商业银行信息安全管理办法

XX银行

信息安全管理办法

第一章总则

第一条为加强XX银行（下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本办法。

第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。

第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。

第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。

第二章组织保障

第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。

第六条各部室、各分支机构应指定至少一名信息安全员，配合信息安全领导小组开展信息安全管理工作，具体负责信息安

全领导小组颁布的相关管理制度及要求在本部室的落实。。

第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。

第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。

第三章人员管理

第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。

第一节信息安全管理人员

第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。

第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。

第十二条信息安全管理人员每年至少参加一次信息安全相关培训。

第十三条安全工作小组在如下职责范围内开展信息安全管理工作：

（一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理工作。

（二）审核信息化建设项目中的安全方案，组织实施信息安全保障项目建设。

（三）定期监督网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。

（四）统计分析和协调处置信息安全事件。

（五）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。

第十四条信息安全领导小组成员在如下职责范围内开展工作：

（一）负责本行信息安全管理体系的落实。

（二）负责提出本行信息安全保障需求。

（三）负责组织开展本行信息安全检查工作。

第二节技术支持人员

第十五条本办法所称技术支持人员，是指参与本行网络、信息系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。

第十六条本行内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中，应承担如下安全义务：（一）不得对外泄漏或引用工作中触及的任何敏感信息。

（二）严格权限访问，未经业务主管部室授权不得擅自改变系统设置或修改系统生成的任何数据。

（三）主动检查和监控生产系统安全运行状况，发现安全

隐患或故障及时报告本部室主管领导，并及时响应、处置。

（四）严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度，做好数据备份工作。

第十七条外部技术支持人员应严格履行外包服务合同（协议）的各项安全承诺，签署保密协议。提供技术服务期间，严格遵守本行相关安全规定与操作规程。不得拷贝或带走任何配置参数信息或业务数据，不得对外泄漏或引用任何工作信息。

第三节一般计算机用户

第十八条本规定所称一般计算机用户是指使用计算机设备的所有人员。

第十九条一般计算机用户应承担如下安全义务：

（一）及时更新所用计算机的病毒防治软件和安装补丁程序，自觉接受本部室信息安全员的指导与管理。

（二）不得安装与办公和业务处理无关的其他计算机软件和硬件，不得修改系统和网络配置以屏蔽信息安全防护。

（三）不得在办公用计算机上安装任何盗版或非授权软件。

（四）未经信息安全管理人员检测和授权，不得将内部网络的计算机转接入国际互联网；不得将个人计算机接入内部网络或私自拷贝任何信息。

第四章资产管理

第二十条本行对所有信息资产进行识别、评估相对价值及重要性，建立资产清单并说明使用规则，明确定义信息资产责任

人及其职责。细则参见《XX银行信息资产分类分级管理规定》。

第二十一条按照信息资产的价值、法律要求及敏感程度和对业务关键程度，分别依据机密性、完整性、可用性三个属性对信息资产进行分类分级，并建立相应的标识和处理制度。

第二十二条依照信息资产的分类分级采取不同的安全保护措施，制定完善的访问控制策略，防止未经授权的使用。

第二十三条依据《XX银行介质管理规范》加强介质管理与销毁操作管理，确保本行数据的可用性、保密性、完整性。

第五章物理环境安全管理

第一节机房安全管理

第二十四条本规定所称机房是指信息系统主要设备放置、运行的场所以及供配电、通信、空调、消防、监控等配套环境设施。

第二十五条本行机房的信息安全管理由本行本行信息科技部门负责具体实施和落实。

第二十六条建立机房设施与场地环境监控系统，对机房空调、消防、不间断电源（UPS）、供配电、门禁系统等重要设施实行全面监控。

第二十七条建立健全机房管理制度，并指派专人担任机房管理员，落实机房安全责任制。机房管理员应经过相关专业培训，熟知机房各类设备的分布和操作要领，定期巡查机房，发现问题及时报告。机房管理员负责保管机房建设或改造的所有文

档、图纸以及机房运行记录等有关资料，并随时提供调阅。

第二十八条建立机房定期维修保养制度。易受季节、温度等环境因素影响的设备、已逾保修期的设备、近期维修过的设备等应成为保养的重点。

第二十九条依据《浙江省农村合作金融机构机房管理指引》进一步规范机房建设、改造和验收过程，落实机房管理。

第三十条信息安全领导小组负责定期审核机房安全管理落实情况，并保留相应的审核记录和审核结果。

第二节重要区域安全管理

第三十一条本章节所指重要区域为：本行信息中心主备机房和运维监控室等区域。本行信息中心负责制定和执行运维监控方面的安全管理制度。

第三十二条重要区域应严格出入安全管理，安装门禁、视频监视录像系统，实行定时录像监控，并适当配置自动监控报警功能。

第三十三条所有门禁、视频监视录像系统的信息资料至少保存三个月。

第三节办公环境安全管理

第三十四条在本行大楼入口应设置门卫或接待员，负责出入或公共访问区域的物理安全管理和外来人员的出入登记。

第三十五条本行信息中心楼层设立门禁，加强人员进出管理。

第三十六条本行信息中心员工应在公共接待区接待外来人

员，未经允许，不得私自将外来人员带入办公区域内。

第三十七条未经允许，严禁在信息中心办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。

第六章网络安全管理

第一节网络规划、建设中的安全管理

第三十八条本行网络信息科技部负责网络和网络安全的统一规划、建设部署、策略配置和网络资源（网络设备、通讯线路、IP 地址和域名等）分配。

第三十九条按照统一规划和总体部署原则，由信息科技部组织实施网络建设、改造工程，工程投产前应通过安全测试与评估。

第四十条本行网络建设和改造应符合如下基本安全要求：（一）网络规划应有完整的安全策略，保障网络传输与应用安全。

（二）具备必要的网络监测、跟踪和审计等管理功能。

（三）针对不同的网络安全域，采取必要的安全隔离措施。

（四）能有效防止计算机病毒对网络系统的侵扰和破坏。

第二节网络运行安全管理

第四十一条信息科技部应建立健全网络安全运行方面的制度，配备专职网络管理员。网络管理员负责日常监测和检查网络安全运行状况，管理网络资源及其配置信息，建立健全网络运行维护档案，及时发现和解决网络异常情况。

第四十二条网络管理员应定期参加网络安全技术培训，具备一定的非法入侵、病毒蔓延等网络安全威胁的应对技能。

第四十三条严格网络接入管理。任何设备接入网络前，接入方案、设备的安全性等应经过网络管理人员的审核与检测，审核（检测）通过后方可接入并分配相应的网络资源。

第四十四条严格网络变更管理。网络管理员调整网络重要参数配置和服务端口时，应严格遵循变更管理流程。实施有可能影响网络正常运行的重大网络变更，应提前通知相关业务部门并安排在非交易时间或交易较少时间进行，同时做好配置参数的备份和应急恢复准备。

第四十五条严格远程访问控制。确因工作需要进行远程访问的人员应向信息简科技部提出书面申请，并采取相应的安全防护措施。

第四十六条信息安全管理人员负责定期对网络进行安全检测、扫描和评估。检测、扫描和评估结果属敏感信息，不得向外界提供。未经授权，任何外部单位与人员不得检测、扫描本行网络。

第三节接入国际互联网管理

第四十七条信息科技部负责制定本行互联网方面管理制度，对互联网接入进行严格的控制，防范来自互联网的威胁。

第四十八条本行内部业务网、办公网与国际互联网实行安全隔离。所有接入内部网络或存储有敏感工作信息的计算机，不得直接或间接接入国际互联网。

第四十九条内部网络计算机严禁接入国际互联网，确有必要接入国际互联网的应通过信息安全工作小组审核并上报相关领导审批，确保安装有指定的防病毒软件和最新补丁程序。经审批后连接国际互联网的计算机，不得存留涉密金融数据信息；存有涉密金融数据信息的介质，不得在接入国际互联网的计算机上使用。

