银行管理信息系统

第一篇：银行管理信息系统

银行信息系统安全管理方案

随着金融界向电子化、数字化、网络化的发展，各金融机构对计算机的重视程度越来越高，全球高新技术尤其是信息技术的发展，进一步提高了银行计算机的应用水平。

1银行业务的发展和信息安全范畴的变迁

随着金融界向电子化、数字化、网络化的发展，各金融机构对计算机的重视程度越来越高，全球高新技术尤其是信息技术的发展，进一步提高了银行计算机的应用水平。人们可以通过国际互联网随时随地进行信息交流、电子商务活动，银行既要保障有强固的银行内部业务网络，又要扩展业务，利用互联网、无线网等尽可能多的通讯途径对全国甚至全球个人实行24小时金融电子服务，许多银行也顺应形势相继推出了网上银行、自助银行、客户服务中心、手机银行等。同时，经营的集约化和数据的集中化趋势一方面顺应了银行业务发展的要求，避免了业务分散导致的业务风险，但是另一方面不可避免的导致了信息安全风险的集中。

随着银行业务系统顺应趋势的开放和互连，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全。我们必须在一个日趋开放的系统平台上重新审视银行的信息安全问题。金融系统(银行、保险、证券)是国家政策要求实施安全等级保护的11大类关键信息基础设施的重点系统。因此，如何建立一个高效的现代信息安全体系，日益成为突出的问题。

2 冠群金辰公司的主动防御安全策略

冠群金辰公司具有多年的信息安全产品研发、工程实施和安全服务经验，在金融行业具有丰富的行业应用经验，并且对国外和国内的金融行业业务应用、信息安全策略、相关法律法规等有深刻的理解，具有独到的见解。

根据对客户需求的详细调查分析，推出了以客户价值为中心，以3S为代表的安全理念，即Security Solution(安全方案)，Security Application(安全应用)，Security Service(安全服务)。安全方案是基于符合用户需求的自有产品和合作伙伴的优秀产品搭建的整体解决方案;安全应用则是基于用户的实际应用系统和业务系统的安全需要，将我们的安全方案进行定制和二次开发，以满足用户对业务系统和安全系统更高程度的整合需求;安全服务则是参照国际和国内信息安全管理和工程标准，并结合冠群金辰公司的服务经验积累提供的评估、设计、实施、管理、教育等一系列服务项目，以帮助用户在日趋严峻的安全环境中保持业务的顺利运行。

经过对信息安全趋势的分析，我们认为在当前新的安全漏洞发现频率日益加快、安全攻击事件大幅度增加的状况下，局限于传统的被动(Reactive)防范策略是非常危险的。我们按照风险管理的思路，提出了主动(Proactive)防御策略，强调利用先进的技术、产品，配合以有效的管理方法和运维模式，避免入侵行为造成损害，并且有效防御新的安全漏洞造成的风险。脆弱性三维图可以帮助客户识别风险状况，选择采用适当有效的风险控制方法，达到成本和效益之间的平衡。

冠群金辰公司倡导采用以主动防御为基础的纵深防御体系来进行银行安全保障体系的建立。

第一：在整个受保护网络环境中的每一个环节上减少可能会被入侵者利用的突出的脆弱点;

第二：对于关键的资源，使用多重防御策略来管理风险，以便在一层防御不够时，在理想情况下，另一层防御将会削弱对被保护资源的破坏。

3.银行信息安全风险管理思路和技术建议

银行信息安全问题不仅仅是技术上的问题，同样重要的是管理问题。2003年4月底正式挂牌的中国银监会5月份以第二号公告的形式，就巴塞尔新资本协议公开征求中国银行业界意见。新巴塞尔协议的实施势必大大提升银行业的整体业务风险管理水平。同样，在银行的信息安全领域也需要一种成熟的风险管理思路。这种风险管理的思想要贯穿在银行的每一个业务系统的生命周期阶段。对于每一个银行业务系统，比如柜台业务、资金清算等随着时间的发展都可以分为不同的阶段。按照NIST风险管理指南，这些阶段可以划分为系统规划阶段、系统开发阶段、系统实施阶段、系统运行阶段和系统废止阶段。根据银行业务系统各自的特点，其各阶段的具体内容会有所不同，但基本周期保持不变。所以与之相对应就产生了所谓系统安全的生命周期，即是将安全生命周期模型整合到系统生命周期模型上，一方面在系统生命周期各阶段提取安全需求，另一方面将安全生命周期的过程应用在系统生命周期各阶段，即在系统各阶段遵循安全的过程性开

