息保存、信息查询、异议处理、信息跨境流动、研究分析、安全检查与评估等方面提出要求。

二、安全管理

2.1安全管理制度

征信机构根据征信系统的建设、运行和管理情况，建立和完善信息安全管理制度，并定期进行评审和修订。2.1.1内部管理制度基本要求：

（一）应制定信息安全工作的总体方针和安全策略，说明本机构安全工作的总体原则、目标、范围和安全框架等；

（二）应建立征信系统建设和运维管理制度，对机房管理、资金安全、设备管理，网络安全和系统安全等方面做出明确规定。

（三）应建立征信系统安全审批流程，系统投入运行、网路系统接入等重大事项由信息安全管理负责人审批，并确认签字。

（四）应对安全管理人员及操作人员执行的重要操作建立操作规程，并进行定期培训。

（五）应建立日常故障处理流程，重要岗位应建立双人负责制。

（六）应建立软件开发管理制度，明确说明开发过程的控制方法和人员行为准则。

（七）应建立数据库管理制度，对数据的存储、访问、使用、展示、备份与恢复、传输及样本数据处理等进行规范。

（八）应建立外包服务管理、外部人员访问等方面的管理制度，对外部人员对本机构内的活动进行规范化管理。

（九）应建立突发事件及重大事项报告制度，对外部人员在本机构内的活动进行规范化管理。

（十）应建立突发事件应急预案制度，有效避免事故造成的危害。

（十一）应建立信息安全检查制度，定期或者根据需要(如可能存在安全隐患时)不定期开展安全自查工作，主动接受和配合中国人民银行及其派出所机构的安全检查。增强要求：

（一）应建立征信系统建设工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。

（二）应建立密码使用、变更管理及数据备份与恢复等方面的管理制度，对系统运行维护过程中重要环节的审批与操作等作出的明确规定。

（三）应按照ISO/IEC 27001:2013的相关要求建立完善的信息安全管理体系。2.1.2安全审计制度基本要求：

（一）应建立信息安全内部审计制度，定期可能带来信息安全风险的因素进行审计和评估，个人征信机构每年至少1次，企业征信机构每年至少1次。

（二）应对安全管理制度的制定和执行情况进行审计，审计内容包括是否按照法律法规和中国人民银行的相关规定建立信息安全管理制度，安全管理制度的执行情况，是否定期对制度进行评审和修订。

（三）应对网络安全、主机安全、应用安全和数据安全等技术安全进行审计，审计内容包括安全配置、设备运行情况、网络流量、重要用户行为、系统异常事件及重要系统命令的使用等。

（四）应对业务操作进行审计，审计内容包括系统接入和注销、用户管理、信息采集和处理、信息加工、信息保存、异议处理、信息跨境流动等。

（五）审计记录应包括事件的日期和时间、用户、时间类型、时间是否成功及其他与审计相关的信息；应保护系统中的审计记录，避免收到未预期的删除、修改或覆盖等，保存期至少半年；纸质版审计记录保存期应不少于三年。增强要求：

