金融机构信息安全管理指引

省银行业金融机构信息安全管理指引（试行）

第一章 总 则

第一条 为切实加强省银行业金融机构（以下简称银行机构） 信息安全工作的管理和指导， 进一步增强银行机构信息安全保障能 力，保障国家经济金融运行安全， 保护金融消费权益和维护社会稳 定，根据国家和人民银行总行有关规定和要求，特制订本指引。

第二条 本指引所称信息安全管理，是指在银行机构计算机系 统建设、 运行、 维护、使用及废止等过程中， 保障计算机数据信息、 计算机系统、网络、机房基础设施等安全的一系列活动。

第三条 省人民银行分支机构按属地管理原则对辖银行机构信 息安全工作进行管理、 指导和协调。 各银行机构负责本系统 （单位） 的信息安全管理， 完成人民银行交办的信息安全管理任务、 接受人 民银行的监督和检查。

第四条 各银行机构信息安全管理工作的目标是：建立和完善 与金融机构信息化发展相适应的信息安全保障体系， 满足金融机构 业务发展的安全性要求， 保证信息系统和相关基础设施功能的正常 发挥，有效防、 控制和化解信息技术风险， 增强信息系统安全预警、 应急处置和灾难恢复能力， 保障数据安全， 显著提高金融机构业务 持续运行保障水平。

第五条 各银行机构信息安全管理工作的主要任务是： （一）加强组织领导，健全信息安全管理体制

,建立跨部门、

跨行业协调机制；

（二） 加强信息安全队伍建设，落实岗位职责制，不断提高信 息安全队伍业务技能；

（三） 投入，

保证信息安全建设资金的将信息安全纳入“五年”

发展规划和年度工作计划，不断完善信息安全基础设施建设；

（四） 进一步加强信息安全制度和标准规体系建设； （五）

度； 加快以密码技术应用为基 础的网络信任体系建设；

（六） 加强安全运行监控体系建设；

（七） 大力开展信息安全风险评估，实施等级保护；

（八） 加快灾难恢复系统建设，建立和完善信息安全应急响应 和信息通报机制；

（九） 广泛、深入开展信息安全宣传教育活动，增强全员安全 意识。

第六条 本指引适用于在省设立的各政策性银行、国有商业银 行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、 城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。 非银行机构参照执行。

第二章组织机构

第七条 各银行机构应建立健全信息安全管理机构。应建立由 行领导负责、相关部门负责人及部专家组成的信息安全领导机构， 负责本系统

加大信息安全监督检查力

（单位）信息安全管理工作，决策本系统（单位）信息 安全重大事宜。

第八条 各银行机构应设立或指定专门负责信息安全工作的部 门，配备专门负责信息安全工作的人员，实行 A、B 岗制度。

第九条 各银行机构应建立和完善统一的信息安全协调机制。 应建立外部协调机制，加强信息安全的交流、沟通和协作，充分发 挥纵向、横向协调的组织保障作用，有效提升信息安全保障能力。

第十条 各银行机构应明确信息安全管理部门、运营部门和应 用部门的信息安全管理职责分工， 科学制定安全规划， 有效组织实 施安全策略。

第十一条 各银行机构应建立完善的信息安全制度管理体系。 第十二条 各银行机构信息安全分管行领导、信息安全主管部 门及部门负责人变更后，应报当地人民银行备案。

第三章 人员管理

第十三条 各银行机构的工作人员应根据不同的岗位或工作 围，履行相应的信息安全管理职责。

第十四条 各银行机构应选派政治思想过硬、具有较高计算机 水平的人员从事信息安全管理工作。 凡是因违反国家法律法规和有 关规定受到过处罚或处分的人员，不得从事此项工作。

第十五条 各银行机构应加大人才培养力度，每年至少对信息 安全管理人员进行一次信息安全培训， 适时对工作人员进行信息安 全知识培训。

第十六条 各银行机构信息安全管理人员应认真履行职责： （一）组织落实信息安全管理规定和本单位及分支机构信息安 全保障工作，制定信息安全管理制度。

（二）

目中的安全方案，

项目建设，维护、管理信息安全专用设施。

（三）

络和信息系统的安全运行状况，

审核信息化建设项组织实施信息安全

督促检查网组织检查运

行操作、备份、机房环境与文档等安全管理情况，发现问题，及时 通报和预警，并提出整改意见。统计分析和协调处置信息安全事件。

（四） 定期组织信息安全宣传教育活动，开展信息安全检查、 评估与培训工作。

第十七条加强对职工的信息安全教育，提高全员信息安全意 识。加大专业技能培养，优化人员结构，形成梯队，重点加强数据 中心高端系统运行人员技能的培养力度，

不断增强自我运行操作能

力与应急能力。合理配置和使用人力资源，人尽其才，合理流动， 广开人才来源。

第十八条 建立信息安全管理业绩评价体系，奖惩分明。

第四章机房环境和设备资产管理

第十九条 本指引所称机房，是指网络与计算机设备放置、运 行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。