展相应安全工作。不同系统，各阶段的安全需求不同，安全工作展开的顺序也会有所不同。但是，它们的共同点就是需要同时从技术和管理两个方面着手进行风险管理，同时这两个方面不是孤立实施的，而是有机结合的。

冠群金辰公司的银行业信息安全风险管理方案主要分为下面几个部分：

第一，参照相关法律法规、金融行业相关规定、国内外信息安全标准等，为用户建立一套信息安全管理系统和业务持续性策略;

第二，根据业务系统的需要，进行安全技术层面的实施，其中包括对银行现有设备和系统的加固、自有安全产品配置和实施、第三方安全产品配置和实施以及根据实际需求进行的专有安全系统开发和实施等。

第三，提供需求分析、风险评估、安全审计、紧急响应等覆盖全系统生命周期的安全服务。冠群金辰公司拥有一支持有CCIE、CISSP、BS7799 LA、CISP、SCSA等国际国内认证的专业安全服务队伍和专职的银行业务顾问小组，提供基于整体和业务的安全服务。

由于银行系统业务种类众多，信息系统也千差万别，不同银行业务信息系统对机密性、完整性、可用性、可控性与可审查性也具有不同的要求，所以不可能采用一个相同的模式进行所有银行系统安全体系的设计。这里仅仅根据中国人民银行2001年发布的《银行信息系统安全技术规范》和中国人民银行2002年发布的关于加强银行数据集中安全工作的指导意见的260号文件，对于构成银行信息

系统的几个关键层次进行示例分析，主要从技术角度对冠群金辰的解决方案进行简单介绍。

3.1 物理安全

主要是按照国家标准GB50173-9

3、GB2887-8

9、GB9316-88等加强场地设防。计算机设备实体安全类中，首先要求场地环境条件的控制，对计算机网络的中心机房及其延伸点，要坚决搞好基本环境建设，要有完整的防雷电设施，且有严格的防电磁干扰设施，机房内要搞好防水防火的预防工作，对主机房电源要有完整的双回路备份机制。尤其是银行主机机房的物理安全保障措施一定要到位。同城异地备份甚至不同城市之间的灾备中心都是需要考虑的。另外，信息处理设备安全、媒体介质存放安全也是需要重点考虑的内容。

3.2 网络互连的隔离和网关病毒过滤

随着银行业务的发展，业务主机不可避免地需要和外部系统互联。比如为了实现跨系统银行间资金汇划的电子联行系统采用的天地对接基本上建立在电信局的公共通信网上，开放的网络环境和网络协议为系统互联提供了方便，但同时也降低了系统的安全性。正在蓬勃兴起的银行中间业务的发展更是促进了不同行业之间的网络连通。有网络的连接是造成安全风险的重要源头，一定需要对不同安全级别的网络之间进行安全隔离。除了物理隔离外，逻辑隔离按照通讯方式有几种级别：双方网络互有通讯、单向通讯、按需通讯等。按照安全级别的要求可分为简单包过滤、状态包过滤、应用层代理、专有协议隔离等。冠群金辰公司的

轩辕防火墙是集防火墙、VPN、流量管理等功能于一体的网络安全设备。它能通过Web浏览器或CLI及中央管理台集中管理，并且支持透明模式。轩辕防火墙产品能够满足银行系统中大部分的网络逻辑隔离要求。

冠群金辰公司的赤霄KILL过滤网关是一个专用硬件设备，用于在银行网络之间过滤病毒。它能够高效率地过滤包含在HTTP、FTP以及SMTP 协议中的计算机病毒，实现病毒的网络隔离，避免病毒在网络之间的扩散。该产品具有丰富和功能和优异的性能，在2002年一举获得了中国大IT媒体：《中国计算机报》和《计算机世界报》的编辑选择奖和产品奖，并在另一大专业媒体《网络世界》2003年5月12日发布的产品购买指南中得到高度评价，被称为 "防病毒网关的佼佼者"，更于今年7月份又获得“网管员最信赖的防病毒产品”奖项。通过在银行内部、银行和第三方网络等网关处部署该产品，可以杜绝病毒最主要的传播途径，给被保护网络营造一个安全的计算环境。

