中國人民銀行關于進一步加強銀行業(yè)金融機構信息安全保障工作的指導意見
銀發(fā)[2006]123號
人民銀行上??偛浚鞣中?���、營業(yè)管理部,各省會(首府)城市中心支行�,各政策性銀行、國有商業(yè)銀行�、股份制商業(yè)銀行:
為進一步增強銀行業(yè)金融機構信息安全保障能力,保障國家經(jīng)濟運行安全�,維護社會穩(wěn)定和客戶權益,現(xiàn)就“十一五”期間銀行業(yè)金融機構信息安全保障工作提出以下指導意見:
“十一五”期間�,我國銀行業(yè)金融機構信息安全保障工作的目標是:建立和完善與銀行業(yè)金融機構信息化發(fā)展相適應的信息安全保障體系,滿足銀行業(yè)金融機構業(yè)務發(fā)展的安全性要求��,保證信息系統(tǒng)和相關基礎設施功能的正常發(fā)揮�����,有效防范�����、控制和化解信息技術風險�����,增強信息系統(tǒng)安全預警、應急處置和災難恢復能力���,保障數(shù)據(jù)安全����,顯著提高銀行業(yè)金融機構業(yè)務持續(xù)運行保障水平�����。
“十一五”期間�,我國銀行業(yè)金融機構信息安全保障工作的主要任務是:加強組織領導,健全信息安全管理體制��,建立跨部門�、跨行業(yè)協(xié)調機制;加強信息安全隊伍建設���,落實崗位職責制,推行信息安全管理持證上崗制度��;保證信息安全建設資金的投入����,不斷完善信息安全基礎設施建設����;進一步加強信息安全制度和標準規(guī)范體系建設���;加大信息安全監(jiān)督檢查力度���;加快以密碼技術應用為基礎的網(wǎng)絡信任體系建設;加強安全運行監(jiān)控體系建設��;大力開展信息安全風險評估�,實施等級保護;加快災難恢復系統(tǒng)建設��,建立和完善信息安全應急響應和信息通報機制���;廣泛����、深入開展信息安全宣傳教育活動�����,增強全員安全意識�����。
一、建立健全信息安全保障組織體系
建立和完善統(tǒng)一的信息安全領導協(xié)調機構���。建立由高層行領導負責���、相關各部門負責人及內部專家組成的信息安全領導協(xié)調機構,理順關系����,增進部門間協(xié)同配合、優(yōu)化資源配置����、提高信息安全管理決策的效率和科學性,決策指揮信息安全重大事宜�����。明確辦事機構��,統(tǒng)一協(xié)調各部門的信息安全保障工作���。
建立健全各級信息安全管理機構�����,分支機構應設立信息安全管理崗位��。要充實信息安全管理人員����,進一步明確信息安全管理部門���、運營部門和應用部門的信息安全管理職責分工����,科學制定安全規(guī)劃����,有效組織實施安全策略,加大安全監(jiān)督檢查工作力度�,充分發(fā)揮縱向銜接、橫向協(xié)調的組織保障作用�。
二、加強信息安全隊伍建設���,完善用人機制與激勵機制
重視和加強信息安全人才建設��。選拔素質高���、技能強�、具有一定管理經(jīng)驗的人才從事信息安全工作�����。加大人才培養(yǎng)力度���,實行信息安全管理崗位任職資格考試制度�,根據(jù)人民銀行組織制定的銀行信息安全管理崗位任職資格培訓標準和要求���,3年內逐步實現(xiàn)持證上崗�����。
建立良好的用人機制和激勵機制�����。從人才引進�����、培養(yǎng)的漸進性和連續(xù)性上優(yōu)化人員結構�����,形成梯隊���,重點加強數(shù)據(jù)中心高端系統(tǒng)運行人員技能的培養(yǎng)力度,不斷增強自我運行操作能力與應急能力�。合理配置和使用人力資源,人盡其才���,合理流動��,廣開人才來源���。建立業(yè)績評價體系,獎懲分明����,通過確保重要運行崗位人員的物質待遇等多種激勵手段,穩(wěn)定人才����、留住人才���。
三、進一步健全標準規(guī)范與制度體系�����,加大信息安全監(jiān)督檢查力度
