金融机构信息安全管理指引

1、.附件四川省银行业金融机构信息安全管理指引（试行）第一章 总 则第一条 为切实加强四川省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。第二条 本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。第三条 四川省内人民银行分支机构按属地管理原则对辖内银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统（单位）的信息安全管理，完成

2、人民银行交办的信息安全管理任务、接受人民银行的监督和检查。第四条 各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。第五条 各银行机构信息安全管理工作的主要任务是：（一）加强组织领导，健全信息安全管理体制,建立跨部门、跨行业协调机制；（二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能；（三）保证信息安全建设资金的投入，将信息安

3、全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设；（四）进一步加强信息安全制度和标准规范体系建设；（五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；（六）加强安全运行监控体系建设；（七）大力开展信息安全风险评估，实施等级保护；（八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；（九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。第六条 本指引适用于在四川省内设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。第二

4、章 组织机构第七条 各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及内部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。第八条 各银行机构应设立或指定专门负责信息安全工作的部门，配备专门负责信息安全工作的人员，实行A、B岗制度。第九条 各银行机构应建立和完善统一的信息安全协调机制。应建立内外部协调机制，加强信息安全的交流、沟通和协作，充分发挥纵向、横向协调的组织保障作用，有效提升信息安全保障能力。第十条 各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工，科学制定安全规划，有效组织实施安全策略

5、。第十一条 各银行机构应建立完善的信息安全制度管理体系。第十二条 各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后，应报当地人民银行备案。第三章 人员管理第十三条 各银行机构的工作人员应根据不同的岗位或工作范围，履行相应的信息安全管理职责。第十四条 各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和有关规定受到过处罚或处分的人员，不得从事此项工作。第十五条 各银行机构应加大人才培养力度，每年至少对信息安全管理人员进行一次信息安全培训，适时对工作人员进行信息安全知识培训。第十六条 各银行机构信息安全管理人员应认真履行职责：（一）组

6、织落实信息安全管理规定和本单位及分支机构信息安全保障工作，制定信息安全管理制度。（二）审核信息化建设项目中的安全方案，组织实施信息安全项目建设，维护、管理信息安全专用设施。（三）督促检查网络和信息系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处置信息安全事件。（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。第十七条 加强对职工的信息安全教育，提高全员信息安全意识。加大专业技能培养，优化人员结构，形成梯队，重点加强数据中心高端系统运行人员技能的培养力度，不断增强自我运行操作能力与应急能力。合

7、理配置和使用人力资源，人尽其才，合理流动，广开人才来源。第十八条 建立信息安全管理业绩评价体系，奖惩分明。第四章 机房环境和设备资产管理第十九条 本指引所称机房，是指网络与计算机设备放置、运行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。第二十条 各银行机构机房的规划、建设、改造、运行、维护和机房设施配备，应符合国家计算机机房有关标准、行业管理有关要求和内部管理有关规定。第二十一条 计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统，通过技术和管理手段，确保计算机机房及配套设施安全。第二十二条 计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测

8、。第二十三条 应建立健全计算机机房管理制度，落实专人担任机房管理员，定期巡查机房运行状况。机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。第二十四条 对计算机机房搬迁等可能影响系统正常运行的维护事项，事前需报当地人民银行备案。第二十五条 对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防范。第二十六条 各银行机构应做好计算机设备的登记工作，严格设备资产管理，落实设备使用者的安全保护责任。第二十七条 各银行机构应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未授权使用设备或信息。有特殊安全保密要求的计算机设备，应放置

9、在机房特殊功能区，并遵守相关安全保密规定。第五章 密码技术及网络安全管理第二十八条 各银行机构信息系统应根据安全需要合理运用密码技术和产品，所使用的密码技术与产品应符合国家密码管理相关规定。第二十九条 各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施，建立规范的密钥管理制度。第三十条 各银行机构信息系统所使用的网络应具备可信体系架构，具备身份认证、授权管理、跟踪审计等功能。第三十一条 各银行机构信息系统所使用的网络应具备基本的安全防范能力，能通过身份认证、访问控制、内容过滤、信息加密、网络隔离等措施有效防范来源于内部和外部的网络威胁。第三十二条 各银行机构应严格网络安全配置管理，

10、制订合理的网络服务策略和强制路径策略，强化外部连接用户认证，加强远程诊断接口的保护。第三十三条 各银行机构应规范划分网络安全域，利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离，加强网络边界防护，保证重要信息不被泄露、篡改或非法利用。第六章 国产化及外包服务第三十四条 各银行机构应积极开展国外技术和产品的国产化替代工程，降低对外资厂商的依赖程度，消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装置带来的安全隐患，提高信息安全自主可控水平。第三十五条 在保证可用性的条件下，各银行机构应优先考虑购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术

11、。第三十六条 积极开展安全管理认证工作，开展测评认证时，应选择具有资质的国内认证和咨询机构，加强信息安全和保密管理，保证重要敏感信息不出境。第三十七条 各银行机构应在充分评估风险控制的基础上使用外包服务，并建立规范的外包服务管理机构及管理制度。第三十八条 各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。重要业务系统托管应选择具有相关资质的中资机构。第三十九条 各银行机构加强对外包服务全过程的跟踪管理，完善过程记录，定期对外包服务的实施过程风险和完成情况进行评估。第四十条 各银行机构加强对外包服务商的管理，选择外包服务商应符合国家和行业监管部门信息安全相关规定，明确服务等级责任（