3.3 数据传输加密

当需要在非银行控制的公网上传输机密信息时，必须采用有效的措施对网络上传输的数据进行加密处理。冠群金辰公司的轩辕防火墙内置了基于 IPSEC协议的VPN功能，能够方便地在网络边界处实现数据的加密传输，方便了银行不同分支部门之间的安全通信和远程办公。对于已经设置没有VPN功能的防火墙的网络，冠群金辰公司的软件VPN产品能够方便地部署在网络中的任意一台计算机上，实现网络内部的加密通信和远程安全访问。

3.4 网络入侵行为和蠕虫病毒的传播监控

网络攻击的表现形式主要有两种：第一，人为入侵(包括内部和外部);第二，蠕虫和病毒的网络渗透和传播。而且，目前这两种形式有逐渐趋于统一的趋势。对于这两种行为我们都要进行严格监控，并且需要统一在一个平台下进行关联监控，以更好的起到安全检测的目的。

冠群金辰提供的干将/莫邪系列入侵检测系统能够在从百兆到千兆的网络中提供实时的入侵检测和病毒传播统一监控，也是唯一能够实现在同一个平台下进行入侵行为和蠕虫病毒传播的监控的安全系统。这样在银行网络中发生入侵行为或蠕虫传播时，管理员能够很快定位网络和系统问题所在，减少故障时间，降低损失。尤其是在结构复杂的网络中，利用干将/莫邪系列入侵检测系统提供的监控功能，管理员可以迅速定位被感染的服务器，控制传染源。

3.5 安全级别提升和分散授权原则在操作系统级的实施

操作系统的安全是银行信息系统安全的重要方面。为了更加有效地避免金融犯罪，杜绝银行内部人员作案，银行要求采用的操作系统具有相当高的抗攻击能力，有必要时需要采用B1级别的安全操作系统，比如网上银行主机和关键业务主机系统。在人民银行发布的《银行计算机信息系统安全技术规范》中也明确了这一点。但是目前基本上所有的商用操作系统都是C2级的，不能满足银行的要求。如果采用专用的安全操作系统，势必需要对原有的应用程序进行改造，造成大量人力物力和财力的资源浪费。冠群金辰公司提供的龙渊服务器核心防护产品

可以很好地解决这一问题，既能克服通用操作系统(包括Windows，Unix， Linux)的安全弊病，又能够和所有应用程序兼容，并且容易管理。它能够将大部分商用操作系统的安全等级提升到TCSEC B1级，支持强制访问控制，在大幅度提升安全性的同时保护了用户原有投资。比如通过在银行业务主机上部署龙渊服务器核心防护，可以在一台主机上将管理员权限分成系统管理员、安全管理员、安全审计员以及其它一般性质的业务操作人员，并且同时取消操作系统的超级用户特权。这样，所有人员的动作都能够被互相监督，大大降低了内部人员作案的可能性。

通过在关键的银行业务服务器上部署冠群金辰公司的龙渊服务器核心防护，安全管理员能够严格限定所有用户在该服务器上的任何操作，从时间、地点、访问方式等多个方面进行极细粒度的访问控制;并且其动态安全扩展(DSX)技术使得服务器能够高强度抵御未知的攻击类型，尤其是缓冲区溢出类型的攻击，从而避免了损失，为安全管理员赢得了宝贵的时间。这种防范措施对于Windows平台和UNIX、Linux平台都适用，并且不依赖特征库的升级即可完成防范功能。另外，通过该系统在本机上限定该计算机允许的网络通信类型，即使该计算机感染了蠕虫或被放置了木马程序，也无法对外发出违反预定安全策略的数据包，避免了可能导致的蠕虫传播和网络拥塞现象，降低了攻击后的影响。在最坏的情况下，即使入侵者已经获得了被攻击服务器的管理员账户和密码，龙渊服务器核心防护仍然能够保证该入侵者仅仅具有一个该系统上普通用户的权限，不能为所欲为，造成更大的损失和影响。这是传统的由防病毒、防火墙和入侵检测系统构成的安全防御体系所不能够实现的重要特点。该方案已经在全球著名银行，如花旗银行的系统中广泛采用。