第二十条 各银行机构机房的规划、建设、改造、运行、维护 和机房设施配备，应符合国家计算机机房有关标准、 要求和部管理有关规定。

第二十一条 计算机机房应配套建设消防、防雷、门禁、视频 监控、环境监控等系统，通过技术和管理手段，确保计算机机房及 配套设施安全。

行业管理有关

第二十二条计算机机房配套建设的消防系统、防雷系统应通 过国家主管部门的竣工验收和定期检测。

第二十三条应建立健全计算机机房管理制度，落实专人担任 机房管理员，定期巡查机房运行状况。机房管理员应经过相关专业 培训，掌握机房各类设备的操作要领。

第二十四条对计算机机房搬迁等可能影响系统正常运行的维 护事项，事前需报当地人民银行备案。

第二十五条对外提供柜面服务的场所与核心业务处理环境， 应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加 强技术防。

第二十六条各银行机构应做好计算机设备的登记工作，严格 设备资产管理，落实设备使用者的安全保护责任。

第二十七条各银行机构应根据计算机设备的重要程度，采取 相应等级的安全保护措施，

防止未授权使用设备或信息。

有特殊安

全要求的计算机设备， 应放置在机房特殊功能区， 规定。

第五章 密码技术及网络安全管理

并遵守相关安全

第二十八条各银行机构信息系统应根据安全需要合理运用密 码技术和产品，所使用的密码技术与产品应符合国家密码管理相关 规定。

第二十九条各银行机构信息系统重要信息的传输、存储要采 取一定强度的加密措施，建立规的密钥管理制度。

第三十条 各银行机构信息系统所使用的网络应具备可信体系 架构，具备身份认证、授权管理、跟踪审计等功能。

第三十一条各银行机构信息系统所使用的网络应具备基本的

安全防能力，能通过身份认证、访问控制、容过滤、信息加密、网 络隔离等措施有效防来源于部和外部的网络威胁。

第三十二条各银行机构应严格网络安全配置管理，制订合理 的网络服务策略和强制路径策略， 程诊断接口的保护。

第三十三条 各银行机构应规划分网络安全域，利用国际互联 网提供金融服务的信息系统要与办公网实现安全隔离， 界防护，保证重要信息不被泄露、篡改或非法利用。

第六章国产化及外包服务

第三十四条 各银行机构应积极开展国外技术和产品的国

加强网络边

强化外部连接用户认证， 加强远

产化替代工程，降低对外资厂商的依赖程度，消除外资产品可 能植入后门、逻辑炸弹等恶意代码和记录信息装置带来的安全 隐患，提高信息安全自主可控水平。

第三十五条 在保证可用性的条件下， 各银行机构应优先考虑 购买

使用国产的网络产品、服务器、终端设备、操作系统、数 据库系统、中间件等软硬件产品和技术。

第三十六条 积极开展安全管理认证工作，开展测评认证时， 应选择具有资质的国认证和咨询机构， 重要敏感信息不出境。

第三十七条各银行机构应在充分评估风险控制的基础上使用

加强信息安全和管理， 保证

外包服务，并建立规的外包服务管理机构及管理制度

第三十八条 各银行机构涉及国计民生、银行关键业务的核心 系统不得使用外包服务。 重要业务系统托管应选择具有相关资质的 中资机构。

第三十九条 各银行机构加强对外包服务全过程的跟踪管理， 完善过程记录， 定期对外包服务的实施过程风险和完成情况进行评 估。

第四十条 各银行机构加强对外包服务商的管理，选择外包服 务商应符合国家和行业监管部门信息安全相关规定， 明确服务等级 责任（ SLA ），签订协议。

第七章 风险评估及等级保护

第四十一条 各银行机构应加强对信息系统风险评估的管理， 在信息系统方案设计、建设投产、运行维护、重大变更等各个重要 环节应实施风险评估。

第四十二条 各银行机构使用的信息系统要适时、有效开展风 险评估，重要信息系统至少每一年进行一次评估， 并根据评估结果， 及时研究整改存在的问题，实施安全加固。

第四十三条 各银行机构应每半年按照《省银行业金融机构信 息安全评估规》开展一次全面的自评估，在 2 月底和 10 月底上报 当地人民银行。

第四十四条 各银行机构要严格控制风险评估过程的管理，有