（一）应定期委托外部专业机构，有重点、有计划的开展信息科技总体风险审计、征信系统专项审计。

（二）在内部审计和外部审计中发现的重大安全隐患应及时向中国人民银行及其派出机构报告。

2.2安全管理机构

征信机构应成立有高级管理人员及相关部门负责人组成的信息安全领导小组，并制定专门的部门负责信息安全管理工作。2.2.1岗位设置基本要求：

（一）应设立安全主管、信息安全管理岗位，明确安全主管和信息安全管理员的岗位职责。

（二）应设立安全管理员、网络管理员、数据库管理员等岗位，并定义各工作岗位的职责。

（三）除科技部门以外，其他部门应设置部门计算机安全员。增强要求：

（一）应通过制度明确安全管理机构各个部门和岗位的职责、分工和技能要求。

（二）应建立数据安全管理组织，明确数据安全管理责任人、数据资产管理人、明确数据安全管理的责任，确保有效落实和推进数据安全的相关工作。2.2.2人员配备基本要求：

（一）应配备安全主管、信息安全管理员、系统管理员、网络管理员、数据库管理员等。

（二）安全主管不能兼任信息安全管理员、网络管理员、系统管理员、数据库管理员等。

（三）信息安全管理员不能兼任网络信息管理员、系统管理员、数据库管理员等。增强要求：

关键事务岗位。如信息安全管理员、数据库管理员等，应配备至少两人，且互为A、B角共同管理。2.2.3授权和审批基本要求：

（一）应根据各部门和岗位的职责明确授权审批部门和审批人。

（二）应针对系统投入运行、网络系统投入、系统变更、重要操作和重要资源的访问等关键活动建立审批流程，由责任人审批后方可进行，对重要活动应建立逐级审批制度。

（三）应记录审批过程并保存审批文档。增强要求：

应每年审查审批事项，及时更新需授权和审批的项目、审批的部门和审批人等信息。2.2.4沟通与合作基本要求：

（一）应加强各部门、各岗位之间以及信息安全职能部门内部的合作与沟通。

（二）应加强与同业机构、通讯服务商及监管部门的合作与沟通。增强要求：

（一）在信息安全管理部门应定期召开各职能部门、各岗位人员参加的协调会议，共同协作处理信息安全问题。

（二）应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。2.3人员管理

征信机构应加强人员安全管理，明确不同岗位的职责，规范人员录用、离岗、考核和培训等工作。2.3.1安全主管基本要求：

（一）应派具有较高计算机水平、业务能力和法律素养的人员担任安全主管。

（二）安全主管可由信息安全管理部门的相关领导担任，也可指定专人担任，主要履行以下职责：

1、组织落实监管部门信息安全相关管理规定和本机构信息安全保障工作。

2、将征信机构信息安全领导小组讨论形成的安全决策，分解为安全任务部署落实。

3、对信息化建设中的安全建设方案、安全技术方案或其他安全方案进行审批。

4、对征信机构内部其他信息安全相关管理事项进行审批。

（三）安全主管调岗位时。应办理交接手续，并履行其调离后的保密义务。增强要求：

安全主管应加强信息安全知识的学习和技能掌握，及时关注国内外信息安全动态，为加强和改进本机构的信息安全管理工作提供合理化建议。2.3.2信息安全管理员基本要求：

（一）应派具有较高计算机水平、业务能力和法律素养的人员担任信息安全管理员。

（二）信息安全管理员每年至少进行一次信息安全方面的技术和业务培训。

（三）信息安全管理员应履行以下职责：

1、在安全主管的指导下，具体落实各项安全管理工作，并协调各部门计算机安全员开展工作。

2、在安全主管的指导下，组织相关人员审核本机构信息化建设项目中的安全方案，组织实施安全项目建设、维护、管理信息安全专用设施。

3、在计算机系统应用开发、技术方案设计和实施、集成等工作中提出安全技术方案并组织实施。

4、负责本机构计算机系统部署上线前的安全自测试方案的审核。

5、定期检查网络和征信系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见，统计分析和协调处置信息安全事件。

6、定期组织信息安全宣传教育活动，与相关部门配合开展信息安全检查，（四）信息安全管理员调离岗位时，应办理交接手续，并履行其调离后的保密义务。增强要求：

信息安全管理员应增加信息安全知识学习和技能掌握，及时关注国内外信息安全动态，为贯彻落实本机构的信息安全策略和方案提出合理化建议。2.3.3部门计算机安全员基本要求：

（一）各部门的计算机安全员应由较熟悉计算机知识的人员担，并报信息安全管理部备案，如有变更应及时通报信息安全管理部门。

（二）部门计算机安全员因积极配合信息安全管理员的工作，各部门应优先选派部门计算机安全员参加信息安全技术培训。

（三）部门计算机安全员应履行以下职责：

1、负责配合信息安全管理部完成本部门计算机病毒防治、补丁升级、非法外联防范，系统故障应急处理、移动存介质管控等工作。

2、全面负责本部门的信息安全管理工作。负责提出本部门的信息安全保障需求，及时与信息安全管理部门沟通本部门信息安全情况，做好信息安全通报工作，发现情况及时向信息安全管理部门报告，3、负责本部门相关文档资料的安全管理工作。以及本部门国际互联网、征信系统网络的使用和计入安全管理，组织开展本部门信息安全自查，协助信息安全管理部门完成本机构的信息安全检查工作。

（四）部门计算机安全员调离岗位时，办理交接手续，并履行其调离后的保密义务。增强要求：

部门计算机安全员每年至少参加一次信息安全培训，积极配合信息安全管理员做好本部门的信息安全管理和风险防范至少宣传落实工作。2.2.4技术支持人员基本要求：

（一）内部技术人员（本机构正式员工，负责参加与征信机构机房环境、网路、计算机系统等建设、运行、维护人员，若系统管理员、数据库管理员等）在落实征信系统建设和日产维护工作过程中，履行以下职责：

1、严格遵守本机构各项安全保密规定和征信系统安全管理相关制度。

2、严格权限访问，未经业务部门书面授权和本部门领导批准，不得擅自修改征信系统应用设置或修改系统生成的任何业务数据。

3、检测和控制机房、网络、安全设备、计算机系统的安全运行状况，定期进行风险评估、应急演练，发现安全隐患或故障及时报告安全主管、信息安全管理员、并及时响应和处置。

（二）外部技术人员（非本机构人员）应履行服务外包合同（协议）中的各项安全承诺，在提供技术服务期间，严格遵守征信机构相关安全规定与操作规程。增强要求：

外部技术支持人员未经业务部门书面授权和所在部门领导批准，不得擅自接触、查看或修改修改征信系统的应用设置或相关业务数据等，确需接触、查看或修改时，须取得业务部门书面授权和所在部门领导批准，并在内部技术人员在场陪同下，方可进行。2.2.5业务操作人员基本要求：