第五十条曾接入国际互联网的计算机严禁接入内部网络，确有必要接入内部网络的应通过安全工作小组审核并上报相关领导审批，经安全检测后方能接入。从国际互联网下载的任何信息，未经病毒检测不得在内部网络上使用。

第五十一条使用国际互联网的所有用户应遵守国家有关法律法规和本行相关管理规定，不得从事任何违法违规活动。

第七章访问控制

第五十二条本行负责建立访问控制制度，对信息资产和服务的访问和权限分配进行控制。

第五十三条信息资产的责任人负责确定信息资产和服务的访问权限，运行维护科根据授权进行相关设定操作。

第五十四条信息系统用户设置本人的用户和密码，并对其访问控制权限负责。重要信息系统操作人员的密码应由系统管理员和业务部门负责人分段设立。

第五十五条凡是能够执行录入、复核制度的信息系统，操作人员不得一人兼录入、复核两职。未经主管领导批准，不得代

岗、兼岗。

第五十六条应启用安全措施限制授权用户对操作系统的访问，包括但不限于：

（一）按照已定义的访问控制策略鉴别授权用户；

（二）记录成功和失败的系统访问企图；

（三）记录专用系统特殊权限的使用情况；

（四）当违反系统安全策略时发布警报；

（五）提供合适的身份鉴别手段；

（六）限制用户的连接时间。

第五十七条对应用系统和信息的逻辑访问应只限于已授权的用户。对应用系统的访问控制措施包括但不限于：

（一）按照定义的访问控制策略，控制用户访问信息和应用系统的特定功能；

（二）防止能够绕过系统控制或应用控制的任何实用程序、系统软件和恶意软件对系统进行未授权访问；

（三）为重要的敏感系统设立隔离的运行环境。

第五十八条访问控制实施细则详见《XX银行信息系统访问控制管理规定》。

第八章信息系统安全管理

第五十九条本规定所指的信息系统是本行业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。

第六十条信息系统安全管理实施细则详见《XX银行计算机信息系统安全管理规定》。

第一节信息系统规划与立项

第六十一条信息系统建设项目应在规划与立项阶段同步考虑安全问题，建设方案应满足信息安全管理的相关要求。项目技术方案应包括以下基本安全内容：

（一）业务需求部室提出的安全需求。

（二）安全需求分析和实现。

（三）运行平台的安全策略与设计。

第六十二条信息安全领导小组负责派遣相关部室安全员对项目技术方案进行安全专项审查并提出审查意见，未通过安全审核的项目不得予以立项。

第二节信息系统开发与集成

第六十三条信息系统开发应符合软件工程规范，依据安全需求进行安全设计，保证安全功能的完整实现。

第六十四条信息系统开发单位应在完成开发任务后将程序源代码及相关技术资料全部移交本行。外部开发单位还应与本行签署相关知识产权保护协议和保密协议，不得将信息系统采用的关键安全技术措施和核心安全功能设计对外公开。

第六十五条信息系统的开发人员不能兼任信息系统管理员或业务系统操作人员，不得在程序代码中植入后门和恶意代码程序。

第六十六条信息系统开发、测试、修改工作不得在生产环

境中进行。

第六十七条涉密信息系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位或企业，并签订严格的保密协议。

第六十八条系统上线前应开展代码审计过程检查源代码中的缺点和错误信息，避免引发安全漏洞。

第三节信息系统运行

第六十九条信息系统上线运行实行安全审查机制，未通过安全审查的任何新建或改造信息系统不得投产运行。具体要求如下：

（一）项目承建单位（部室）应组织制定安全测试方案，进行系统上线前的自测试并形成测试报告，报信息科技部审查。

（二）信息系统归口责任业务部室应在信息系统投产运行前同步制定相关安全操作规定，报信息科技部门。

（三）信息科技部应提出明确的测试方案和测试报告审查意见。必要时，可组织专家评审或实施信息系统漏洞扫描检测。

第七十条信息系统投入使用前信息中心应当建立相应的操作规程和安全管理制度，以防止各类安全事故的发生。

第七十一条系统管理员负责信息系统的日常运行管理，并建立重要信息系统运行维护档案，详细记录系统变更及操作过程。重要业务系统的系统操作要求双人在场。

第七十二条系统管理员不得兼任业务操作人员。系统管理员确需对业务系统进行维护性操作的，应征得业务系统归口责任

业务处室同意并在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。

第七十三条严格用户和密码（口令）的管理，严格控制各级用户对数据的访问权限。

第七十四条在信息系统运行维护过程中，系统管理人员应遵守但不限于以下要求：

（一）合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准；

（二）屏蔽与应用系统无关的所有网络功能，防止非法用户的侵入；

（三）及时、合理安装正式发布的系统补丁，修补系统存在的安全漏洞；

（四）启用系统提供的审计功能，或使用第三方手段实现审计功能，监测系统运行日志，掌握系统运行状况；

（五）按照网络管理规范及其业务应用范围设置设备的 IP 地址及网络参数，非系统管理人员不得修改。

第四节信息系统废止

第七十五条废止信息系统及其存储介质在报废或重用前，应根据其安全级别，进行消磁或安全格式化，以避免信息泄露。

第七十六条对已经废止的信息系统软件和数据备份介质，按业务规定在一定期限内妥善保存。超过保存期限后需要销毁的，应在信息安全领导小组监督下予以不可恢复性销毁。

第九章客户端安全管理

第七十七条本办法所称客户端是指本行计算机用户、网络与信息系统所使用的终端设备，包括联网桌面终端、柜面终端、单机运行（哑）终端、远程接入终端、便携式计算机设备等。

第七十八条客户端应安装和使用正版软件，不得安装和使用盗版软件，不得安装和使用与工作无关的软件。

第七十九条客户端应统一安装病毒防治软件，设置用户密码和屏幕保护口令等安全防护措施，确保安装最新的病毒特征码和必要的补丁程序。

第八十条确因工作需要经授权可远程接入内部网络的用户，应严格保存其身份认证介质及口令密码，不得转借其他人使用。

第八十一条规范存储本单位商密信息的计算机设备的安全管理，包括：开发用终端、生产主机及其他计算机设备。

第十章信息安全专用产品、服务管理

第一节资质审查与选型购置

第八十二条本规定所称信息安全专用产品，是指本行安装使用的专用安全软件、硬件产品。本规定所称信息安全服务，是指本行向社会购买的专业化安全服务。

第八十三条本行负责信息安全服务提供商的资质审查和信息安全专用产品的选型，由采购科室按照采购程序选购。

第八十四条安全专用产品在准入审核时，供应商应提出申

请并提供下列资料：

（一）公安部颁发的安全专用产品销售许可证和其他必须的证明材料；

（二）产品型号、产地、功能及报价；

（三）产品采用的技术标准，产品功能及性能的说明书；

（四）生产企业概况（包括人员、设备、生产条件、隶属关系等）；

（五）供应商的质量保证体系、售后服务措施等情况的说明。

第八十五条安全专用产品有下列情形之一的，取消其准入资格：

（一）安全专用产品的功能已发生变化，但未通过检测的；

（二）经使用发现有严重问题的；

（三）不能提供良好售后服务的；

（四）国家有关部门取消其销售资格的。

第二节使用管理

第八十六条扫描、检测类信息安全专用产品仅限于信息安全管理人员使用。

第八十七条信息科技部定期检查各类信息安全专用产品使用情况，认真查看相关日志和报表信息并定期汇总分析。如发现重大问题，立即采取控制措施并按规定程序报告。

第八十八条信息科技部应及时升级维护信息安全专用产品，凡因超过使用期限的或不能继续使用的信息安全专用产品，应报信息安全领导小组批准后，按照固定资产报废审批程序处

理。

第十一章文档、数据与密码应用安全管理

第一节技术文档

第八十九条本规定所称技术文档是指本行网络、信息系统和机房环境等建设与运行维护过程中形成的各种技术资料，包括纸质文档、电子文档、视频和音频文件等。

第九十条各部室负责将技术文档统一归档。未经本行领导批准，任何人不得将技术文档转借、复制和对外公布。

第二节存储介质

第九十一条建立健全磁带、光盘、移动存储介质、缩微胶片、已打印文档等存储介质管理流程。所有存储介质应保存在安全的物理环境中并有明晰的标识。重要信息系统备份介质应按规定异地存放。