加快標準規(guī)范和制度體系建設等基礎工作步伐���。統(tǒng)籌規(guī)劃���、突出重點,加緊研究制定和完善當前急需的相關標準規(guī)范��,配合國家和行業(yè)監(jiān)管部門���,重點加強電子支付��,信息產(chǎn)品與服務的測評�����、準入�����、認證等相關技術法規(guī)與標準���。密切結合本單位信息化發(fā)展實際�����,借鑒國內外先進經(jīng)驗和做法,加緊建立和完善集中式數(shù)據(jù)中心運營規(guī)范和制度體系����,加強信息安全各項規(guī)章制度建設,健全崗位責任制度�����,全面落實“讓標準說話����,按制度辦事”的信息安全管理準則。
建立健全信息安全檢查機制���,加大監(jiān)督檢查工作力度�。依據(jù)已確立的技術法規(guī)、標準與制度��,定期開展信息安全檢查工作�����,確保信息安全保障工作落到實處�。建立責任通報制度,對檢查中發(fā)現(xiàn)的違規(guī)行為��,按規(guī)定處罰相關責任人�,對檢查中發(fā)現(xiàn)的安全問題和隱患,明確責任部門和責任人����,限期整改。在開展合規(guī)性檢查的同時���,應綜合運用檢測工具�����,明確安全控制目標�,加強深度的專項安全檢查工作�����,保證檢查工作的針對性、深入性和時效性�����。
四�、建立與技術集約化相適應的集約化生產(chǎn)管理體系
集中模式下的數(shù)據(jù)中心應及時革新原有生產(chǎn)管理模式,通過體制創(chuàng)新����,機制創(chuàng)新��,優(yōu)化資源配置�,積累經(jīng)驗,增強技術儲備�����,建立健全與技術集約化相適應的集約化管理體系�����。要實施流程化管理�����,借鑒信息技術基礎框架庫(ITIL)等國際管理規(guī)范,建立標準統(tǒng)一的服務管理流程�����,嚴格過程控制和操作規(guī)程���,完善內控機制���。要建立有效的部門間協(xié)作機制,嚴格變更管理�,杜絕生產(chǎn)變更的隨意性;變更前要進行必要的風險評估�,并做好應急準備;有停機風險的變更原則上放在業(yè)務低峰期進行�。落實崗位責任制,杜絕混崗�、代崗和一人多崗現(xiàn)象;要采取主動預防措施���,加強日常巡檢���,定期進行重要設備的深度可用性檢查����,關鍵運行設備應從高可用性要求上升到高可靠性要求�,合理確定淘汰預期;要實施自動化管理���,加強系統(tǒng)及網(wǎng)絡的安全審計���,實現(xiàn)數(shù)據(jù)中心各項操作的有效稽核,提升操作控制力��,減少人為誤操作�,實現(xiàn)管理制度的強制執(zhí)行,集中監(jiān)控運行狀況��,實現(xiàn)對數(shù)據(jù)中心生產(chǎn)運行全局性把握和有效指揮�;要從信息系統(tǒng)立項規(guī)劃伊始����,有效提高信息系統(tǒng)安全保障水平,建立信息安全審查制度�����,在信息系統(tǒng)生命周期關鍵環(huán)節(jié)進行安全性專項審查,項目立項未通過安全性審查的不予立項��,系統(tǒng)投產(chǎn)運行前未通過安全性測試的不得上線運行��,不符合運行條件的系統(tǒng)��,運行部門不予接受運行��,全面落實信息安全“一票否決制”��。
五�����、以密碼技術應用為基礎�,加快網(wǎng)絡信任體系建設
根據(jù)國家密碼管理相關規(guī)定,合理運用密碼技術和產(chǎn)品�,規(guī)范和加強以身份認證、授權管理�����、跟蹤審計等為主要內容的網(wǎng)絡信任體系建設�。對重要信息的傳輸、存儲要采取一定強度的加密措施,規(guī)范和強化密鑰管理�����。通過身份認證����、訪問控制、內容過濾����、信息加密、網(wǎng)絡隔離等措施��,防范來源于內部和外部的網(wǎng)絡威脅�����。嚴格網(wǎng)絡安全配置管理�����,制訂合理的網(wǎng)絡服務策略和強制路徑策略�����,強化外部連接用戶認證�����,加強遠程診斷接口的保護�,優(yōu)化網(wǎng)絡結構,劃分網(wǎng)絡安全域��,利用國際互聯(lián)網(wǎng)提供金融服務的信息系統(tǒng)要與辦公網(wǎng)實現(xiàn)安全隔離����,加強網(wǎng)絡邊界防護,保證重要信息不被泄露���、篡改或非法利用��,保證交易雙方的身份真實性并防止抵賴行為的發(fā)生�����。