（一）业务操作人员（指征信机构内部直接使用征信系统进行业务处理的业务部门工作人员，包括业务管理员、一般业务操作员）应履行以下职责：

1、严格按照征信机构相关业务规程操作、使用征信系统及相关数据，严禁各种违规操作。

2、严格按照征信机构信息安全管理相关规定操作、使用征信系统的业务数据，防止征信信息外泄。

3、妥善保管好征信系统的账户和密码，并按要求定期更换密码，禁止将账户和密码提供给他人使用。

4、发现征信系统出现异常及时向部门计算机安全员报告。

5、定期清理业务操作终端业务数据，不得在业务操作终端上安装与支付业务无关的计算机软件和硬件，不得擅自修改征信系统的运行环境参数。

（二）业务操作按照“权限分设、互相制约”原则，严格进行操作角色划分和授权管理，技术支持人员不得兼任业务操作人员。增加要求：

业务操作人员应实现A、B角管理。2.2.6一般计算机用户基本要求：

（一）一般计算机用户（指征信机构内部使用接入征信系统网络的计算机及外设的所有人员）应履行以下职责：

1、及时安装计算机病毒防治软件和客户端防护软件，按规定使用移动存储介质，自觉接受部门计算机安全员的指导与管理。

2、不得安装与工作无关的计算机软件和硬件，不得将征信系统相关计算机擅自接入未经授权的网络。

（二）未经信息安全管理部门批准和检测的计算机及外设不得接入征信系统网络。增强要求：

1、一般计算机用户不得私自改变计算机用途。

2、一般计算机用户系统应统一安装、统一升级及更新计算机病毒防治软件。

2.4系统建设管理

2.4.1系统顶级基本要求：

（一）应明确信息系统的边界和安全保护等级。

（二）应应以书面形式说明信息系统确定为某个安全保护等级的方法和理由。增强要求：

应组织相关部门和有关安全技术专家对信息系统定级结果的合理性和正确性进行论证和审定。2.4.2安全方案设计基本要求：

（一）应根据征信系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施。

（二）应以书面形式描述对征信系统的安全保护要求、策略和措施等内容，形成系统的安全方案。

（三）对安全方案进行细化，形成能指导征信系统安全建设、安全产品采购和使用的详细设计方案。

（四）应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过征信机构相关领导批准后，正式组织实施。增强要求：

（一）应制定和授权专门的部门对征信系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划。

（二）应统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案，并形成配套文件。

（三）应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过征信机构相关领导批准后，正式组织实施。

（四）应定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、详细设计方案等相关配套文件。2.4.3安全产品采购

篇2：信息安全管理机构

四川省银行业金融机构信息安全管理指引（试行）第一章总则

第一条为切实加强四川省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。

第二条本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。

第三条四川省内人民银行分支机构按属地管理原则对辖内银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统（单位）的信息安全管理，完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。

第四条各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处臵和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。

第五条各银行机构信息安全管理工作的主要任务是：

（一）加强组织领导，健全信息安全管理体制,建立跨部门、— 3 — 跨行业协调机制；

（二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能；

（三）保证信息安全建设资金的投入，将信息安全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设；

（四）进一步加强信息安全制度和标准规范体系建设；

（五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；

（六）加强安全运行监控体系建设；

（七）大力开展信息安全风险评估，实施等级保护；

（八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；

（九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。

第六条本指引适用于在四川省内设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。

第二章组织机构

第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及内部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。

第八条各银行机构应设立或指定专门负责信息安全工作的部门，配备专门负责信息安全工作的人员，实行A、B岗制度。

第九条各银行机构应建立和完善统一的信息安全协调机制。应建立内外部协调机制，加强信息安全的交流、沟通和协作，充分发挥纵向、横向协调的组织保障作用，有效提升信息安全保障能力。

第十条各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工，科学制定安全规划，有效组织实施安全策略。

第十一条各银行机构应建立完善的信息安全制度管理体系。第十二条各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后，应报当地人民银行备案。

第三章人员管理

第十三条各银行机构的工作人员应根据不同的岗位或工作范围，履行相应的信息安全管理职责。

第十四条各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和有关规定受到过处罚或处分的人员，不得从事此项工作。

第十五条各银行机构应加大人才培养力度，每年至少对信息安全管理人员进行一次信息安全培训，适时对工作人员进行信息安全知识培训。

第十六条各银行机构信息安全管理人员应认真履行职责：

（一）组织落实信息安全管理规定和本单位及分支机构信息安全保障工作，制定信息安全管理制度。

（二）审核信息化建设项目中的安全方案，组织实施信息安全项目建设，维护、管理信息安全专用设施。

（三）督促检查网络和信息系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处臵信息安全事件。

（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。

第十七条加强对职工的信息安全教育，提高全员信息安全意识。加大专业技能培养，优化人员结构，形成梯队，重点加强数据中心高端系统运行人员技能的培养力度，不断增强自我运行操作能力与应急能力。合理配臵和使用人力资源，人尽其才，合理流动，广开人才来源。