3.6 其它安全设施

网上银行的兴起决定了在整个银行的安全体系的建设中，确立一个稳固的身份认证机制是根本的前提条件。通过建立PKI/CA认证系统，可以确保各种人员、资源的身份，防止网络欺诈行为和交易抵赖行为。

一个统一的网络防病毒体系是银行信息安全中的重要组成部分。冠群金辰公司作为国内防病毒软件厂商的先驱，其KILL防病毒系统已经在全国各行业广泛应用，尤其是网络防病毒系统更是国内厂商的佼佼者。KILL防病毒系统的技术已经非常成熟，在一个软件中集成了两个完全不同的防病毒引擎，能够对 Windows 95/98/NT/2000/XP、Linux、UNIX、Netware等多种平台进行病毒防护，并且可以通过集中的中央控制台完成软件安装、完全免费的特征码自动升级、病毒报警集中管理等工作，得到了广泛的用户认可。

冠群金辰的承影漏洞扫描系统可以扫描各个计算机、网络设备，及时发现存在的安全漏洞，并且事先做出预防措施，是主动防御体系中不可或缺的一部分。

利用安全信息管理(SIM)平台可以对银行网络内采用的所有安全相关的设备的报警信息和日志，甚至包括业务系统、应用系统的信息进行统一的汇总和关联性分析，降低管理成本，提高管理效率。

第二篇：2013年信息管理与信息系统专业-银行-实习报告

毕业实习报告

一、学生实习的地区、单位统计与分析

在2013年10月8日至2013年11月29日期间，我在中国民生银行北京西长安街支行进行了为期8周的实习。我认为实习是一件很具意义的事情，在实习中可以体验到把课本上的知识运用于实际的快乐，在实习中也会有感到自己的知识不够用时候的困惑。但是在学校学习到的自学能力，能够帮助我最快的调整自己，让自己尽快学会一些新东西。所以，我想实习的目的不在于通过结业考试，而是为了获取知识，获取工作技能，换句话说，在学校学习是为了能够适应社会的需要，通过学习保证能够完成将来的工作，为社会作出贡献。

实习单位介绍：中国民生银行于1996年1月12日在北京正式成立，是中国首家主要由非公有制企业入股的全国性股份制商业银行，同时又是严格按照《公司法》和《商业银行法》建立的规范的股份制金融企业。2000年12月19日，中国民生银行A股股票(600016)在上海证券交易所挂牌上市。中国民生银行自上市以来，按照“团结奋进，开拓创新，培育人才;严格管理，规范行为，敬业守法;讲究质量，提高效益，健康发展”的经营发展方针，在改革发展与管理等方面进行了有益探索，先后推出了“大集中”科技平台、“两率”考核机制、“三卡”工程、独立评审制度、八大基础管理系统、集中处理商业模式及事业部改革等制度创新，实现了低风险、快增长、高效益的战略目标，树立了充满生机与活力的崭新的商业银行形象。截至2011年12月31日，中国民生银行资产总额22,290.64亿元，存款总额16447.38亿元，贷款和垫款总额12052.21亿元，实现净利润279.20亿元，不良贷款率0.63%，保持国内领先水平。

二、学生实习的内容归类与分析

1.学习银行员工守则

2.学习柜面相关知识

3.了解银行系统架构以及银行管理流程

三、学生实习的主要成果与分析

知道员工应严格履行各自的岗位职责,恪尽职守,以负责的精神认真完成每项工作。作为实习生能够学习并且遵守员工行为规范，完全做到企业对员工的工作要求。这些虽然很不容易，但是努力做到之后，心里很满足。发现自己的责任感增强了。大部分时间学习了基本的柜面相关知识，努力去和客户交流为客户提供服务。大堂助理是连接客户、高柜柜员、客户经理的纽带,因此首先就得学习柜面相关知识,才能更好的解答客户问题,引导客户办理相关业务,维持大唐秩序,减轻柜员的工作量,提高整体服务效率。积极学习金融业务知识和业务技能,自觉参加各种业务培训,不断提高自己的业务素质。自己学习了有关银行系统的知识。了解了银行系统的架构，并且了解银行系统的管理流程。银行系统从业务的角度讲，大概有业务系统，管理信息系统，渠道系统，和其他外围系统构成。而且商业银行的IT系统在业务和交易系统层次主要有J2EE、C、COBOL(大机)、PRG(400平台、PL/SQL、CICS、TUXEDO、MQ等技术。在低端的一些应用如OA、报表展示等场合也有用NOTES、VBA、JSP、PASCAL、.NET