六���、合理引入服務外包機制,加強服務外包風險控制
統(tǒng)籌兼顧�����,綜合考慮自我能力、價值成本和風險控制等因素��,合理引入服務外包機制�����。借助規(guī)模經(jīng)營的專業(yè)機構或團體���,選擇非核心服務內容定制外包���,集中主要力量提高自身核心業(yè)務能力,增強競爭優(yōu)勢��。加強服務外包風險管理與防范�,涉及國計民生、銀行關鍵業(yè)務的核心系統(tǒng)不得外包���。要加強服務外包全過程的跟蹤管理��,適時對外包服務的實施過程風險和完成情況進行評估�,確保預期工作目標與效益���,根據(jù)國家和行業(yè)監(jiān)管部門信息安全相關規(guī)定�,審慎選擇外包服務商�,明確服務等級責任(SLA),簽訂數(shù)據(jù)保密協(xié)議�。
七、積極推進信息安全風險評估����,實施等級保護
根據(jù)國家風險評估有關標準,采取以自評估為主�����,委托評估和檢查評估為輔的方式���,在信息系統(tǒng)方案設計�����、建設投產(chǎn)和運行維護各個階段實施必要的風險評估���,加強對信息系統(tǒng)投產(chǎn)運行和重大應用變更前的風險評估。要綜合運用評估工具����,在常規(guī)評估內容的基礎上�,加強滲透性驗證測試和密碼脆弱性測試����,重視對系統(tǒng)結構與配置的安全評估。要適時��、有效開展風險評估�,重要信息系統(tǒng)至少每2年進行一次評估,根據(jù)評估結果��,及時研究整改存在的問題����,實施安全加固。要嚴格控制風險評估過程����,規(guī)避評估風險,采取預防性應對措施��,確保生產(chǎn)系統(tǒng)安全生產(chǎn)�����。要審慎選擇外部商業(yè)評估隊伍,同時做好評估全過程的安全保密工作��。
根據(jù)信息資產(chǎn)重要程度�����,合理定級���,實施信息安全等級保護。對于新建信息系統(tǒng)�,應按照國家等級保護的管理規(guī)范和技術標準,進行規(guī)劃設計���、建設施工��;對于已有信息系統(tǒng)�����,應采購和使用相應等級的信息安全產(chǎn)品����,建設安全設施��,落實安全技術措施,完成系統(tǒng)整改���;對于包含多個子系統(tǒng)的信息系統(tǒng)�,在保障信息系統(tǒng)安全互聯(lián)和有效信息共享的前提下���,按照信息系統(tǒng)內各子系統(tǒng)的不同重要程度��,分別確定安全保護等級��;對于跨地域的大系統(tǒng)��,實行縱向保護和屬地保護相結合的方式�����。
八����、加強災難恢復系統(tǒng)建設��,提高業(yè)務持續(xù)運營能力
實施數(shù)據(jù)集中的銀行業(yè)金融機構應同步規(guī)劃��、同步建設�、同步運行信息系統(tǒng)災難恢復系統(tǒng)�。災難備份中心的規(guī)劃建設應綜合考慮平衡風險與成本�����、運維管理與災難恢復力量等因素�,可采取自建、聯(lián)合共建或利用外部企業(yè)(組織)的災難備份設施等方式����。全國性大型銀行�����,原則上應同時采用同城和異地災難備份和恢復策略�����,區(qū)域性銀行可采用同城或異地災難備份和恢復策略�����。對于核心業(yè)務系統(tǒng)��,應實施應用級備份�,以保證災難發(fā)生時�,能盡快恢復業(yè)務運營�����,對于其他應用系統(tǒng)�,可實施系統(tǒng)級或數(shù)據(jù)級備份。災難備份中心的選址要從國家整體安全出發(fā)����,合理規(guī)劃布局,不要過度集中于個別地區(qū)�。要適時備份和安全保存業(yè)務數(shù)據(jù),定期對冗余備份系統(tǒng)����、備份介質進行深度可用性檢查,建立應急預案演練制度����,定期組織有業(yè)務部門參與的桌面演練和生產(chǎn)系統(tǒng)實戰(zhàn)演練,定期對雙機熱備系統(tǒng)進行切換演練���,已建立災難備份系統(tǒng)的單位�,原則上備份系統(tǒng)與生產(chǎn)系統(tǒng)的切換要至少每年演練一次。要建立統(tǒng)一�、高效應急反應機制,并與分支機構�����、營業(yè)網(wǎng)點間建立快速���、有效的溝通機制�����,上下互動應對危機�。涉及跨行業(yè)的應急協(xié)調工作�����,按照人民銀行制定的《銀行重要信息系統(tǒng)應急協(xié)調預案》處置��。