第十八条建立信息安全管理业绩评价体系，奖惩分明。

第四章机房环境和设备资产管理

第十九条本指引所称机房，是指网络与计算机设备放臵、运行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。

第二十条各银行机构机房的规划、建设、改造、运行、维护和机房设施配备，应符合国家计算机机房有关标准、行业管理有关要求和内部管理有关规定。

第二十一条计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统，通过技术和管理手段，确保计算机机房及配套设施安全。

第二十二条计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测。

第二十三条应建立健全计算机机房管理制度，落实专人担任机房管理员，定期巡查机房运行状况。机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。

第二十四条对计算机机房搬迁等可能影响系统正常运行的维护事项，事前需报当地人民银行备案。

第二十五条对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防范。

第二十六条各银行机构应做好计算机设备的登记工作，严格设备资产管理，落实设备使用者的安全保护责任。

第二十七条各银行机构应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未授权使用设备或信息。有特殊安全保密要求的计算机设备，应放臵在机房特殊功能区，并遵守相关安全保密规定。

第五章密码技术及网络安全管理

第二十八条各银行机构信息系统应根据安全需要合理运用密码技术和产品，所使用的密码技术与产品应符合国家密码管理相关规定。

第二十九条各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施，建立规范的密钥管理制度。

第三十条各银行机构信息系统所使用的网络应具备可信体系架构，具备身份认证、授权管理、跟踪审计等功能。

第三十一条各银行机构信息系统所使用的网络应具备基本的

— 7 — 安全防范能力，能通过身份认证、访问控制、内容过滤、信息加密、网络隔离等措施有效防范来源于内部和外部的网络威胁。

第三十二条各银行机构应严格网络安全配臵管理，制订合理的网络服务策略和强制路径策略，强化外部连接用户认证，加强远程诊断接口的保护。

第三十三条各银行机构应规范划分网络安全域，利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离，加强网络边界防护，保证重要信息不被泄露、篡改或非法利用。

第六章国产化及外包服务

第三十四条各银行机构应积极开展国外技术和产品的国产化替代工程，降低对外资厂商的依赖程度，消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装臵带来的安全隐患，提高信息安全自主可控水平。

第三十五条在保证可用性的条件下，各银行机构应优先考虑购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术。

第三十六条积极开展安全管理认证工作，开展测评认证时，应选择具有资质的国内认证和咨询机构，加强信息安全和保密管理，保证重要敏感信息不出境。

第三十七条各银行机构应在充分评估风险控制的基础上使用 — 8 —

外包服务，并建立规范的外包服务管理机构及管理制度。

第三十八条各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。重要业务系统托管应选择具有相关资质的中资机构。

第三十九条各银行机构加强对外包服务全过程的跟踪管理，完善过程记录，定期对外包服务的实施过程风险和完成情况进行评估。

第四十条各银行机构加强对外包服务商的管理，选择外包服务商应符合国家和行业监管部门信息安全相关规定，明确服务等级责任（SLA），签订保密协议。

第七章风险评估及等级保护

第四十一条各银行机构应加强对信息系统风险评估的管理，在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。

第四十二条各银行机构使用的信息系统要适时、有效开展风险评估，重要信息系统至少每一年进行一次评估，并根据评估结果，及时研究整改存在的问题，实施安全加固。

第四十三条各银行机构应每半年按照《四川省银行业金融机构信息安全评估规范》开展一次全面的自评估，在2月底和10月底上报当地人民银行。

第四十四条各银行机构要严格控制风险评估过程的管理，有

— 9 — 规范的制度和专门人员，应建立风险预案，落实预防性应对措施，确保风险评估工作不影响生产系统安全。

第四十五条各银行机构应每年梳理本机构运营使用的信息系统，按照国家和人民银行有关要求开展规范的定级工作，按人民银行要求报送定级评审材料，二级及以上信息系统需向当地公安部门备案。

第四十六条各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作，并针对测评问题做好整改工作，并按照属地管理原则向当地人民银行报送测评整改总结报告。

第八章灾难恢复系统和业务连续性体系

第四十七条各银行机构应按照国家相关规范加强灾难恢复系统建设，制定覆盖所有重要信息系统的业务连续性计划和应急预案，建立和完善各项管理制度，提高业务持续运营能力。

第四十八条实施数据集中的银行机构应同步规划、同步建设、同步运行同城或异地信息系统灾难恢复系统，逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。

第四十九条各银行机构核心业务系统，应实施应用级备份；对于其他业务系统，可实施系统级或数据级备份。应适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度可用性检查。