等。

四、学生实习期间导师指导小组指导情况与分析

通过实习期间的导师指导和小组指导，在和老师和小组同学交流之后，知道了自己实习期间的收获和不足，解决自己实习期间出现的问题为以后的实习做好准备。而且听了别的同学的报告，也了解了别的同学的实习内容，也对其他同学的实习单位有所了解，在有限的时间知道了更多实习知识。

五、学生实习过程中的主要问题及措施建议

自己实习期间的心态调整不是很好，要积极调整心态。而且发现自己在学校学习的知识有不足的情况，要尽快自学新的知识。

这个实习，我过得是如此的充实，如此有意义。它对我以后的人生是一笔财富。我相信一分付出，一分收获，有付出，就一定会有收获。在银行实习中可以学到在书本中学不到的知识，它让我开阔了视野，了解真正的社会，深入上班族的生活，无限回味。更何况参加社会实习活动的过程、阅历本身就是一笔宝贵的财富。它对我来说也是一种动力，是体味人生的百味筒，是验证实力的试金石，它让我体味到生活的酸甜苦辣咸，父母赚钱的不易，让我懂得了各种滋味只有亲身参与才能体会的到，钱来之不易。行不行，实习中看!

纸上得来终觉浅，投身实习觅真知。我相信，经过了在社会中的的磨练，我会变得更加成熟、更加自信，我相信，当代90后青年大学生不会再是小皇帝，我们有实力承担的起未来建设国家的重任，追求进步，刻苦求知，勤于实习，在身体上受到了锤炼,在思想上得到了启发和升华，多了一份生活体验，社会实习经验和组织活动能力。

第三篇：村镇银行计算机信息系统保密管理办法

(征求意见稿)

第一章

总则

第一条为加强村镇银行计算机信息系统的保密管理，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际互联网保密管理规定》等有关法律、法规，制定本办法。

第二条本办法适用于村镇银行系统采集、存储、处理、传递、使用、输出和销毁涉及国家秘密的通信、办公自动化和计算机信息系统(以下简称“涉密计算机信息系统”)。

第二章组织与职责

第三条村镇银行科技部门负责对村镇银行计算机信息系统保密工作进行工作指导、协调。科技部门牵头成立计算机安全检查小组负责具体计算机信息系统保密的检查工作。

第四条村镇银行计算机信息系统的保密管理坚持“业务谁主管，保密谁负责”的原则。即特定计算机信息系统的保密管理工作由村镇银行或支行主管该系统的部门或岗位承担。

第五条计算机信息系统的保密管理工作，应主动接受国家有关保密部门的业务指导和监督。

第六条计算机信息系统的业务负责部门应协助计算安全检查小组，定期组织开展要害部门和重要岗位计算机信息系统的保密技术检查，发现问题应及时整改。第七条涉密计算机信息系统的使用部门应加强员工保密知识的学习教育，严格执行有关保密管理规定，协助村镇银行科技部门做好涉密计算机信息系统的日常管理工作。

第八条涉密计算机信息系统工作人员的职责要求：

(一)选配涉密计算机信息系统管理人员应按国家有关规定进行严格审查，岗前保密培训，并保持相对稳定;

(二)涉密计算机信息系统工作人员应严格执行有关保密管理规定和操作规程;

(三)涉密计算机信息系统工作人员应自觉接受村镇银行保密部门的监督检查。第九条各支行和员工发现下列问题应及时采取补救措施，并报告保密部门。

(一)发现保密方面的漏洞和隐患;

(二)发现违反有关保密规定的行为;