九��、建立銀行卡風險防范體系���,切實保障銀行卡的使用安全
要加強對銀行卡發(fā)卡、轉接、收單�、第三方服務等環(huán)節(jié)的安全管理,確保銀行卡交易信息及持卡人信息的安全�,建立針對相關責任方的處罰機制和賠償機制,建立應急反應機制�,及時調查和通報泄密事件,及時采取補救措施����,及時向發(fā)卡、轉接���、收單機構和持卡人發(fā)出風險提示�,銀行卡業(yè)務外包應簽訂信息數(shù)據(jù)保密協(xié)議��。要采取有效技術措施�,確保銀行卡信息安全和交易安全,依據(jù)我國銀行IC卡應用規(guī)劃實施指導意見的要求�,推進銀行卡芯片化,積極應對����,審慎實施EMV遷移改造,建立健全銀行卡密鑰管理體系���,完善銀行IC卡安全認證技術����,防止偽卡欺詐。要加大銀行卡信息安全監(jiān)督管理執(zhí)行力度���,定期開展檢查���,堵疏防漏,建立銀行卡風險數(shù)據(jù)報告和監(jiān)管指標體系��,加強合作�����,及時通報銀行卡風險情況�。要建立健全銀行卡產(chǎn)品檢測認證體制,按照國家和行業(yè)標準����,加強對銀行卡產(chǎn)品的安全認證管理����,加大銀行卡各項標準的執(zhí)行力度。要確保銀行卡交易信息和資金清算的安全,各發(fā)卡機構發(fā)行的境內卡在境內使用和人民幣卡在境外使用時���,發(fā)卡機構與銀行卡清算組織應以人民幣結算��,并在境內完成交易信息處理及資金清算�。境內發(fā)卡機構應在境內建立發(fā)卡主機及數(shù)據(jù)系統(tǒng)�,確保銀行卡交易數(shù)據(jù)和持卡人信息的完整性和安全性。
十�����、采取有效措施�,進一步增強網(wǎng)上銀行信息安全風險防范能力
要配合《電子簽名法》的實施,建立和完善網(wǎng)上銀行和其他電子支付業(yè)務的技術標準�����,配套出臺保證電子數(shù)據(jù)保存周期以及確保其真實性���、完整性�、一致性的相關規(guī)定��,制定嚴禁篡改�、偽造��、出讓�、銷毀交易記錄����、客戶資料、系統(tǒng)日志等電子數(shù)據(jù)的管理制度�,規(guī)范網(wǎng)上銀行信息技術應用,有效地保護網(wǎng)上銀行交易各方的合法權益�。要重點解決好網(wǎng)上交易各方身份真實有效以及支付數(shù)據(jù)不可否認問題,研究開發(fā)安全可靠的銀行支付網(wǎng)關�����,大力推行電子認證方式����,有效提高安全性保障,增強客戶信心��。要積極推動建立統(tǒng)一的電子認證服務機制��,促進符合國家安全標準�、具有資質的第三方金融認證機構的發(fā)展�,采用統(tǒng)一的數(shù)字證書標準�����,有效解決好跨行認證問題�����,消除由此帶來的客戶不便和安全隱患�。要強化網(wǎng)上銀行內部安全控制�,制定和完善涵蓋各個風險點和業(yè)務流程的安全制度,綜合運用技術措施���,有效防范內部人員或內外勾結違規(guī)違法操作����,研究分析各種網(wǎng)上欺詐行為�����,積極采取有效應對措施���,采取各種形式的宣傳活動����,增強客戶安全意識,引導客戶安全使用網(wǎng)上銀行�����。
在執(zhí)行本指導意見中如有問題����,請及時向人民銀行總行反映。人民銀行上?���?偛浚鞣中?����、營業(yè)管理部���、省會(首府)城市中心支行將本指導意見轉發(fā)至轄區(qū)內各城市商業(yè)銀行�����、農(nóng)村商業(yè)銀行�����、農(nóng)村合作銀行�����。