《金融机构信息安全管理指引》由会员分享,可在线阅读,更多相关《金融机构信息安全管理指引(13页珍藏版)》请在金锄头文库上搜索。
1、附件四川省银行业金融机构信息安全管理指引(试行)第一章 总 则第一条 为切实加强四川省银行业金融机构(以下简称银行机 构)信息安全工作的管理和指导, 进一步增强银行机构信息安全保 障能力,保障国家经济金融运行安全, 保护金融消费权益和维护社 会稳定,根据国家和人民银行总行有关规定和要求, 特制订本指引。第二条 本指引所称信息安全管理,是指在银行机构计算机系 统建设、运行、维护、使用及废止等过程中, 保障计算机数据信息、 计算机系统、网络、机房基础设施等安全的一系列活动。第三条 四川省内人民银行分支机构按属地管理原则对辖内银 行机构信息安全工作进行管理、 指导和协调。各银行机构负责本系 统(单位
2、)的信息安全管理,完成人民银行交办的信息安全管理任 务、接受人民银行的监督和检查。第四条 各银行机构信息安全管理工作的目标是:建立和完善 与金融机构信息化发展相适应的信息安全保障体系, 满足金融机构 业务发展的安全性要求,保证信息系统和相关基础设施功能的正常 发挥,有效防范、控制和化解信息技术风险,增强信息系统安全预 警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构 业务持续运行保障水平。第五条 各银行机构信息安全管理工作的主要任务是:(一)加强组织领导,健全信息安全管理体制 ,建立跨部门、跨行业协调机制;(二)加强信息安全队伍建设,落实岗位职责制,不断提高信 息安全队伍业务技能;(
3、三)保证信息安全建设资金的投入, 将信息安全纳入“五年 发展规划和年度工作计划,不断完善信息安全基础设施建设;(四)进一步加强信息安全制度和标准规范体系建设;(五)加大信息安全监督检查力度; 加快以密码技术应用为基 础的网络信任体系建设;(六)加强安全运行监控体系建设;(七)大力开展信息安全风险评估,实施等级保护;(八)加快灾难恢复系统建设, 建立和完善信息安全应急响应 和信息通报机制;(九)广泛、深入开展信息安全宣传教育活动,增强全员安全 意识。第六条 本指引适用于在四川省内设立的各政策性银行、国有 商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业 银行、城市信用合作社、农村信用合
4、作社、村镇银行的总部和分支 机构。非银行机构参照执行。第二章 组织机构第七条 各银行机构应建立健全信息安全管理机构。应建立由 行领导负责、相关部门负责人及内部专家组成的信息安全领导机 构,负责本系统(单位)信息安全管理工作,决策本系统(单位) 信息安全重大事宜。第八条 各银行机构应设立或指定专门负责信息安全工作的部 门,配备专门负责信息安全工作的人员,实行 A、B 岗制度。第九条 各银行机构应建立和完善统一的信息安全协调机制。 应建立内外部协调机制,加强信息安全的交流、沟通和协作,充分 发挥纵向、横向协调的组织保障作用,有效提升信息安全保障能力。第十条 各银行机构应明确信息安全管理部门、运营部
5、门和应 用部门的信息安全管理职责分工, 科学制定安全规划, 有效组织实 施安全策略。第十一条 各银行机构应建立完善的信息安全制度管理体系。第十二条 各银行机构信息安全分管行领导、信息安全主管部 门及部门负责人变更后,应报当地人民银行备案。第三章 人员管理第十三条 各银行机构的工作人员应根据不同 的岗位或工作 范围,履行相应的信息安全管理职责。第十四条 各银行机构应选派政治思想过硬、具有较高计算机 水平的人员从事信息安全管理工作。 凡是因违反国家法律法规和有 关规定受到过处罚或处分的人员,不得从事此项工作。第十五条 各银行机构应加大人才培养力度,每年至少对信息 安全管理人员进行一次信息安全培训,