(三)发现泄密事件。

第三章系统规划建设

第十条涉密计算机信息系统在使用前，必须报村镇银行保密管理部门审批，审批办法依照中保委《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号)执行;已投入使用而尚未经过审批的涉密计算机信息系统，要按上述办法补办审批手续;未经审批或审批不合格的涉密计算机信息系统不得投入使用。

第十一条规划和建设涉密计算机信息系统，应同步规划建设相应的保密设施。第十二条涉密计算机信息系统的规划、研制、安装和使用，均必须符合保密要求。

第十三条安装、使用涉密计算机信息系统的场所，应按国家有关规定，与办公驻地、人员住所保持相应的安全距离，并根据处理信息的涉密程度设立必要控制区，无关人员不得进入。

第十四条安装、使用涉密计算机信息系统的场所应采取有效的安全保密措施，有关设备的技术措施应得到国家保密部门或有关主管部门的认可，其他物理安全要求均应符合国家有关保密标准。

第十五条保密部门应定期组织对安装、使用涉密计算机信息系统场所的保密技术检查。

第十六条保密部门应依照有关法规和标准对建设中的涉密计算机信息系统进行保密监督和技术检查。

第十七条在采购计算机安全产品时，其产品必须有国家安全管理部门颁发的许可证，选购的密码产品应符合国家有关主管部门对普密、商密管理规定。

第四章涉密信息管理

第十八条存储涉密信息的计算机媒体介质(包括软盘、硬盘、光盘、U盘等)，应按所存储信息的最高密级标明密级，并按相应的密级进行管理;对不再使用的媒体介质应送交保密部门及时销毁。

第十九条涉及国家秘密和村镇银行商业秘密的信息，不得在与国际互联网相联的计算机信息系统中编辑、存储、运行、传递、发布，确保信息的机密性、完整性和可用性。

第二十条上网信息的保密管理实行“谁上网谁负责”的办法。各级行应根据国家保密法规，实行上网信息保密审批领导责任制，提供主页制作服务的单位，要对自己制作的主页承担具体保密责任。

第二十一条涉密信息必须按照保密规定进行采集、存储、处理、传递、使用和销毁，应当符合下列要求：

(一)计算机信息系统存储、处理、传输、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离;

(二)涉密信息在存储、传输中，必须采取加密措施，防止信息非授权泄露;

(三)使用加密措施应当与涉密信息的密级相同，并得到有权部门认证;

(四)涉密信息的复制、分发、输出必须得到有效的控制，并按相应密级的文件进行管理;

(五)涉密信息的销毁必须有效且不可恢复。

第二十二条凡使用电子邮件进行网上信息交流的，应当遵守国家和村镇银行有关的保密规定，不得转发、传递或抄送国家秘密和村镇银行商业秘密信息。第二十三条涉密信息的数据库必须有与涉密信息密级相适应的安全保密措施，确保涉密信息在建库、检索、修改、输出等环节的保密。

(一)用身份验证方法对用户注册和鉴别;

(二)对不同用户设置不同的用户权限，控制用户对数据的操作权限和访问范围;

(三)建立系统日志和数据备份。

第五章系统管理

第二十四条涉密计算机信息系统，不得直接或间接与国际互联网或其他公共信息网络联接，必须实行物理隔离。

第二十五条涉密计算机信息系统应采取有效的防病毒、防黑客措施。外来文件在执行或打开前，应先进行病毒和黑客程序的检测和清除。

第二十六条涉密计算机信息系统中涉及国家秘密信息的各种程序，应当在建库、检索、修改、打印等环节设置保密措施，其保密措施应按处理秘密信息的最高密级进行管理。

第二十七条涉密网络内部，应当采取身份认证、数字签名、访问控制、监控管理、信息加密、数据保护、审计跟踪等措施。

(一)涉密网络的访问应按权限控制，不得越权操作。访问、处理秘密级、机密级信息，应按用户类别控制;

(二)涉密计算机网络系统的通信应采用完整性校验技术，以确保信息的完整性;

(三)涉密计算机网络应当采取身份认证技术，防止冒充和非法访问;

(四)涉密计算机网络应采用加密措施，保证信息在处理、存储、传输过程中的安全性。

第二十八条涉密计算机网络系统应当符合《涉及国家秘密的计算机信息系统保密技术要求》所规定的其他安全保密措施。第二十九条涉密计算机在进行维护检修时，对涉密信息应采取安全保密措施(将涉密信息转储后彻底删除)。无法采取上述措施时，安全保密人员和业务人员必须在维修现场，对维修人员、维修对象、维修内容进行监督并详细记录。