第九十二条做好存储介质在物理传输过程中的安全控制，选择可靠的传递方式和防盗控制措施。重要信息的存取需要授权和记录。

第九十三条加强对移动存储设备（Ｕ盘、软盘、移动硬盘等）的使用管理。对系统升级专用的移动存储设备应按照相关规定由专人负责管理。

第九十四条建立存储介质销毁机制，对载有敏感信息的存储介质应按照其安全等级，采用安全格式化、消磁等不可复原的方式进行处置并做好记录。

第九十五条介质管理实施细则详见《XX银行介质管理规范》。

第三节数据安全

第九十六条本规定中所称的数据是指以电子形式存储的本行业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。

第九十七条数据的所有者（部室）负责提出数据在输入、处理、输出等不同状态下的安全需求，信息科技部负责审核安全需求并提供一定的技术实现手段。

第九十八条严格管理业务数据的增加、修改、删除等变更操作，进行业务数据有效性检查，按照既定备份策略执行数据备份任务，并定期测试备份数据的有效性。

第九十九条系统管理员负责定期导出网络和重要信息系统日志文件并明确标识存储内容、时间、密级等信息。日志文件应至少保留一年，妥善保管。

第一百条本行信息科技部负责建立备份数据销毁方面的管理制度，根据数据重要性级别分类采取相应的备份数据的保存时限和密级，并根据介质处置相关要求进行销毁处理。

第一百零一条所有数据备份介质应注意防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。

第一百零二条生产数据的调用提取应遵守《XX银行计算机系统生产数据调用及维护操作规程》。

第四节口令密码

第一百零三条信息科技部负责制定和维护密码管理方面的制度，严格执行密码安全管理策略。

第一百零四条系统管理员、数据库管理员、网络管理员、业务操作人员的用户均须设置口令密码，至少每三个月更换一次。口令密码的强度应满足必要的安全性要求。

第一百零五条敏感信息系统和设备的口令密码设置应在安全的环境下进行，必要时应将口令密码笔录，密封交相关部室保管。未经本行分管领导许可，任何人不得擅自拆阅密封的口令密码。拆阅后的口令密码使用后应立即更改并再次密封存放。

第一百零六条应根据实际情况在一定时限内妥善保存重要信息系统升级改造前的口令密码。

第五节密码技术应用管理

第一百零七条本行涉密网络和信息系统应严格按照国家密码政策规定，采用相应的加密措施。非涉密网络和信息系统应依据本行实际需求和统一安全策略，合理选择加密措施。

第一百零八条密码产品和加密算法的选择应符合国家相关密码管理政策规定，密码产品自身的物理和逻辑安全性应符合本行的相关安全要求。

第一百零九条本行信息科技部负责建立和执行密钥管理方面的制度，选择密码管理人员必须是本单位在编的正式员工，并逐级进行备案，规范管理密钥产生、存储、分发、使用、废除、归档、销毁等过程。

第一百一十条应在安全环境中进行关键密钥的备份工作，并设置遇紧急情况下密钥报废、销毁机制。

第一百一十一条各类密钥应定期更换，对已泄漏或怀疑泄漏的密钥应及时废除，过期密钥应安全归档或定期销毁。

第十二章第三方访问和外包服务安全管理

第一节第三方访问控制

第一百一十二条本规定所称第三方访问是指本行之外的单位和个人物理访问本行计算机房，或者通过网络连接逻辑访问本行数据库和信息系统等活动。

第一百一十三条信息科技部负责在第三方与本行合作前对其资质进行调查。本行内部信息系统和相关网络的第三方访问授权需经本行领导的审批授权。未经授权的任何第三方访问均视为非法入侵行为。

第一百一十四条允许被第三方访问的本行信息系统和资源应建立存取控制机制、认证机制，列明所有用户名单及其权限，严格监督第三方访问活动。

第一百一十五条获得第三方访问授权的所有单位和个人应与本行签订安全保密协议，不得进行未授权的修改、增加、删除数据操作，不得复制和泄漏本行任何信息。

第一百一十六条第三方访问控制实施细则详见《XX银行第三方安全管理规定》。

第二节外包服务管理

第一百一十七条本规定所称外包服务，是指由本行之外的其他社会厂商为本行信息系统、网络或桌面环境提供全面或部分的技术支持、咨询等服务。外包服务应签订正式的外包服务协议，明确约定双方义务。

第一百一十八条外包服务提供商提供上门维护服务的，经信息科技部批准后，由本行内部人员现场陪同实施。外包服务提供商不得查看、复制本行内部信息或将内部介质带离。

第一百一十九条计算机设备确需送外单位维修时，本行应彻底清除所存工作信息，必要时应与设备维修厂商签订保密协议。与密码设备配套使用的计算机设备送修前必须请生产设备的科研单位拆除与密码有关的硬件，并彻底清除与密码有关的软件和信息。

第一百二十条外包服务管理详见《XX银行IT外包管理暂行办法》。

第十三章事件报告、灾难备份与应急管理

第一节事件报告

第一百二十一条信息安全事件按照信息安全事件报告流程进行报告，一般信息安全事件应逐级通报，发生因人为、自然原因造成信息系统瘫痪以及利用计算机实施犯罪等影响和损失较大的重大信息安全事件，应上报告计算机安全领导小组。

第一百二十二条重大信息安全事件发生后，相关人员应注意保护事件现场，采取必要的控制措施，调查事件原因，并及时

银行业信息安全培训试题

信息安全培训试题 一、单选 1、信息科技风险指在商业银行运用过程中，由于自然因素、（B）、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 A 制度落实 B 技术标准 C 人为因素 D 不可抗力 2、信息科技风险管理的第一责任人是（A）。 A 银行的法定代表人 B 信息技术部负责人 C CIO D 其他 3、信息科技指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行（A），建立完整的管理组织架构，制订完善的管理制度和流程。 A 信息科技治理 B 信息安全管理

系统持续性管理C． D 突发事件管理 4、所有科技风险事件都可以归于信息系统连续性或（D）出问题的事件。 A 保密性 B 完整性 C 可用性 D 安全性 5、设立或指派一个特定部门负责信息科技（D）管理工作，该部门为信息科技突发事件应急响应小组的成员之一。 A 安全 B 审计 C 合规 D 风险 6、内部审计部门设立专门的信息科技风险审计岗位，负责（A）进行审计。 A 信息科技审计制度和流程的实施，制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等 B制订和执行信息科技审计计划，对信息科技整个生命周期和重大事件等 C 信息科技审计制度和流程的实施，对信息科技整个生命周期和重大事件等