6、 适时对工作人员进行信息安 全知识培训。第十六条 各银行机构信息安全管理人员应认真履行职责:(一)组织落实信息安全管理规定和本单位及分支机构信息安 全保障工作,制定信息安全管理制度。(二)审核信息化建设项目中的安全方案, 组织实施信息安全 项目建设,维护、管理信息安全专用设施。(三)督促检查网络和信息系统的安全运行状况, 组织检查运 行操作、备份、机房环境与文档等安全管理情况,发现问题,及时 通报和预警,并提出整改意见。统计分析和协调处置信息安全事件。(四)定期组织信息安全宣传教育活动,开展信息安全检查、 评估与培训工作。第十七条 加强对职工的信息安全教育,提高全员信息安全意 识。加大专业技能
7、培养,优化人员结构,形成梯队,重点加强数据 中心高端系统运行人员技能的培养力度, 不断增强自我运行操作能 力与应急能力。合理配置和使用人力资源,人尽其才,合理流动, 广开人才来源。第十八条 建立信息安全管理业绩评价体系,奖惩分明。第四章 机房环境和设备资产管理第十九条 本指引所称机房,是指网络与计算机设备放置、运 行的场所,包含供配电、通信、空调、消防、监控等配套环境设施。第二十条 各银行机构机房的规划、建设、改造、运行、维护 和机房设施配备, 应符合国家计算机机房有关标准、 行业管理有关 要求和内部管理有关规定。第二十一条 计算机机房应配套建设消防、防雷、门禁、视频 监控、环境监控等系统,通
8、过技术和管理手段,确保计算机机房及 配套设施安全。第二十二条 计算机机房配套建设的消防系统、防雷系统应通 过国家主管部门的竣工验收和定期检测。第二十三条 应建立健全计算机机房管理制度,落实专人担任 机房管理员,定期巡查机房运行状况。 机房管理员应经过相关专业 培训,掌握机房各类设备的操作要领。第二十四条 对计算机机房搬迁等可能影响系统正常运行的维 护事项,事前需报当地人民银行备案。第二十五条 对外提供柜面服务的场所与核心业务处理环境, 应严格人员出入管理,并通过安装门禁、视频监控录像等系统,加 强技术防范。第二十六条 各银行机构应做好计算机设备的登记工作,严格 设备资产管理,落实设备使用者的安
9、全保护责任。第二十七条 各银行机构应根据计算机设备的重要程度,采取 相应等级的安全保护措施, 防止未授权使用设备或信息。 有特殊安 全保密要求的计算机设备, 应放置在机房特殊功能区, 并遵守相关 安全保密规定。第五章 密码技术及网络安全管理第二十八条 各银行机构信息系统应根据安全需要合理运用密 码技术和产品,所使用的密码技术与产品应符合国家密码管理相关 规定。第二十九条 各银行机构信息系统重要信息的传输、存储要采 取一定强度的加密措施,建立规范的密钥管理制度。第三十条 各银行机构信息系统所使用的网络应具备可信体系 架构,具备身份认证、授权管理、跟踪审计等功能。第三十一条 各银行机构信息系统所使
10、用的网络应具备基本的安全防范能力,能通过身份认证、访问控制、内容过滤、信息加密、 网络隔离等措施有效防范来源于内部和外部的网络威胁。第三十二条 各银行机构应严格网络安全配置管理,制订合理 的网络服务策略和强制路径策略, 强化外部连接用户认证, 加强远 程诊断接口的保护。第三十三条 各银行机构应规范划分网络安全域,利用国际互 联网提供金融服务的信息系统要与办公网实现安全隔离, 加强网络 边界防护,保证重要信息不被泄露、篡改或非法利用。第六章 国产化及外包服务第三十四条 各银行机构应积极开展国外技术和产品的国 产化替代工程,降低对外资厂商的依赖程度,消除外资产品可 能植入后门、逻辑炸弹等恶意代码和
11、记录信息装置带来的安全 隐患,提高信息安全自主可控水平。第三十五条 在保证可用性的条件下,各银行机构应优先考虑 购买使用国产的网络产品、服务器、终端设备、操作系统、数 据库系统、中间件等软硬件产品和技术。第三十六条 积极开展安全管理认证工作,开展测评认证时, 应选择具有资质的国内认证和咨询机构,加强信息安全和保密管 理,保证重要敏感信息不出境。第三十七条 各银行机构应在充分评估风险控制的基础上使用外包服务,并建立规范的外包服务管理机构及管理制度。第三十八条 各银行机构涉及国计民生、银行关键业务的核心 系统不得使用外包服务。重要业务系统托管应选择具有相关资质的 中资机构。第三十九条 各银行机构加