第五十条同城灾备中心对站点级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》（GB/T 20988-2007）中所定义 — 10 —

的灾难恢复能力等级第4级，并覆盖70%的重要信息系统（至少包含核心银行系统、支付结算系统、电子银行系统）。同城灾备中心原则上与生产中心距离应处于不同的供电区域，应回避危险区和干扰源。

第五十一条异地灾备中心对城市级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规范》（GB/T 20988-2007）中所定义的灾难恢复能力等级第3级，并覆盖所有重要信息系统。异地灾备中心原则上与生产中心应处于不同地震板块，并应回避危险区和干扰源、回避与生产中心相同的灾患。

第五十二条灾难备份中心的规划应综合平衡风险与成本、运维管理与灾难恢复力量等因素，进行业务影响、可行性、成本收益分析以及建设方案风险评估，明确灾难恢复策略。

第五十三条灾难备份中心的选址要从国家整体安全出发，接受行业监管部门的指导，合理规划布局。建设方式包括自建、联合共建或利用外部企业（组织）的灾难备份设施等。

第五十四条各银行机构每年开展业务连续性计划演练，演练方式包括桌面演练、模拟演练、单元演练、端到端演练和全面演练。应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，应开展专项演练。已建立灾难备份系统的单位，每年应对四分之一的重要信息系统（至少包括核心银行系统）组织一次系统级灾难的应急演练。

第五十五条各银行机构应将外部供应商纳入演练范围，积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门

— 11 — 等组织的业务连续性计划演练，确保应急协调措施的有效性。

第九章计算机系统和数据安全管理

第五十六条本指引所称计算机系统，是指银行机构业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。本指引所称的数据，是指以电子形式存储的银行机构业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。

第五十七条计算机系统建设项目应在规划与立项阶段，按照国家政策法规、行业监管的有关规定和业务实际需要，全面分析数据在输入、处理、输出等不同状态下的安全需求，统一考虑系统总体安全策略、安全技术框架、安全管理策略等安全问题，并进行论证，形成安全设计方案配套文件。

第五十八条计算机系统开发应依据安全需求进行安全设计，保证安全功能的完整实现。开发人员不能兼任系统管理员或业务操作人员，不得在程序中设臵后门或恶意代码程序。采取外包方式进行开发的系统，还应与外部单位签署相关知识产权保护协议和保密协议，明确外部单位不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。

第五十九条涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位，并签订严格的保密协议。

第六十条计算机系统上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投产运行。

第六十一条计算机系统投产运行前，应根据安全设计方案制定严谨、规范的安全运维规定。

第六十二条应指定专人作为系统管理员，具体负责计算机系 — 12 —

统的日常运行管理。系统管理员应定期检查系统日志，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程。重要计算机系统的系统设臵要求至少双人在场。

第六十三条系统管理员不得兼任业务操作人员，确需对计算机系统数据库进行技术维护性操作的，应征得业务部门书面同意，在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。业务数据的录入、复核分岗设立，特别重要的业务数据录入，应增设审查岗，三个岗位不得由一人兼任。

第六十四条应严格管理业务数据的增加、删除、修改等变更操作，按照既定备份策略执行数据备份操作，并定期测试备份数据的有效性。根据业务需求，明确备份数据保存期限，及时做好备份数据的销毁审查和登记工作。

第六十五条各单位应定期导出重要计算机系统业务日志文件，进行明确标识并妥善保存。

第六十六条所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。

第六十七条需要废止的计算机系统内的数据信息，根据重要性和敏感程度，应使用专用工具进行相应消除处理，确保安全。

第十章信息通报

第六十八条应按照《银行计算机安全事件报告管理制度》（银发„2002‟280号）要求，及时向当地人民银行分支机构报告重大网络与信息安全事件。

第六十九条应按照《四川银行业机构重大事项报告制度》（成银发„2010‟202号）要求，及时向当地人民银行分支机构报告重

— 13 — 大网络与信息安全事项。重大事项包括组织及策略类、网络及系统类、信息技术案件类、IT舆情类事项及重要保障时期的信息通报。组织及策略类是指金融机构高层主要负责人及信息化管理组织结构变动，信息科技部、电子金融业务部门主要负责人及组织结构变动，信息技术总体方针、战略、规划、路线变动，集中式数据中心规划设立。网络及系统类包括建设项、运行维护项及其他可能对金融机构网络与信息系统安全运行造成较大影响的计划内事项。建设项是指集中式数据中心机房的投产、改造、搬迁、关键网络基础设施及重要信息系统的投产、改造、升级。运行维护项是指机构IT架构变更及重要系统版本变更。信息技术犯罪案件类是指危害金融机构网络与信息系统安全的违法犯罪案件。IT舆情类是指公共媒体发布的、与金融机构网络和信息安全相关的、影响金融机构声誉的舆论事项。重要保障时期的信息通报是指在两会等国家重要时期，人民银行要求通报的事项。