信息科技审计制度和流程的实施，制订和执行信息科技审计计划D 等 7、信息科技风险管理策略，包括但不限于下述领域（C）。 A信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全 B信息分级与保护；信息系统开发、测试和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置C信息分级与保护；信息系统开发、测试和维护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置 D 信息分级与保护；信息科技运行和维护；访问控制；物理安全；人员安全；业务连续性计划与应急处置 8、依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。定义每个业务级别的控制内容，包括最高权限用户的审查、控制对数据和系统的物理和逻辑访问、访问授权（C）为原则、审批和授权、验证和调节。。 A以“最小授权” B以“必需知道” C以“必需知道”和“最小授权” D以上都不是 9、信息科技风险管理应制定明确的（D）等，定期进行更新和公示A信息科技风险管理制度 B 技术标准

中国人民银行信息安全管理规定

中国人民银行信息安全管理规定 第一章总则 第一条为强化人民银行信息安全管理，防范计算机信息技术风 险，保障人民银行计算机网络与信息系统安全和稳定运行，根据《中华 人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系 统安全保护工作暂行规定》等规定，特制定本规定。 第二条本规定所称信息安全管理，是指在人民银行信息化项目立 项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、 环境、网络和操作安全的一系列管理活动。 第三条人民银行信息安全管理工作实行统一领导和分级管理。总行统一领导分支机构和直属企事业单位的信息安全管理，负责总行机关 的信息安全管理。分支机构负责本单位和辖内的信息安全管理，各直属企事业单位负责本单位的信息安全管理。 第四条人民银行信息安全管理实行分管领导负责制，按照“谁主 管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个 人信息安全责任制。 第五条本规定适用于人民银行总行机关、各分支机构和直属企事业单位（以下统称“各单位”）。所有使用人民银行网络或信息资源的其 他外部机构和个人均应遵守本规定。 第二章组织保障

第六条各单位应设立由本单位领导和相关部门主要负责人组成 的计算机安全工作领导小组，办公室设在本单位科技部门，负责协调本单位及辖内信息安全管理工作，决策本单位及辖内信息安全重大事宜。 第七条各单位科技部门应设立信息安全管理部门或岗位。总行机关、分行、营业管理部、省会（首府）城市中心支行、副省级城市中心 支行科技部门配备专职信息安全管理人员，实行 A、B 岗制度；地（市） 中心支行和县（市）支行设立信息安全管理岗位。 第八条除科技部门外，各单位其他部门均应指定至少一名部门计 算机安全员，具体负责本部门的信息安全管理，协同科技部门开展信息 安全管理工作。 第三章人员管理 第九条各单位工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条各单位应选派政治思想过硬、具有较高计算机水平的人员 从事信息安全管理工作。凡是因违反国家法律法规和人民银行有关规定 受到过处罚或处分的人员，不得从事此项工作。 第十一条各单位信息安全管理人员应经过总行或分行、营业管 理部、省会（首府）城市中心支行组织的专业培训与审核，培训与审核 合格后方可上岗。上岗后，每年至少参加一次信息安全专业培训。

商业银行资本管理办法(十四)

商业银行资本管理办法（十四） 第一百一十六条商业银行应当指定相关部门履行以下资本管理职责： (一)制定资本总量、结构和质量管理计划，编制并实施资本规划和资本充足率管理计划，向高级管理层报告资本规划和资本充足率管理计划执行情况。 (二)持续监控并定期测算资本充足率水平，开展资本充足率压力测试。 (三)组织建立内部资本计量、配置和风险调整资本收益的评价管理体系。 (四)组织实施内部资本充足评估程序。 (五)建立资本应急补充机制，参与或组织筹集资本。 (六)编制或参与编制资本充足率信息披露文件。 第一百一十七条商业银行采用资本计量高级方法的，相关部门还应履行以下职责： (一)设计、实施、监控和维护资本计量高级方法。 (二)健全资本计量高级方法管理机制。 (三)向高级管理层报告资本计量高级方法的计量结果。 (四)组织开展各类风险压力测试。 第一百一十八条商业银行采用资本计量高级方法的，应当建立验证部门(团队)，负责资本计量高级方法的验证工作。验证部门(团队)应独立于资本计量高级方法的开发和运行部门(团队)。 第一百一十九条商业银行应当明确内部审计部门在资本管理中的职责。内部审计部门应当履行以下职责： (一)评估资本管理的治理结构和相关部门履职情况，以及相关人员的专业技能和资源充分性。 (二)至少每年一次检查内部资本充足评估程序相关政策和执行情况。

(三)至少每年一次评估资本规划的执行情况。 (四)至少每年一次评估资本充足率管理计划的执行情况。 (五)检查资本管理的信息系统和数据管理的合规性和有效性。 (六)向董事会提交资本充足率管理审计报告、内部资本充足评估程序执行情况审计报告、资本计量高级方法管理审计报告。 第一百二十条商业银行采用资本计量高级方法的，内部审计部门还应评估资本计量高级方法的适用性和有效性，检查计量结果的可靠性和准确性，检查资本计量高级方法的验证政策和程序，评估验证工作的独立性和有效性。 第三节风险评估 第一百二十一条商业银行应当按照银监会相关要求和本办法附件13的规定，设立主要风险的识别和评估标准，确保主要风险得到及时识别、审慎评估和有效监控。 主要风险包括可能导致重大损失的单一风险，以及单一风险程度不高、但与其它风险相互作用可能导致重大损失的风险。风险评估应至少覆盖以下各类风险： (一)本办法第四章、第五章和第六章中涉及且已覆盖的风险，包括信用风险、市场风险和操作风险。 (二)本办法第四章、第五章和第六章中涉及但没有完全覆盖的风险，包括集中度风险、剩余操作风险等。 (三)本办法第四章、第五章和第六章中未涉及的风险，包括银行账户利率风险、流动性风险、声誉风险、战略风险和对商业银行有实质性影响的其它风险。 (四)外部经营环境变化引发的风险。 第一百二十二条商业银行应当有效评估和管理各类主要风险。 (一)对能够量化的风险，商业银行应当开发和完善风险计量技术，确保风险计量的一致性、客观性和准确性，在此基础上加强对相关风险的缓释、控制和管理。

商业银行保密管理办法

****银行 股份有限公司保密管理办法 （试行） 第一章总则 第一条为保守国家秘密和***（以下简称“本行”）商业秘密，维护国家、本行及客户的安全和利益，保障本行各项业务健康发展，根据《中华人民共和国保守国家秘密法》等法律法规，特制定本办法。 第二条本办法所称保密管理包括制定保密标准和操作规范，查处失泄密事件，以及保密宣传教育、培训、检查、监测与考核等一系列工作。 第三条本行各级机构及所有员工都应履行本办法规定的保密义务。 第四条总行保密委员会主管全行保密工作，下设办公室，负责日常事务。 第五条各支行、分理处应指定专人负责保密管理工作。 第六条保密工作实行“统一领导、分级负责、积极防范、突出重点”的原则。 第七条各支行、分理处应高度重视保密管理工作，认真贯彻落实国家保密法律法规和本办法的各项要求，建立并落实保密工作责任制，加强保密宣传教育、检查指导和培训。

第二章保密信息 第八条本办法所称保密信息包括国家秘密、本行商业秘密。 第九条国家秘密是关系国家的安全和利益，依照法定程序确定，在一定时间内只限一定范围的人员知悉的事项。 国家秘密的密级分为“绝密”、“机密”和“秘密”三级。 本行国家秘密的范围依据《中华人民共和国保守国家秘密法》和《银行业国家秘密及其密级具体范围的规定》确定。 第十条本行商业秘密，是由本行产生、依法所有或者占有的，不为公众所知悉，能为本行带来经济利益，如果泄露将直接或间接影响本行商业利益，经本行采取一定保密措施的所有技术信息、经营信息和管理信息。 本行商业秘密分为“本行绝密”、“本行机密”和“本行秘密”三级。 本行商业秘密的范围根据《中华人民共和国反不正当竞争法》和本行的其他有关规定确定。 第十一条保密信息由产生该信息或分管该业务的部门（机构）定密责任人提出确定。定密责任人由本部门（机构）负责人或其指定的人员担任，并报所在机构保密工作部门（总行为办公室，下同）备案。定密责任人对定密的准确性负责。 对是否属于国家秘密、本行商业秘密或属于何种密级不明确的，由总行保密工作部门确定。