12、强对外包服务全过程的跟踪管理, 完善过程记录,定期对外包服务的实施过程风险和完成情况进行评 估。第四十条 各银行机构加强对外包服务商的管理,选择外包服 务商应符合国家和行业监管部门信息安全相关规定, 明确服务等级 责任(SLA),签订保密协议。第七章 风险评估及等级保护第四十一条 各银行机构应加强对信息系统风险评估的管理, 在信息系统方案设计、建设投产、运行维护、重大变更等各个重要 环节应实施风险评估。第四十二条 各银行机构使用的信息系统要适时、有效开展风 险评估,重要信息系统至少每一年进行一次评估, 并根据评估结果, 及时研究整改存在的问题,实施安全加固。第四十三条 各银行机构应每半年按照四
13、川省银行业金融机 构信息安全评估规范开展一次全面的自评估,在 2 月底和 10 月 底上报当地人民银行。第四十四条 各银行机构要严格控制风险评估过程的管理,有规范的制度和专门人员,应建立风险预案,落实预防性应对措施, 确保风险评估工作不影响生产系统安全。第四十五条 各银行机构应每年梳理本机构运营使用的信息系 统,按照国家和人民银行有关要求开展规范的定级工作, 按人民银 行要求报送定级评审材料,二级及以上信息系统需向当地公安部门 备案。第四十六条 各银行机构应对三级及以上的信息系统按照国家 有关要求开展等级保护测评工作,并针对测评问题做好整改工作, 并按照属地管理原则向当地人民银行报送测评整改总
14、结报告。第八章 灾难恢复系统和业务连续性体系第四十七条 各银行机构应按照国家相关规范加强灾难恢复系 统建设,制定覆盖所有重要信息系统的业务连续性计划和应急预 案,建立和完善各项管理制度,提高业务持续运营能力。第四十八条 实施数据集中的银行机构应同步规划、 同步建设、 同步运行同城或异地信息系统灾难恢复系统,逐步形成生产中心、 同城灾备中心、异地灾备中心的“两地三中心”灾备架构。第四十九条 各银行机构核心业务系统,应实施应用级备份; 对于其他业务系统,可实施系统级或数据级备份。 应适时备份和安 全保存业务数据,定期对冗余备份系统、 备份介质进行深度可用性 检查。第五十条 同城灾备中心对站点级灾难
15、恢复能力应达到信息 安全技术 信息系统灾难恢复规范(GB/T 20988-2007 )中所定义的灾难恢复能力等级第 4 级,并覆盖 70%的重要信息系统(至 少包含核心银行系统、支付结算系统、电子银行系统) 。同城灾备 中心原则上与生产中心距离应处于不同的供电区域, 应回避危险区 和干扰源。第五十一条 异地灾备中心对城市级灾难恢复能力应达到信 息安全技术 信息系统灾难恢复规范(GB/T 20988-2007 )中所 定义的灾难恢复能力等级第 3 级,并覆盖所有重要信息系统。 异地 灾备中心原则上与生产中心应处于不同地震板块, 并应回避危险区 和干扰源、回避与生产中心相同的灾患。第五十二条 灾难
16、备份中心的规划应综合平衡风险与成本、运 维管理与灾难恢复力量等因素,进行业务影响、可行性、成本收益 分析以及建设方案风险评估,明确灾难恢复策略。第五十三条 灾难备份中心的选址要从国家整体安全出发,接 受行业监管部门的指导,合理规划布局。建设方式包括自建、联合 共建或利用外部企业(组织)的灾难备份设施等。第五十四条 各银行机构每年开展业务连续性计划演练,演练 方式包括桌面演练、模拟演练、单元演练、端到端演练和全面演练。 应当至少每三年对全部重要业务开展一次业务连续性计划演练。 在 重大业务活动、 重大社会活动等关键时点, 或在关键资源发生重大 变化之前,应开展专项演练。已建立灾难备份系统的单位,每年应 对四分之一的重要信息系统 (至少包括核心银行系统) 组织