第七十条地方性商业银行应按照《中国人民银行成都分行中国银行业监督管理委员会四川监管局转发关于调整优化银行业金融机构灾难备份中心整体布局的指导意见的通知》(成银发„2013‟98号)要求，及时将新建灾难备份中心选址方案、第三方灾难备份服务机构违法违规行为、本单位灾难备份中心和系统年度建设情况和计划及时报送当地人民银行。

第七十一条每年底，按照人民银行通知，地方性法人银行业机构应认真总结当年信息安全工作开展情况，形成报告，在规定时间内上报。

第七十二条人民银行机构接到银行机构的各类信息报告后，应进行评估，如有必要，应立即组织进行检查和处臵。

第十一章附则

第七十三条本指引由人民银行成都分行解释。

第七十四条本指引自发文之日起实施。以前有关规定与本指引不一致的，以本指引为准。

篇3：信息安全管理机构

1 中小金融机构信息安全管理现状

1.1 信息安全管理不成体系

目前,大型国有商业银行和起步较早的股份制商业银行,通过自身的研发力量或引进国外核心业务系统,已逐步探索出了具有各自特色的IT架构及管理模式,信息安全防护体系比较完善。与大型金融机构相比,中小金融机构的信息化进程起步较晚,信息安全意识存在一定偏差,大部分机构仅重视安全防护设备、安全工具的投资而忽视信息安全管理投资,以技术和产品形成的低层安全防护屏障替代全面信息安全管理,没有形成一个合理的信息安全方针来指导组织的信息安全管理工作。

1.2 IT服务外包现象普遍存在

中小金融机构快速发展的同时,科技人员数量与结构矛盾突出,由于不具备专业软件开发团队和系统运维队伍,很多业务需要借助外包力量来完成。中小金融机构往往采取与专业化软件公司合作的模式开发新业务所需系统,把一些关键的业务系统管理建设工作也都交给专业的公司,如有些银行将综合业务系统、网上银行系统等核心系统外包给城商行联盟,由其提供系统运营服务和系统安全建设服务。

1.3 信息安全多部门监管格局形成

2008年,人民银行“三定方案”明确人民银行负责“拟订金融业信息化发展规划,承担金融标准化的组织管理协调工作;指导、协调金融业信息安全和信息化工作。”银监会在2012年成立了信息科技监管部,负责制定银行业信息科技监管政策,指导银行业信息科技发展规划,开展信息科技非现场监管和现场检查。公安部门则负责公共信息网络的安全监察工作,指导计算机信息系统安全保护工作,查处危害计算机信息系统安全的违法犯罪案件。近年来,各级地方政府也成立了金融办,负责落实当地金融政策,协调政府与金融机构的关系,防范化解当地金融风险。多部门对金融机构信息安全工作监督管理的格局基本形成。

2 中小金融机构面临的信息安全风险

2.1 信息安全战略规划缺失

中小金融机构由于缺乏信息安全总体规划,信息建设过程中欠缺统筹考虑,对于系统安全部分的硬件设施、软件设计模块缺乏,造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。经常出现系统刚上线就面临着升级改造甚至淘汰的局面,缺乏一个合理的信息安全方针来指导信息安全管理工作。

2.2 IT外包风险管理不到位

(1)软件开发外包会使重要信息例如源代码以及关键参数配置等技术数据不受自己掌控,另外,专业的软硬件公司的工作人员一般都不固定,金融机构对这些公司如果缺乏有力的制约,就会给外包系统的运作到带来很大的安全隐患,阻碍系统的有效运作;

(2)业务系统运维管理外包,特别是包含银行核心服务内容的综合业务系统外包,信息技术风险与数据泄密风险较高。

2.3 应急处置能力有限

(1)应急预案要素不全。中小金融机构虽然都制定了信息系统的应急预案,但预案内容覆盖面不全,预案要素欠缺,缺乏针对性和可操作性,在系统发生紧急事故时,无法对问题实施预案应急措施;

(2)应急演练和应急培训不到位,致使工作人员应急处理能力较低,对重大信息科技风险的应急执行缺乏有效性,导致风险损失增加;

(3)大部分中小金融机构都没有自身的异地备份中心,所有的数据存在于一个点上,如果发生极端情况,后果将是灾难性的。

3 相关建议

3.1 构建信息安全管理体系框架,理清信息安全管理思路

中小金融机构构建系统、科学的管理体系对信息安全实施全面保障是非常必要的,有助于理清信息安全工作思路。体系框架主要是由安全组织体系、安全管理体系和安全技术体系三部分共同构成,安全组织体系从人员、意识、职责等方面保证信息安全运作的顺利进行,安全管理体系为信息安全管理工作提供规范、措施、方法和约束,安全技术体系从网络层、系统层和应用层三个层面采用相应技术和手段保证系统安全的实现。