12、SLA），签订保密协议。第七章 风险评估及等级保护第四十一条 各银行机构应加强对信息系统风险评估的管理，在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。 第四十二条 各银行机构使用的信息系统要适时、有效开展风险评估，重要信息系统至少每一年进行一次评估，并根据评估结果，及时研究整改存在的问题，实施安全加固。第四十三条 各银行机构应每半年按照四川省银行业金融机构信息安全评估规范开展一次全面的自评估，在2月底和10月底上报当地人民银行。第四十四条 各银行机构要严格控制风险评估过程的管理，有规范的制度和专门人员，应建立风险预案，落实预防性应对措施，确保风险评估工作不影响生

13、产系统安全。第四十五条 各银行机构应每年梳理本机构运营使用的信息系统，按照国家和人民银行有关要求开展规范的定级工作，按人民银行要求报送定级评审材料，二级及以上信息系统需向当地公安部门备案。第四十六条 各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作，并针对测评问题做好整改工作，并按照属地管理原则向当地人民银行报送测评整改总结报告。第八章 灾难恢复系统和业务连续性体系第四十七条 各银行机构应按照国家相关规范加强灾难恢复系统建设，制定覆盖所有重要信息系统的业务连续性计划和应急预案，建立和完善各项管理制度，提高业务持续运营能力。第四十八条 实施数据集中的银行机构应同步规划、同步

14、建设、同步运行同城或异地信息系统灾难恢复系统，逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。第四十九条 各银行机构核心业务系统，应实施应用级备份；对于其他业务系统，可实施系统级或数据级备份。应适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度可用性检查。第五十条 同城灾备中心对站点级灾难恢复能力应达到信息安全技术 信息系统灾难恢复规范（GB/T 20988-2007）中所定义的灾难恢复能力等级第4级，并覆盖70%的重要信息系统（至少包含核心银行系统、支付结算系统、电子银行系统）。同城灾备中心原则上与生产中心距离应处于不同的供电区域，应回避危险区和干扰源。第

15、五十一条 异地灾备中心对城市级灾难恢复能力应达到信息安全技术 信息系统灾难恢复规范（GB/T 20988-2007）中所定义的灾难恢复能力等级第3级，并覆盖所有重要信息系统。异地灾备中心原则上与生产中心应处于不同地震板块，并应回避危险区和干扰源、回避与生产中心相同的灾患。第五十二条 灾难备份中心的规划应综合平衡风险与成本、运维管理与灾难恢复力量等因素，进行业务影响、可行性、成本收益分析以及建设方案风险评估，明确灾难恢复策略。第五十三条 灾难备份中心的选址要从国家整体安全出发，接受行业监管部门的指导，合理规划布局。建设方式包括自建、联合共建或利用外部企业（组织）的灾难备份设施等。第五十四条 各银

16、行机构每年开展业务连续性计划演练，演练方式包括桌面演练、模拟演练、单元演练、端到端演练和全面演练。应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，应开展专项演练。已建立灾难备份系统的单位，每年应对四分之一的重要信息系统（至少包括核心银行系统）组织一次系统级灾难的应急演练。第五十五条 各银行机构应将外部供应商纳入演练范围，积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门等组织的业务连续性计划演练，确保应急协调措施的有效性。第九章 计算机系统和数据安全管理第五十六条 本指引所称计算机系统，是指银行机构业务处

17、理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。本指引所称的数据，是指以电子形式存储的银行机构业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。 第五十七条 计算机系统建设项目应在规划与立项阶段，按照国家政策法规、行业监管的有关规定和业务实际需要，全面分析数据在输入、处理、输出等不同状态下的安全需求，统一考虑系统总体安全策略、安全技术框架、安全管理策略等安全问题，并进行论证，形成安全设计方案配套文件。第五十八条 计算机系统开发应依据安全需求进行安全设计，保证安全功能的完整实现。开发人员不能兼任系统管理员或业务操作人员，不得在程序中设置后门或恶意代码程

18、序。采取外包方式进行开发的系统，还应与外部单位签署相关知识产权保护协议和保密协议，明确外部单位不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。 第五十九条 涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位，并签订严格的保密协议。 第六十条 计算机系统上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投产运行。 第六十一条 计算机系统投产运行前，应根据安全设计方案制定严谨、规范的安全运维规定。 第六十二条 应指定专人作为系统管理员，具体负责计算机系统的日常运行管理。系统管理员应定期检查系统日志，并建立重要计算机系统运行维护档案，详细记

19、录系统变更及操作过程。重要计算机系统的系统设置要求至少双人在场。 第六十三条 系统管理员不得兼任业务操作人员，确需对计算机系统数据库进行技术维护性操作的，应征得业务部门书面同意，在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。业务数据的录入、复核分岗设立，特别重要的业务数据录入，应增设审查岗，三个岗位不得由一人兼任。 第六十四条 应严格管理业务数据的增加、删除、修改等变更操作，按照既定备份策略执行数据备份操作，并定期测试备份数据的有效性。根据业务需求，明确备份数据保存期限，及时做好备份数据的销毁审查和登记工作。第六十五条 各单位应定期导出重要计算机系统业务日志文件，进行明

20、确标识并妥善保存。 第六十六条 所有数据备份介质应防磁、防潮、防尘、防高温、 防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。第六十七条 需要废止的计算机系统内的数据信息，根据重要性和敏感程度，应使用专用工具进行相应消除处理，确保安全。第十章 信息通报第六十八条 应按照银行计算机安全事件报告管理制度（银发2002280号）要求，及时向当地人民银行分支机构报告重大网络与信息安全事件。第六十九条 应按照四川银行业机构重大事项报告制度（成银发2010202号）要求，及时向当地人民银行分支机构报告重大网络与信息安全事项。重大事项包括组织及策略类、网络及系统类、信息技术案件类、IT舆情类事项及重要保障时期的信息通报。组织及策略类是指金融机构高层主要负责人及信