第六章考评及奖惩

第三十条村镇银行要定期对涉密计算机信息系统的运行、维护、使用情况进行检查和综合考评，并对检查和综合考评结果予以通报;对在计算机信息系统保密工作中做出显著成绩的单位、部门和个人，应给予表彰。

第三十一条违反本规定的使用单位、部门和个人，由村镇银行保密部门责令其停止使用，限期整改。对拒不执行整改，又不停止使用，而造成泄密的，应根据《村镇银行违规违纪行为处分管理办法》，给予有关责任人相应处罚。对违反本规定泄露国家秘密的，依据国家有关规定和法律，追究有关领导和直接责任人的责任，造成重大损失的，要从严处罚，直至追究刑事责任。

第七章附则

第三十二条各支行可依据本办法，结合实际情况，制定具体实施细则。第三十三条本办法由村镇银行负责制定、解释和修订。

第三十四条本办法自发布之日起施行，原规定与本办法相抵触的，以本办法为准。

第四篇：银行业金融机构重要信息系统投产及变更管理办法

第一章总则

第一条为加强银行业金融机构重要信息系统投产及变更风险管理，根据《中华人民共和国银行

第二条在中华人民共和国境内设立的政策性银行、国有商业银行、股份制商业银行、邮政储蓄业监督管理法》、《中华人民共和国商业银行法》制定本办法。

银行、城市商业银行、农村商业银行、农村合作银行、农村信用社、城市信用社、外商独资银行、中外合资银行适用本办法。中国银行业监督管理委员会(以下简称中国银监会)监管的其他金融机构参照本办法执行。

第三条本办法所称的重要信息系统是指支撑重要业务，其信息安全和服务质量关系公民、法人和其他组织的权益，或关系社会秩序、公共利益乃至国家安全的信息系统。包括面向客户、涉及账务处理且实时性要求较高的业务处理类、渠道类和涉及客户风险管理等业务的管理类信息系统，以及支撑系统运行的机房和网络等基础设施。

第四条本办法所称的重要信息系统投产及变更主要指：

(一)重要信息系统投产。

(二)支撑重要信息系统运行的机房和网络基础设施投产。

(三)影响全辖或一个(含)以上分行系统服务、重要业务中断时间3小时(含)以上的重要信息系统以及支持其运行的基础设施变更，包括机房场地迁移、网络及核心业务系统应用架构变更、核心业务系统版本变更等。

(四)其他对银行重要业务运营及重要信息系统的可用性、完整性、安全性具有较大潜在影响的投产及变更。

第二章组织管理

第五条银行业金融机构应健全IT治理结构，落实重要信息系统投产及变更管理责任。第六条银行业金融机构高级管理层应统筹管理重要信息系统建设，听取重大项目投产或变更的

第七条银行业金融机构信息科技部门应建立重要信息系统投产及变更管理机制、制度与流程，风险评估汇报，对风险控制过程进行监督。

承担技术管理工作，协调业务、管理部门开展重要信息系统投产及变更工作，保障信息科技资源投入。

第八条银行业金融机构业务、管理部门应配合信息科技部门开展投产及变更工作，开展业务影

第九条银行业金融机构内部审计部门应开展重要信息系统投产及变更审计工作，针对问题发现响分析，制定业务管理办法，组织用户测试，保证业务资源投入。

提出整改意见。

第三章风险评估

第十条银行业金融机构应充分识别、分析、评估重要信息系统投产及变更风险，包括系统功能缺陷、客户信息泄露、业务中断、交易缓慢或其他因素可能造成的操作风险、法律风险和声誉风险，并形成风险评估报告。

第十一条银行业金融机构在采取有效信息安全控制措施的前提下，可委托外部专家或具备相应第十二条银行业金融机构董事会及高级管理层应审核重大项目的风险评估报告。资质的外部专业机构进行重要信息系统投产及变更的风险评估工作。