3.2 完善IT外包风险管理体系,降低对外包服务商的依赖度

(1)强化对IT外包服务管理与监督。完善外包服务管理制度规定,对外包服务过程进行持续监控,跟踪任务的执行情况,及时发现和纠正服务过程中存在的各类异常情况;

(2)加强与外包服务商的沟通协调,了解外包服务商风险防控管理过程,加强与外包服务商的配合,提高外包服务商的差异化服务水平;

(3)建立了对外包服务的风险应急机制,明确重要系统开发厂商因公司破产或倒闭等原因导致技术骨干人员流失,从而影响系统的正常运行的应急流程和措施;四是有针对性地获取或提升管理及技术能力,降低对外包服务提供商的依赖。

3.3 强化业务连续性管理,增强突发事件的处理能力

(1)要在突发事件预案的体制下建立各种风险的解决方案,包括突发事件预案的实施条件、响应规划、解决步骤、系统恢复正常工作的步骤、事后安全知识的宣传等;

(2)高度关注对信息风险的预防以及相关的预警报告体制的建设和改进,使风险的处理措施能够尽量科学合理;

(3)要经常性的开展突发事件预案的教育,不断地对预案实施再次审查与评价,对不足之处要及时的改进。总之,中小金融机构要积极参考吸取国内外一些大规模金融机构的信息安全管理经验,改进并且不断完善信息安全管理体制,最大程度地规避风险,切实提高信息安全保障能力,共同维护金融稳定。

参考文献

[1]连江.我国中小商业银行信息安全建设问题研究[J].时代经贸,2013(10).

篇4：信息安全管理机构

信息安全，尤其是金融行业的信息安全，一直是上至国家领导、下至黎民百姓都十分关注的话题。然而，我国金融行业信息系统安全问题并不容乐观。当前，虽然我国出台了一些相关政策和管理办法，但据专家分析，由于专职的安全监管机构的缺失，使得信息系统安全工作很难落实。人们不禁要问: 无人监管，又何来安全呢？

存在问题

随着我国信息化的日益推进，国民经济和社会发展对网络和信息系统的依赖越来越紧密，尤其是银行、证券等行业的信息系统已经成为国家重要基础设施，这些信息系统的安全运行直接关系到国家的安全、人民的利益和社会的稳定。

近些年来，国内外发生的一系列事件表明，如果重要信息系统没有一定的安全防范能力，一旦发生重大事故或遭遇突发事件，将会造成无可挽回的经济损失。

我国相关部门对信息安全工作十分重视，国务院信息化工作办公室司长王渝次曾指出，灾难恢复是信息安全保障的重要的基础性工作，做好国家重要信息系统灾难恢复工作，提高其抵御灾难和重大事故的能力，对于确保重要信息系统数据安全和业务的连续性，保障社会经济的稳定是非常重要的。

2003年颁发的《国家信息化领导小组关于加强信息安全保障工作的意见》，对重要信息系统的安全做出了明确要求。2004年，国务院信息办又组织起草了《重要信息系统灾难恢复指南》，并印发给各基础信息网络和重要信息系统主管部门。

然而，金融行业的信息化虽然取得了快速发展，但其背后隐藏着可怕的问题：虽然在实现了数据大集中的银行企业中，有80％的企业都做了系统灾难备份中心的建设，但真正能实现业务连续管理的，估计只有15％左右。

最近，银行业系统故障不断。就在今年，中国建设银行总行转账系统发生通信故障，数小时后系统才恢复正常。此事件殃及在中国建设银行投资证券公司全国70余家营业部开户的200万股民，致使股民们因无法进行转账交易而受到经济损失。而在这之后，银联因通信网络和主机出现故障造成全国多省市无法刷卡长达7小时，究竟造成了多大的损失，尚无可靠数据。而近期发生的网银大盗横行网络的一系列事件，也再一次为网络银行系统的信息安全敲响了警钟。

机构缺失

为何有国家政策出台，但问题却仍然如此严重呢？

国务院信息化工作办公室的专家、国家金卡工程办公室安全组组长、中国信息产业商会信息安全产业分会常务副理事长屈延文介绍，我国金融行业尤其是银行的信息化系统需要监管的风险资产很大，到目前为止，我国还没有建立基本的专业化信息资产风险监管队伍和组织。

屈延文进一步解释说，“银行信息系统事故还不可怕，可怕的是金融信息化风险有可能引发金融危机，拉丁美洲的金融危机就为我们敲响了警钟。如果发生金融危机，将会影响到我们社会的稳定、人民的切身利益。”

也有专家说，各银行有科技部门，自己会管好自己的，不用为他们担心。

然而，从国外经验看，商业银行信息技术的运营与管理是相互分离的。但目前大多数国内银行现行的信息技术部门既具有十分明显的运营商特征，同时又具有明显的行政管理属性，是集运营、管理、监督于一身的技术垄断部门，这样的运行机制蕴藏着很大的运行风险。