《商业银行资本管理办法(试行)》附件1-17【精选】

《商业银行资本管理办法（试行）》附件 附件1：资本工具合格标准。 附件2：信用风险权重法表内资产风险权重、表外项目信用转换系数及合格信用风险缓释工具。 附件3：信用风险内部评级法风险加权资产计量规则。 附件4：信用风险内部评级法风险暴露分类标准。 附件5：信用风险内部评级体系监管要求。 附件6：信用风险内部评级法风险缓释监管要求。 附件7：专业贷款风险加权资产计量规则。 附件8：交易对手信用风险加权资产计量规则。 附件9：资产证券化风险加权资产计量规则。 附件10：市场风险标准法计量规则。 附件11：市场风险内部模型法监管要求。 附件12：操作风险资本计量监管要求。 附件13：商业银行风险评估标准。 附件14：资本计量高级方法监督检查。 附件15：信息披露要求。 附件16：资本计量高级方法验证要求。 附件17：外部评级使用规范。

附件1： 资本工具合格标准 一、核心一级资本工具的合格标准 （一）直接发行且实缴的。 （二）按照相关会计准则，实缴资本的数额被列为权益，并在资产负债表上单独列示和披露。 （三）发行银行或其关联机构不得提供抵押或保证，也不得通过其他安排使其在法律或经济上享有优先受偿权。 （四）没有到期日，且发行时不应造成该工具将被回购、赎回或取消的预期，法律和合同条款也不应包含产生此种预期的规定。 （五）在进入破产清算程序时，受偿顺序排在最后。所有其他债权偿付后，对剩余资产按所发行股本比例清偿。 （六）该部分资本应首先并按比例承担绝大多数损失，在持续经营条件下，所有最高质量的资本工具都应按同一顺序等比例吸收损失。 （七）收益分配应当来自于可分配项目。分配比例完全由银行自由裁量，不以任何形式与发行的数额挂钩，也不应设置上限，但不得超过可分配项目的数额。 （八）在任何情况下，收益分配都不是义务，且不分配不得被视为违约。 （九）不享有任何优先收益分配权，所有最高质量的资本工具的分配权都是平等的。 （十）发行银行不得直接或间接为购买该工具提供融资。 （十一）发行必须得到发行银行的股东大会，或经股东大会授权的董事会或

金融机构信息安全管理指引

附件 省银行业金融机构信息安全管理指引（试行） 第一章总则 第一条为切实加强省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。 第二条本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统（单位）的信息安全管理，完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是： （一）加强组织领导，健全信息安全管理体制,建立跨部门、

跨行业协调机制； （二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能； （三）保证信息安全建设资金的投入，将信息安全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设； （四）进一步加强信息安全制度和标准规体系建设； （五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设； （六）加强安全运行监控体系建设； （七）大力开展信息安全风险评估，实施等级保护； （八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制； （九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。

银行信息安全管理办法(试行)[2020年最新]

目录 总则 (2) 第一章组织保障 (2) 第一节信息安全管理人员 (3) 第二节网络管理员 (4) 第三节系统管理员 (4) 第四节一般计算机用户 (5) 第二章机房环境和设备资产管理 (6) 第一节机房安全管理 (6) 第二节柜面和核心业务处理环境安全管理 (7) 第三节设备资产管理 (7) 第三章网络安全管理 (8) 第一节网络规划、建设中的安全管理 (8) 第二节网络运行安全管理 (8) 第三节网间互联安全管理 (10) 第四节接入国际互联网管理 (10) 第四章计算机系统安全管理 (10) 第一节计算机系统开发与集成 (11) 第二节计算机系统运行 (11) 第三节业务操作 (12) 第四节计算机系统废止 (13) 第五章客户端安全管理 (13) 第六章信息安全保护 (14) 第一节使用管理 (14) 第七章文档、数据与密码应用安全管理 (14) 第一节技术文档 (14) 第二节存储介质 (15) 第三节数据安全 (15) 第四节口令密码 (16) 第五节密码技术应用管理 (16) 第八章信息通报、灾难备份与应急管理 (18) 第一节信息通报 (18) 第二节灾难备份管理 (18) 第三节应急管理 (19) 第九章安全监测、检查、评估与审计 (20) 第一节安全监测 (20) 第二节安全检查 (20) 第三节安全评估 (21) 第四节安全审计 (21) 第十章奖励与处罚 (22) 第十一章附则 (22)

银行信息安全管理办法（试行） 总则 为强化我行信息安全管理，防范计算机信息技术风险，保障（以 下简称我行）计算机网络与信息系统安全和稳定运行，根据《中华人 民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等规定，特制定本办法。 第一条本规定所称信息安全管理，是指在我行信息化项目立项、建设、运行、维护及废止等过程中保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第二条我行信息安全管理实行分管领导负责制，按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实单位与个人 信息安全责任制。 第三条本规定适用于我行各部门、员工宿舍所有使用我行网络或 信息资源的个人均应遵守本办法。 第一章组织保障 第四条综合部下设信息安全保卫管理部，成立信息安全领导小组,全权负责协调本单位信息安全管理工作，决定本单位信息安全重大事宜。 组长:史亚萍

银监发201919商业银行信息科技风险管理指引word精品文档23页

商业银行信息科技风险管理指引 第一章总则 第一条为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》，以及国家信息安全相关要求和有关法律法规，制定本指引。 第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。 政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 第三条本指引所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术，在商业银行业务交易处理、经营管理和内部控制等方面的应用，并包括进行信息科技治理，建立完整的管理组织架构，制订完善的管理制度和流程。 第四条本指引所称信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第五条信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水

平，增强核心竞争力和可持续发展能力。 第二章信息科技治理 第六条商业银行法定代表人是本机构信息科技风险管理的第一责任人，负责组织本指引的贯彻落实。 第七条商业银行的董事会应履行以下信息科技管理职责： （一）遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准，落实中国银行业监督管理委员会（以下简称银监会）相关监管要求。 （二）审查批准信息科技战略，确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 （三）掌握主要的信息科技风险，确定可接受的风险级别，确保相关风险能够被识别、计量、监测和控制。 （四）规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识。 （五）设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会，负责监督各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 （六）在建立良好的公司治理的基础上进行信息科技治理，形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设，建立人才激励机制。

2012《商业银行资本管理办法(试行)》

银监会发布《商业银行资本管理办法（试行）》 根据国务院第207次常务会议精神，6月8日，中国银监会发布《商业银行资本管理办法（试行）》（以下简称《资本办法》），并于2013年1月1日起实施。 本轮国际金融危机表明，银行业实现稳健运行是国民经济保持健康发展的重要保障。金融危机以来，按照二十国集团领导人确定的改革方向，金融稳定理事会和巴塞尔委员会积极推进国际金融改革，完善银行监管制度。2010年11月，二十国集团首尔峰会批准了巴塞尔委员会起草的《第三版巴塞尔协议》，确立了全球统一的银行业资本监管新标准，要求各成员国从2013年开始实施，2019年前全面达标。《第三版巴塞尔协议》显著提高了国际银行业资本和流动性的监管要求。在新的监管框架下，国际银行业将具备更高的资本吸收损失能力和更完善的流动性管理能力。 近年来，我国银行业有序推进改革开放，不断提高资本和拨备水平，风险防控能力持续增强，为我国抵御国际金融危机的负面冲击，实现国民经济平稳健康发展做出了重要贡献。当前，银行业稳步实施新的资本监管标准，强化资本约束机制，不仅符合国际金融监管改革的大趋势，也有助于进一步增强我国银行业抵御风险的能力，促进商业银行转变发展方式、更好地服务实体经济。 银监会有关负责人表示，2011年以来，银监会认真借鉴国际金融监管改革的成果，结合我国银行业的实际情况，着手起草《资本办法》，