第十三条银行业金融机构应针对风险评估中发现的薄弱环节制定整改方案，明确整改时间。不具备整改条件的应采取风险缓释措施。

第四章投产及变更控制

第十四条银行业金融机构应统一组织协调重要信息系统投产及变更工作，制定投产及变更

第十五条银行业金融机构应对重要信息系统投产及变更过程进行安全审查，采取风险控制措施，第十六条银行金融机构应建立重要信息系统投产及变更内容评审和审批、授权机制。

第十七条银行业金融机构应按照对业务影响最小原则，采取与风险程度相适应的重要信息系统第十八条银行业金融机构应合理避开业务高峰期和敏感时段安排重要信息系统上线，应提前将第十九条银行业金融机构应建立充分、完整的测试体系，测试结果应经过信息科技部门和相关规则，编制实施计划和方案，确定实施策略和步骤，明确岗位职责，确保关键岗位职责分离。有效控制重要信息系统投产及变更风险。投产及变更策略。重要信息系统投产及变更可能对服务的影响告知客户。

业务部门确认，并形成测试和验收报告，确保系统上线后的正常稳定运行以及系统功能与业务目标的一致性。

第二十条银行业金融机构应建立与生产环境相隔离的测试环境，测试环境应模拟生产环境的真

第二十一条银行业金融机构应建立完善的版本管理制度，制定严格的审批、控制和操作流程，实情况。

保存完整的日志记录。拟投产及变更的重要信息系统应保证版本完整、准确、有效，遵从系统开发和运行管理制度规范。

第二十二条银行业金融机构应加强重要信息系统投产及变更过程中的数据管理与质量控制;测试环境中使用的敏感生产数据应进行脱敏、变形处理;需要历史数据迁移的，应制定详细的数据迁移计划，并提前进行数据迁移测试和数据有效性、兼容性验证，确保迁移后数据的完整性、安全性和可用性。

第二十三条银行业金融机构应制定重要信息系统投产及变更应急预案，制定系统回退和应急处

第二十四条重要信息系统投产及变更过程中，银行业金融机构应严格执行上线实施方案，加强第二十五条银行业金融机构应加强重要信息系统投产及变更过程的风险监控和预警，各相关部第二十六条银行业金融机构应制定并落实系统运行管理规程、制度，制定、完善相关业务管理置计划和流程，必要时应实施演练。监督与复核，避免操作失误和非法操作。门协同做好应急准备。

办法、操作规程，明确业务及运行管理职责，组织必要的培训，确保投产及变更实施后业务顺利开展。

第二十七条银行业金融机构应在重要信息系统投产及变更实施后，组织业务部门、管理部门和

第二十八条银行业金融机构应在重要信息系统投产及变更实施后及时更新各项相关应急预案，第二十九条银行业金融机构应对重要信息系统投产及变更过程产生的各类文档资料进行管理，信息科技部门对投产及变更的有效性进行验证。并适时实施演练。

确保文档资料的完整性、及时性和有效性，并满足独立审计要求。

第五章投产及变更报告

第三十条银行业金融机构应就重要信息系统投产及变更事项向中国银监会或其派出机构报告。第三十一条银行业金融机构应在重要信息系统投产前至少20个工作日、变更前至少10个工作日向中国银监会或其派出机构报告，包括但不限于：

(一)总体说明：投产及变更目的、内容、计划起止时间、业务影响范围、联系人及联系方式等。

(二)重要信息系统基本信息，包括：系统名称，业务功能，操作系统、数据库、中间件情况，应用架构、技术架构、数据架构，生产主机备份方案、数据备份方案，运行管理等相关职能部门，是否纳入灾难恢复计划等。

(三)重要信息系统安全策略和措施，包括对账户、交易和客户敏感信息的安全控制措施等。

(四)涉及基础设施的，需提供基础设施基本信息，包括机房和网络方案。机房方案包括等级标准、地址、供配电系统、消防、空调、弱电系统、机房加固、机房空间规划，以及机房验收报告等;网络方案包括网络架构分区、核心网络备份情况，以及区域间、外联网、互联网边界安全措施与网络监控措施等。

(五)采取外包方式的，需提交外包服务机构情况、外包服务内容、外包风险评估报告等。

(六)投产及变更方案，包括投产及变更的组织结构与实施计划、操作步骤等。