【正文】 零五條敏感信息系統(tǒng)和設(shè)備的口令密碼設(shè)臵應(yīng)在安全的環(huán)境下進行，必要時應(yīng)將口令密碼筆錄，密封交相關(guān)部室保管。第一百一十九條計算機設(shè)備確需送外單位維修時，本行應(yīng)徹底清除所存工作信息，必要時應(yīng)與設(shè)備維修廠商簽訂保密協(xié)議。 第一百二十五條本行業(yè)務(wù)部室負(fù)責(zé)提出業(yè)務(wù)系統(tǒng)災(zāi)難備份需求，明確可容忍的業(yè)務(wù)中斷時間和數(shù)據(jù)丟失量。 （四）各類危機處臵流程。 第十四章安全監(jiān)測、檢查、評估與審計 第一百三十二條本行信息科技部負(fù)責(zé)每年至少進行一次本行范圍內(nèi)的內(nèi)部信息安全相關(guān)的檢查或評估工作。要求限期整改的，需要對相關(guān)整改情況進行后續(xù)跟蹤。第一百四十二條應(yīng)妥善保管信息安全評估報告，未經(jīng)授權(quán)不得對外透露評估信息。 1 銀行業(yè)務(wù)的 發(fā)展和信息安全范疇的變遷 隨著金融界向電子化、數(shù)字化、網(wǎng)絡(luò)化的發(fā)展，各金融機構(gòu)對計算機的重視程度越來越高，全球高新技術(shù)尤其是信息技術(shù)的發(fā)展，進一步提高了銀行計算機的應(yīng)用水平。 根據(jù)對客戶需求的詳細(xì)調(diào)查分析，推出了以客戶價值為中心，以3S 為 代表 的安 全理 念， 即 SecuritySolution （安 全方 案），SecurityApplication（安全應(yīng)用）， SecurityService（安全服務(wù)）。 2021年 4月底正式掛牌的中國銀監(jiān)會 5月份以第二號公告的形式，就巴塞爾新資本協(xié)議公開征求中國銀行業(yè)界意見。不同系統(tǒng)，各階段的安全需求不同，安全工 作展開的順序也會有所不同。計算機設(shè)備實體安全類中，首先要求場地環(huán)境條件的控制，對計算機網(wǎng)絡(luò)的中心機房及其延伸點，要堅決搞好基本環(huán)境建設(shè)，要有完整的防雷電設(shè)施，且有嚴(yán)格的防電磁干擾設(shè)施，機房內(nèi)要搞好防水防火的預(yù)防工作，對主機房電源要有完整的雙回路備份機制。除了物理隔離外，邏輯隔離按照通訊方式有幾種級別：雙方網(wǎng)絡(luò)互有通訊、單向通訊、按需通訊等。通過在銀行內(nèi)部、銀行和第三方網(wǎng)絡(luò)等網(wǎng)關(guān)處部署該產(chǎn)品，可以杜絕病毒最主要的傳播途徑，給被保護網(wǎng)絡(luò)營造一個安全的計算環(huán)境。這樣在銀行網(wǎng)絡(luò)中發(fā)生入侵行為或蠕蟲傳播時，管理員能夠很快定位網(wǎng)絡(luò)和系統(tǒng)問題所在，減少故障時間，降低損失。它能夠?qū)⒋蟛糠稚逃貌僮飨到y(tǒng)的安全等級提升到 TCSECB1 級，支持強制訪問控制，在大幅度提升安全性的同時保護了用戶原有投資。該方案已經(jīng)在全球著名銀行，如花旗銀行的系統(tǒng)中廣泛采用。 第五篇：商業(yè)銀行信息安全管理辦 法 XX 銀行 信息安全管理辦法 第一章總則 第一條為加強 XX 銀行（下稱“本行”）信息安全管理，防范信息技術(shù)風(fēng)險，保障本行計算機網(wǎng)絡(luò)與信息系統(tǒng)安全和穩(wěn)定運行，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等，特制定本辦法。 第七條本行應(yīng)建立與信息安全監(jiān)管機構(gòu)的聯(lián)系，及時報告各類信息安全事件并獲取專業(yè)支持。 第十三條安全工作小組在如下職責(zé)范圍內(nèi)開展信息安全管理工作： （一）組織落實上級信息安全管理規(guī)定，制定信息安全管理制度，協(xié)調(diào)信息安全領(lǐng)導(dǎo)小組成員工作，監(jiān)督檢查信息安全管理工作。 第二節(jié)技術(shù)支持人員 第十五條本辦法所稱技術(shù)支持人員，是指參與本行網(wǎng)絡(luò)、信息系統(tǒng)、機房環(huán)境等建設(shè)、運行、維護的內(nèi)部技術(shù)支持人員和外包服務(wù)人員。 第三節(jié)一般計算機用戶 第十八條本規(guī)定所 稱一般計算機用戶是指使用計算機設(shè)備的所有人員。 