不断丰富完善银行资本监管体系。起草过程中，银监会认真考虑了当前复杂多变的国内外经济环境和银行业实际情况，多次公开征求意见，并对实施新监管标准可能产生的影响进行了全面评估，对《资本办法》的内容进行了慎重调整，构建了与国际新监管标准接轨并符合我国银行业实际的银行资本监管体系。《资本办法》分10章、180条和17个附件，分别对监管资本要求、资本充足率计算、资本定义、信用风险加权资产计量、市场风险加权资产计量、操作风险加权资产计量、商业银行内部资本充足评估程序、资本充足率监督检查和信息披露等进行了规范。 《资本办法》主要体现了以下几方面要求： 一是建立了统一配套的资本充足率监管体系。《资本办法》参考巴塞尔III的规定，将资本监管要求分为四个层次：第一层次为最低资本要求，核心一级资本充足率、一级资本充足率和资本充足率分别为5%、6%和8%；第二层次为储备资本要求和逆周期资本要求，储备资本要求为2.5%，逆周期资本要求为0-2.5%；第三层次为系统重要性银行附加资本要求，为1%；第四层次为第二支柱资本要求。《资本办法》实施后，正常时期系统重要性银行和非系统重要性银行的资本充足率要求分别为11.5%和10.5%。多层次的资本监管要求既体现了国际标准的新要求，又与我国商业银行现行的资本充足率监管要求基本保持一致。 二是严格明确了资本定义。《资本办法》根据国际的统一规则，明确了各类资本工具的合格标准，提高了资本工具的损失吸收能力。

银行信息安全管理办法

XX银行 信息安全管理办法 第一章总则 第一条为加强XX银行（下称“本行”）信息安全管理，防范信息技术风险，保障本行计算机网络与信息系统安全和稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等，特制定本办法。 第二条本办法所称信息安全管理，是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理，由分管领导负责。按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，逐级落实部门与个人信息安全责任。第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组，负责本行信息安全管理工作，决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员， 配合信息安全领导小组开展信息安全管理工作，具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。第七条本行应建立与信息安全监管机构的联系，及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系，及时跟踪行业趋势，学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围，履行相应的信息安全保障职责。日常员工信息安全行为准则参见《XX银行员工信息安全手册》。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员，不得从事此项工作。第十二条信息安全管理人员每年至少参加一次信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作： （一）组织落实上级信息安全管理规定，制定信息安全管理制度，协调信息安全领导小组成员工作，监督检查信息安全管理工作。 （二）审核信息化建设项目中的安全方案，组织实施信息安全保障项目建设。 （三）定期监督网络和信息系统的安全运行状况，检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。 （四）统计分析和协调处臵信息安全事件。 （五）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。 第十四条信息安全领导小组成员在如下职责范围内开展工作： （一）负责本行信息安全管理体系的落实。（二）负责提出本行信息安全保障需求。（三）

中小商业银行信息安全体系构架思路

中小商业银行信息安全体系构架思路 2009-03-24CBSi中国·https://www.360docs.net/doc/ff13924011.html,类型: 转载来源: 睿商在线 中小银行所面临的信息安全风险 大多数中小商业银行网络系统是于近几年规划建设实施的生产、办公、通信综合系统网络。随着银行业务范围的不断扩展，业务应用的不断深入，IT 需求不断增加，网 络系统逐步显现出可管理性差、攻击防护设备老化等安全隐患，监管部门也进行了信息安全风险的相关提示。为此，结合呼和浩特市商业银行的现状，谈一谈中小商业银行信息安全体系建设的思路。 一、中小银行所面临的信息安全风险 随着计算机技术和通讯技术的飞速发展，网络正逐步改变着人们的工作方式和生活方式。随着网络技术在金融行业的全面应用，大大提高了金融行业的业务处理效率和管理水平，促成了各项创新的金融业务的开展，改善了整个金融行业的经营环境，增强了金融信息的可靠性，使金融服务于社会的手段更趋现代化。但是，同其他任何行业一样，网络安全风险伴随着网络技术在金融行业的全面应用而全面笼罩在金融行业的每个业务角落。 金融行业IT 系统由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标， 面临的网络安全风险叙述如下八类： 1、非法访问：现有网络设备本身具备一定的访问控制能力，而这些访问控制强度 较弱，攻击者可以在任一终端利用现有的大量攻击工具发起攻击；另一方面金融行业（如银行）开发的很多增值业务、代理业务，存在大量与外界互连的接口，外部网络可能会通过这些接口攻击银行，造成巨大损失。 2、失密和窃密：利用搭线窃听窃收，使用协议分析仪器窃收计算机系统的操作密 码，破解系统的核心密码，窃取用户帐号、密码等；或利用间谍软件获得敏感的金融信息。 3、信息篡改：利用信息篡改攻击手段，非授权改变金融交易传输过程、存储过程中的信息。

农商行反洗钱工作保密管理办法模版

农商行反洗钱工作保密管理办法（试行） 第一条为规范农商行（包括农村合作银行、农村商业银行，下同）严格保守反洗钱工作秘密的行为，维护公民、法人和其他组织的合法权益，防止失密、泄密等事件的发生，根据《中华人民共和国反洗钱法》，特制定本办法。 第二条本办法适用于农商行各级信用社和营业机构。 第三条省联社反洗钱办公室全面负责指导、监督和检查全省农商行反洗钱保密工作。 第四条反洗钱工作人员应实行备案制度。 反洗钱工作人员离岗后，不得泄露其在任职期间知悉的客户身份资料、交易信息和相关文件等信息。 第五条反洗钱工作人员应遵守以下保密守则： （一）不在私人通讯中涉及反洗钱相关资料。 （二）不在不利于保密的地方谈论反洗钱相关信息。 （三）不在不利于保密的地方存放反洗钱相关资料。 （四）不在反洗钱监测系统外上报反洗钱相关数据。 （五）未经批准，不得随身携带反洗钱相关资料。 第六条各级信用社应当对下列信息和资料进行保密： （一）依法履行反洗钱义务获得的客户身份资料和交易信息； （二）对上报的大额交易和可疑交易； （三）人民银行在现场调查、非现场调查中要求各级信用社协助调查或密切关注的可疑交易账户或交易的有关文件和资料； （四）各级信用社按照人民银行、上级部门协助调查的要求产生的调查结果、有关文件和资料； （五）对客户进行风险等级评定的结果、相关资料等； （六）在甄别、分析、调查、报告可疑交易过程中所获取的一切信息，包括但不限于客户的信息以及与监管机构的口头及书面沟通。 （七）泄漏后可能威胁到情报来源或造成其他严重后果的相关信息和资料。

