金融机构信息安全管理指引

发布时间 : 2024/4/28 17:58:10 星期日 文章金融机构信息安全管理指引更新完毕开始阅读

第二十三条 应建立健全计算机机房管理制度，落实专人担任机房管理员，定期巡查机房运行状况。机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。

第二十四条 对计算机机房搬迁等可能影响系统正常运行的维护事项，事前需报当地人民银行备案。

第二十五条 对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防范。

第二十六条 各银行机构应做好计算机设备的登记工作，严格设备资产管理，落实设备使用者的安全保护责任。

第二十七条 各银行机构应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未授权使用设备或信息。有特殊安全保密要求的计算机设备，应放臵在机房特殊功能区，并遵守相关安全保密规定。

第五章 密码技术及网络安全管理

第二十八条 各银行机构信息系统应根据安全需要合理运用密码技术和产品，所使用的密码技术与产品应符合国家密码管理相关规定。

第二十九条 各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施，建立规范的密钥管理制度。

第三十条 各银行机构信息系统所使用的网络应具备可信体系架构，具备身份认证、授权管理、跟踪审计等功能。

第三十一条 各银行机构信息系统所使用的网络应具备基本的

— 7 —

安全防范能力，能通过身份认证、访问控制、内容过滤、信息加密、网络隔离等措施有效防范来源于内部和外部的网络威胁。

第三十二条 各银行机构应严格网络安全配臵管理，制订合理的网络服务策略和强制路径策略，强化外部连接用户认证，加强远程诊断接口的保护。

第三十三条 各银行机构应规范划分网络安全域，利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离，加强网络边界防护，保证重要信息不被泄露、篡改或非法利用。

第六章 国产化及外包服务

第三十四条 各银行机构应积极开展国外技术和产品的国

产化替代工程，降低对外资厂商的依赖程度，消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装臵带来的安全隐患，提高信息安全自主可控水平。

第三十五条 在保证可用性的条件下，各银行机构应优先考虑

购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术。

第三十六条 积极开展安全管理认证工作，开展测评认证时，应选择具有资质的国内认证和咨询机构，加强信息安全和保密管理，保证重要敏感信息不出境。

第三十七条 各银行机构应在充分评估风险控制的基础上使用

— 8 —

外包服务，并建立规范的外包服务管理机构及管理制度。

第三十八条 各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。重要业务系统托管应选择具有相关资质的中资机构。

第三十九条 各银行机构加强对外包服务全过程的跟踪管理，完善过程记录，定期对外包服务的实施过程风险和完成情况进行评估。

第四十条 各银行机构加强对外包服务商的管理，选择外包服务商应符合国家和行业监管部门信息安全相关规定，明确服务等级责任（SLA），签订保密协议。

第七章 风险评估及等级保护

第四十一条 各银行机构应加强对信息系统风险评估的管理，在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。

第四十二条 各银行机构使用的信息系统要适时、有效开展风险评估，重要信息系统至少每一年进行一次评估，并根据评估结果，及时研究整改存在的问题，实施安全加固。

第四十三条 各银行机构应每半年按照《四川省银行业金融机构信息安全评估规范》开展一次全面的自评估，在2月底和10月底上报当地人民银行。

第四十四条 各银行机构要严格控制风险评估过程的管理，有

— 9 —

规范的制度和专门人员，应建立风险预案，落实预防性应对措施，确保风险评估工作不影响生产系统安全。

第四十五条 各银行机构应每年梳理本机构运营使用的信息系统，按照国家和人民银行有关要求开展规范的定级工作，按人民银行要求报送定级评审材料，二级及以上信息系统需向当地公安部门备案。

第四十六条 各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作，并针对测评问题做好整改工作，并按照属地管理原则向当地人民银行报送测评整改总结报告。

第八章 灾难恢复系统和业务连续性体系

第四十七条 各银行机构应按照国家相关规范加强灾难恢复系统建设，制定覆盖所有重要信息系统的业务连续性计划和应急预案，建立和完善各项管理制度，提高业务持续运营能力。

第四十八条 实施数据集中的银行机构应同步规划、同步建设、同步运行同城或异地信息系统灾难恢复系统，逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。

第四十九条 各银行机构核心业务系统，应实施应用级备份；对于其他业务系统，可实施系统级或数据级备份。应适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度可用性检查。

第五十条 同城灾备中心对站点级灾难恢复能力应达到《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007）中所定义

— 10 —