一方面，由于信息技术自身的专业性极强，高级管理层和风险控制部门无法对其实施有效监管。目前，各家银行基本上还没有相应的专业管理部门负责信息业务系统的管理政策、技术标准、风险防范标准的制定，以及监督、检查以及绩效评估等工作。

另一方面，由于既当裁判员，又当运动员，集行政管理与技术管理于一身，信息技术部门本身难以胜任信息技术的监管职责，而且容易产生责任推诿、自行其事的不良风气与行为。正因为如此，直到目前为止，许多银行的信息技术还没有一个明确统一的技术故障的分级标准，信息化投入和产出严重不均衡，业务迟延、事故频繁发生等问题时有发生，银行信息化安全面临严峻挑战。

当然也有人持不同意见，认为人民银行和银监会都有信息中心，由他们统一管理不必过于担心金融行业的信息安全的问题。

然而，屈延文坚持认为，我国金融信息安全正处于监管缺失的状态。其理由有二: 一是人民银行和银监会都在管，政策交叉和死角就很难避免，各银行无法“从一而终”; 二是科技部门大多只是管技术，他们不承担也无法承担安全责任，没人负责也就没人来管。那么，缺失的监管又应由谁来填补呢？

呼吁监管

屈延文认为银行信息化安全属于整个银行监管体系的组成部分，将其从银行监管体系组成部分里面分离出来，是不符合我们银行整个监管安全体制的，同样，也不符合客观规律，不符合中央提出科学发展观，也不符合建立和谐社会、以人为本的要求。

屈延文主张，首先要加强认识，建立银行风险监管科学认识体系，即融合金融学方法、管理学方法、系统工程方法和信息化科学方法为一体化的认识理论体系，要把我国银行信息化发展纳入科学发展的轨道。

在这之后，更为重要的是银行信息化的科学发展必须建立信息资产风险监管组织机构。主要是建立一支在信息化条件下的监管专业队伍。首先是要建立安全监管机构，有了专人负责之后，很快相关标准、长效机制、审核措施等顺理成章地就会出来了，而且工作的落实也就有了监督。那么，迅速高效地推行金融信息安全工作也就不是难事了。

屈延文分析，没有一支监管专业队伍，难以提出银行企业、领域和监管当局信息化的科学发展战略，无法实现银行信息资产风险监管的综合方法，以及对人类与网络两个世界一体化的监管体系的运营和维系，也无法研究信息资产风险价值化体系、信息资产风险监管标准体系和信息资产风险监管法规体系。没有专门的信息资产监管专业机构，就不可能实现信息资产风险监管计划、管理和监控，就不可能实现实时掌控银行信息化系统的运行情况和各种风险情况。

巨大的数字化的资产与财产天天在网络上传输飞跑，依然采用“服务在网络里”和“监管在网络外”的监管方法，而无视信息化条件下的风险监管问题，其监管措施就不可能是可信与有效的。

屈延文强调，主管部门应该成立信息安全监管司，“成立这样一个机构是绝决对必要的，因为承担银行信息安全责任不是国家的哪一个部委，而是银行，是银监会。没有这样一个机构，工作也就不到位。”

出于对当前金融信息安全监管问题的担忧，屈延文曾给相关主管部门提出建议，阐明成立安全监管机构的紧迫性和必要性，相关领导也对此表示了一定的重视。

“当前不是谈网络如何建设、怎么弄防火墙的时候，先要谈如何监管信息安全的问题，这个问题不解决，其他问题没法搞。”屈延文十分担忧，这不是哪一个人的事情，也不是哪一个部门的事情，这将牵扯到整个国家的经济安全。”

屈延文呼吁：“我国银行信息化系统需要监管的风险资产如此之大，如果没有基本的专业化信息资产风险监管队伍和组织，价值与风险之间的关系也就不可能平衡。”

链接：我国银行安全监管现状及相关政策

在上市转型和外资银行进入中国金融市场的双重压力下，过去5年，特别是进入2005年以来，我国的银行监管部门明显加快了对商业银行的监管力度，初步建立了较为完善的市场准入、退出，非现场监管、现场监管、高级管理人员管理、风险预警等金融监管预警系统。比如，针对日益严重的电子支付安全问题而出台的《电子支付指引（第一号）》法令，就是人民银行在今年的重要举措。“电子支付指引”一定程度上进一步规范和引导了电子支付业务的健康发展，有利于防范电子支付业务风险，确保银行和客户资金的安全。

由于电子银行所面临的技术安全、客户利益被侵犯以及第三方过失等风险日益突出，银监会去年还出台了《电子银行业务管理办法》、《电子银行安全评估指引》和《电子银行安全评估机构业务资格认定工作规程》三个法令，目的是强化电子银行风险监管、防范电子银行业务风险、规范电子银行业务发展，银监会对商业银行监管正在加强。