（八）反洗钱规定要求保密的其他资料。 第七条与反洗钱工作有关秘密的信息分为三个等级：商业绝密、商业机密、商业秘密。 （一）商业绝密泄露会使客户及信用社安全和利益遭受特别严重的损失。 （二）商业机密泄露会使客户及信用社安全和利益遭受严重损失。包括有关黑名单和高风险客户的“可疑交易分析报告”属于机密信息。 有关黑名单是指国务院有关部门、机构发布的恐怖组织、恐怖分子名单；司法机关发布的恐怖组织、恐怖分子名单；联合国安理会决议中所列的恐怖组织、恐怖分子名单；中国人民银行要求关注的其他恐怖组织、恐怖分子嫌疑人名单。 （三）商业秘密泄露会使客户及信用社安全和利益遭受损失。包括：涉及反洗钱的大额交易和可疑交易报告、反洗钱监测数据及有关文档；反洗钱监控报送系统的账户名和密码等。 第八条反洗钱保密工作的相关要求： （一）对相关客户进行可疑交易分析、调查、报告过程中，只有与分析、调查、报告可疑交易有关的员工才可获悉相关信息，无关人员不得介入和获取信息。获取信息的员工亦不得向无关员工和其他人员提及所获知的信息。 （二）各级信用社在处理反洗钱保密信息和资料时，应当尽可能控制阅知范围，严禁无关人员阅知。 （三）对有关单位或个人提出查询可疑交易的要求时，应当严格按照《中华人民共和国反洗钱法》的规定，审核对方的查询权限。对于符合规定的查询要求，应在查询登记簿中登记查询人的查询事项、查询人的姓名、证件号码以及查询的法律依据，并上报本营业网点反洗钱工作负责人。 （四）对有关反洗钱保密信息和资料进行复印或摘抄时，复印件和摘抄件必须采取与原件相同的保密措施。除非确有必要，在业务处理完毕后，复印件和摘抄件应当予以收回销毁。

商业银行营业网点管理办法规定

商业银行营业网点管理办法规定

ⅩⅩ市商业银行营业网点管理办法（试行） 第一章总则 第一条为使ⅩⅩ市商业银行（以下简称“本行”）营业网点积极稳妥的发展，实现管理系统化、规范化和标准化，确保营业网点能够准确、安全、高效、真实的处理各项业务，制定本办法。 第二条本行营业网点的设置，必须遵循“统一规划，方便群众，注重实效，确保安全”的原则。 第三条营业网点环境： （一）以标准、整洁的营业场所及方便、齐全的营业设施，向客户提供各项金融服务。 （二）营业场所外部环境的总体要求是规范、庄重、典雅。 （三）营业场所内部环境的总体要求是洁净、明亮、和谐、美观。 （四）办公场所环境的总体要求是整洁、有秩序。 （五）营业网点必须应用电子计算机处理各项业务。 （六）营业柜台要便于客户办理业务和监督；环境整洁优雅，便民设施齐全；有条件的大中型营业网点设立“一米线”标志。

（七）根据营业网点大小合理设置现金柜、非现金柜和理财区、VIP室等对外服务窗口。 （八）为综合柜员配备适合工作需要的设施，每个柜员之间相互隔离，形成相对独立的工作间。 （九）每个综合柜员工作区域要配置具有检验人民币功能的防伪点钞机、加锁现金箱（抽屉）、终端机等必要机具，并安装图像清晰，能录像、放像的监控设备，录像后能看清柜员操作、储户面孔、现金总数、现金面额和柜员活动等情况。 （十）详细内容见《ⅩⅩ市商业银行营业网点标准化服务管理办法》。 第二章营业网点员工服务管理 第四条营业网点员工仪容仪表： （一）保持良好的仪容、仪表，并以良好的精神状态投入工作。 （二）员工统一着装，应当以美观合体、端庄大方、整齐清洁为标准。 （三）仪容要以干净、整洁、素雅、大方为标准。 （四）举止要礼貌、文明、大方，工作时间精神饱满，体现良好的修养和素质。 第五条营业网点员工日常工作时培养站立、就坐、行走、手势的良好姿势，保持良好的工作状态。

商业银行资本管理办法

第一百六十五条商业银行可以不披露专有信息或保密信息的具体内容，但应进行一般性披露，并解释原因。 第一百六十六条商业银行信息披露频率分为临时、季度、半年及年度披露，其中，临时信息应及时披露，季度、半年度信息披露时间为期末后30个工作日内，年度信息披露时间为会计年度终了后四个月内。因特殊原因不能按时披露的，应至少提前15个工作日向银监会申请延迟披露。 第一百六十七条商业银行应当分别按照以下频率披露相关信息： （一）实收资本或普通股及其它资本工具的变化情况应及时披露。 （二）核心一级资本净额、一级资本净额、资本净额、最低资本要求、储备资本和逆周期资本要求、附加资本要求、核心一级资本充足率、一级资本充足率以及资本充足率等重要信息应按季披露。 （三）资本充足率计算范围、信用风险暴露总额、逾期及不良贷款总额、贷款损失准备、信用风险资产组合缓释后风险暴露余额、资产证券化风险暴露余额、市场风险资本要求、市场风险期末风险价值及平均风险价值、操作风险情况、股权投资及其损益、银行账户利率风险情况等相关重要信息应每半年披露一次。 第一百六十八条经银监会同意，在满足信息披露总体要求的基础上，同时符合以下条件的商业银行可以适当简化信息披露的内容： （一）存款规模小于2000亿元人民币。 （二）未在境内外上市。 （三）未跨区域经营。 第十章附则 第一百六十九条农村合作银行、村镇银行、农村信用合作社、农村资金互助社、贷款公司、企业集团财务公司、消费金融公司、金融租赁公司、汽车金融公司参照本办法执行。外国银行在华分行参照本办法规定的风险权重计量人民币风险加权资产。 第一百七十条本办法所称的资本计量高级方法包括信用风险内部评级法、市场风险内部模型法和操作风险高级计量法。商业银行采用资本计量高级方法，应当按照本办法附件16的规定建立资本计量高级方法验证体系。 第一百七十一条银监会对获准采用资本计量高级方法的商业银行设立并行期，并行期自获准采用资本计量高级方法当年底开始，至少持续三年。并行期内，商业银行应按照本办法规定的资本计量高级方法和其它方法并行计量资本充足率，并遵守本办法附件14规定的资本底线要求。 并行期第一年、第二年和第三年的资本底线调整系数分别为95%、90%和80%。 并行期内，商业银行实际计提的贷款损失准备超过预期损失的，低于150%拨备覆盖率的超额贷款损失准备计入二级资本的数量不得超过信用风险加权资产的0.6%；高于150%拨备覆盖率的超额贷款损失准备可全部计入二级资本。 第一百七十二条商业银行应在2018年底前达到本办法规定的资本充足率监管要求，鼓励有条件的商业银行提前达标。

村镇银行征信合规与信息安全管理办法

XXXXXX村镇银行征信合规与信息安全管理办法 第一章总则 第一条为加强XXXXXX村镇银行（下文简称我行）征信业务运行管理，规范征信业务组织、操作行为，有效防范道德风险、操作风险、声誉风险，根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》、《个人信用信息基础数据库金融机构用户管理办法（暂行）》等有关规定，结合我行实际，制定本办法。 第二条本办法所称征信合规与信息安全，是指我行从事与个人、企业和其他组织信用活动相关的业务，包括：向国家金融信用信息基础数据库报送个人和企业征信数据、从征信系统获取客户信用信息、使用客户信用信息、处理信息主体异议等业务办理或使用中，严格按照管理制度用信以及保证客户征信信息安全。 第三条本办法所称征信系统，是指由征信中心按中国人民银行相关规定建立的，用于采集、保存、加工、整理个人、企业和其他组织的，为银行业金融机构、个人和企业提供信用报告查询服务的数据库系统。．

第四条本办法所称借款人，是指向我行申请办理信贷业务的企（事）业法人、其他组织、个体工商户和自然人。 第五条本办法所称的担保人，是指为办理信贷业务的借款人提供担保的企（事）业法人、其他组织、个体工商户和自然人。第六条本办法所称信贷业务，是指贷款（含委托贷款）、银行承兑汇票、信用证、保函、票据贴现、贸易融资、保理、公开授信等业务以及与其相关的担保业务。 第七条本办法所称客户信用信息，是指能够反映个人、企（事）业法人或其他组织信用状况的信息，包括身份识别信息、信用交易信息以及反映个人、企（事）业法人或其他组织信用状况的其他信息。 第二章部门职责 第八条我行征信业务管理工作，实行统一领导、分工负责的原则。 第九条我行成立征信信息安全工作领导小组，统一领导全行个人和企业征信业务的有关工作。领导小组由主管征信工作的行长助理担任组长，成员由业务拓展部、风险管理部、内审合规部等职能的部． 门和各分支机构组成。领导小组办公室设置在内审合规部，部门负责人为办公室主任。 第十条征信信息安全工作领导小组负责协调全行核心业务系

网上银行系统信息安全通用规范word版

附件 网上银行系统信息安全通用规范 （试行） 中国人民银行

目录 1使用范围和要求 (4) 2规范性引用文件 (4) 3术语和定义 (5) 4符号和缩略语 (6) 5网上银行系统概述 (6) 5.1系统标识 (6) 5.2系统定义 (7) 5.3系统描述 (7) 5.4安全域 (8) 6安全规范 (9) 6.1安全技术规范 (9) 6.2安全管理规范 (22) 6.3业务运作安全规范 (26) 附1 基本的网络防护架构参考图 (30) 附2 增强的网络防护架构参考图 (31)

前言 1 本规范是在收集、分析评估检查发现的网上银行系统信息安全问题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。

1使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。 2规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本规范。 GB/T 20983-2008 信息安全技术网上银行系统信息安全保障评估准则 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 GB/T 20984-2007 信息安全技术信息系统风险评估规范 GB/T 18336.1-2008 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型 GB/T 18336.2-2008 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求 GB/T 18336.3-2008信息技术安全技术信息技术安全性评估准则第3部分:安全保证要求 GB/T 22080-2008 信息技术安全技术信息安全管理体系要求 GB/T 22081-2008 信息技术安全技术信息安全管理使用规则 GB/T 14394-2008 计算机软件可靠性和可维护性管理 GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 《中国人民银行关于进一步加强银行业金融机构信息安全保障工作的指导意见》（银发〔2006〕123号） 《中国人民银行中国银行业监督管理委员会公安部国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知》（银发〔2009〕142号）

商业银行信息科技监管评级定量和定性标准

信息科技风险（Information Technology Risk） （一）信息科技治理（15分） 1.信息科技治理组织架构（8分） （1）是否确立董事会、高管层信息科技管理职责。 （2）是否建立完善的信息科技管理制度体系。 （3）是否建立完善合规的信息科技“三道防线”以及信息科技三道防线的实际运作。 （4）是否明确信息科技治理作为重要组成部分纳入公司治理。 评分原则：（1）考察董事会、高管层的信息科技治理职责是否完整，信息科技发展战略不经董事会审批，或者本年内董事会会议不形成年度信息科技工作决议的此项最高得分4分。 （2）考察是否建立信息科技管理制度的起草、发布、修订等工作流程，信息科技管理制度是否涵盖系统开发、项目管理、系统运行、信息安全、外包管理、业务连续性等领域。 （3）考察是否明确信息科技管理、信息科技风险管理和信息科技风险监督的“三道防线”职责，“三道防线”部门设置是否合规；是否设立信息科技管理委员会，成员来自高管层、信息科技部门和主要业务部门，并定期向高管层汇报工作。 （4）考察商业银行是否以正式制度（文件）明确信息科技

治理应作为重要组成部分纳入公司治理；是否制定了信息科技治理运作效果考核指标并定期进行评价。 2.信息科技对业务发展的专业支持和匹配度（7分） （1）信息科技战略与业务发展战略的匹配度。 （2）信息科技人员、信息科技投入等与业务发展的匹配度（定量）。 （3）董事会、高管层等决策人员是否具备足够的信息科技专业知识能力。 评分原则：（1）考察是否建立明确、可实施的信息科技发展战略；是否定期评价信息科技战略规划实施效果，建立信息科技战略与业务战略的协调一致机制。 （2）考察信息科技人员数量、信息科技人员占比、信息科技投入占比与商业银行发展水平是否匹配，低于同质同类商业银行平均值的此项酌情扣分；考察商业银行信息系统建设与业务发展的支撑与匹配程度。 （3）考察具有信息科技管理经验的高管人员在董事会、决策层是否具有一定的占比；是否设立首席信息官，直接向行长汇报，并参与重大决策，首席信息官是否具有一定的信息科技专业背景或从业经验。

《商业银行资本管理办法附件》附件1――资本工具合格标准

附件1： 资本工具合格标准 一、核心一级资本的合格标准 1．直接发行且实缴的； 2．按照相关会计准则，该部分实缴数额应被列为权益，在银行资产负债表上单独列示并披露，进入破产清算程序时，该部分实缴数额仍应记作权益； 3．实缴资本不得由发行人及其关联机构提供抵押或保证，也不得通过其他安排使其在法律或经济上享有优先受偿权； 4．本金是永久性的，无到期日，且发行时不应造成该工具将被买回、赎回或取消的预期，法律和合同条款也不应包含产生此种预期的规定； 5．在银行清算时，受偿顺序排在最后，所有其他债权偿付后，对剩余资产按所发行股本比例清偿； 6．该部分资本应首先并按比例承担绝大多数的损失，在持续经营条件下，所有最高质量的资本工具都应按同一顺序等比例吸收损失； 7．收益分配必须要来自于可分配项目，分配比例完全由银行自由裁量，不以任何形式与发行的数额挂钩，也不应设置上限，但不得超过可分配项目的数额； 8．在任何情况下，收益分配都不是义务，不分配不应被视为违约； 9．不享有任何优先收益分配权，所有最高质量的资本工具的分配权都是平等的； 10．商业银行不得直接或间接为购买该资本工具提供融资； 111．该工具发行必须得到发行银行的股东大会，或经股东大会授权的董事会或其他人员批准。 二、其他一级资本的合格标准

1．直接发行且实缴的； 2．按照相关会计准则，该部分应被列为权益，并在银行资产负债表上单独列示并披露，进入破产清算程序时，该部分实缴数额仍应记作权益； 3．受偿顺序列在存款人、一般债权人和银行的次级债务之后；4．不得由发行人及其关联机构提供抵押或保证，也不得通过其他安排使其相对于银行债权人在法律或经济上享有优先求偿权； 5．没有到期日，不得含有有利率跳升机制及其他赎回激励；6．自发行之日起，至少5年后方可由发行银行赎回，但银行不得形成赎回权将被行使的预期，且行使赎回权应得到银监会的事先批准； 7．银行行使赎回权应用同等或更高质量的资本替换赎回的资本工具，并且只有在银行收入能力具备可持续性的条件下才能实施资本工具的替换；或者银行应证明其行权后的资本水平仍远远高于银监会确定的监管资本要求； 8．任何本金的偿付都必须得到银监会的事先批准，而且银行不能假设或形成本金偿付将得到银监会批准的市场预期； 9．任何时候发行银行都可以取消该资本工具的分红或派息，且不构成违约事件，并可以自由支配取消的股利或收益用以偿付其它到期债务，取消分红或派息除构成对普通股的收益分配限制以外，不应构成对银行的其他限制； 210．分红或派息必须来自于可分配项目，且分红或派息不得与银行本身的评级挂钩，也不得随着评级变化而调整； 11．该工具不应包括任何阻碍银行补充资本的特征；12．商业银行及受其控制或有重要影响的关联方不得购买该类工具，且商业银行不得直接或间接为购买该资本工具提供融资；13．如果某个工具不是银行经营实体或并表控股公司发行的，那么发行获得的资金必须无条件立即转移给经营实体或并表控股公司，且转移的方式必须满足或超过前述关于其他一级资本的合格标准。 三、二级资本的合格标准 1．发行且实缴的；