第二十二條依照信息資產(chǎn)的分類分級采取不同的安全保護措施，制定完善的訪問控制策略，防止未經(jīng)授權(quán)的使用。 第二十八條建立機房定期維修保養(yǎng)制度。 第三節(jié)辦公環(huán)境安全管理 第三十四條在本行大樓入口應(yīng) 設(shè)臵門衛(wèi)或接待員，負(fù)責(zé)出入或公共訪問區(qū)域的物理安全管理和外來人員的出入登記。 （三）針對不同的網(wǎng)絡(luò)安全域，采取必要的安全隔離措施。網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配臵和服務(wù)端口時，應(yīng)嚴(yán)格遵循變更管理流程。 第四十八條本行內(nèi)部業(yè)務(wù)網(wǎng)、辦公網(wǎng)與國際互聯(lián)網(wǎng)實行安全隔離。 第五十三條信息資產(chǎn)的責(zé)任人負(fù)責(zé)確定信息資產(chǎn)和服務(wù)的訪問權(quán)限，運行維護科根據(jù)授權(quán)進行相關(guān)設(shè)定操作。 第五十八條訪問控制實施細(xì)則詳見《 XX 銀行信息系統(tǒng)訪問控制管理規(guī)定》。 第二節(jié)信息系統(tǒng)開發(fā)與集成 第六十三條信息系統(tǒng)開發(fā)應(yīng)符合軟件工程規(guī)范，依據(jù)安全需求進行安全設(shè)計，保證安全功能的完整實現(xiàn)。具體要求如下： （一）項目承建單位（部室）應(yīng)組織制定安全測試方案，進行系統(tǒng)上線前的自測試并形成測試報告，報信息科技部審查。 第六十八條系統(tǒng)上線前應(yīng)開展代碼審計過程檢查源代碼中的缺點和錯誤信息，避免引發(fā)安全漏洞。 （三）運行平臺的安全策略與設(shè)計。 第五十七條對應(yīng)用系統(tǒng)和信息的邏輯訪問應(yīng)只限于已授權(quán)的用戶。 第五十一條使用國際互聯(lián)網(wǎng)的所有用戶應(yīng)遵守國家有關(guān)法律法規(guī)和本行相關(guān)管理規(guī)定，不得從事任何違法違規(guī)活動。未經(jīng)授權(quán)， 任何外部單位與人員不得檢測、掃描本行網(wǎng)絡(luò)。任何設(shè)備接入網(wǎng)絡(luò)前，接入方案、設(shè)備的安全性等應(yīng)經(jīng)過網(wǎng)絡(luò)管理人員的審核與檢測，審核（檢測）通過后方可接入并分配相應(yīng)的網(wǎng) 絡(luò)資源。 第四十條本行網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合如下基本安全要求： （一）網(wǎng)絡(luò)規(guī)劃應(yīng)有完整的安全策略，保障網(wǎng)絡(luò)傳輸與應(yīng)用安全。 第三十二條重要區(qū)域應(yīng)嚴(yán)格出入安全管理，安裝門禁、視頻監(jiān)視錄像系統(tǒng)，實行定時錄像監(jiān)控，并適當(dāng)配臵自動監(jiān)控報警功能。機房管理員應(yīng)經(jīng)過相關(guān)專業(yè)培訓(xùn)，熟知機房各類設(shè)備的分布和操作要領(lǐng)，定期巡查機房，發(fā)現(xiàn)問題及時報告。細(xì)則參見《 XX銀行信息資產(chǎn)分類分級管理規(guī)定》。提供技術(shù)服務(wù)期間，嚴(yán)格遵守本行相關(guān)安全規(guī)定與操作規(guī)程。 （二）負(fù)責(zé)提出本行信息安 全保障需求。凡是因違反國家法律法規(guī)和本行有關(guān)規(guī)定受到過處罰或處分的人員，不得從事此項工作。 第二章組織保障 第五條常設(shè)由本行領(lǐng)導(dǎo)、各部室負(fù)責(zé)人及信息安全員組成的信息安全領(lǐng)導(dǎo)小組，負(fù)責(zé)本行信息安全管理工作，決策信息安全重大事宜。 冠群金辰的承影漏洞掃描系統(tǒng)可以掃描各個計算機、網(wǎng)絡(luò)設(shè)備，及時發(fā)現(xiàn)存在的安全漏洞，并且事先做出預(yù)防措施，是主動防御體系中不可或缺的一部分。在最壞的情況下，即使入侵者已經(jīng)獲得了被攻擊服務(wù)器的管理員賬戶和密碼，龍淵服務(wù)器核心防護仍然能夠保證該入侵者僅僅具有一個該系統(tǒng)上普通用戶的權(quán)限，不能為所欲為，造成更大的損失和影響。如果采用專用的安全操作系統(tǒng)，勢必需要對原有的應(yīng)用程序進行改造，造成大量人力物力和財力的資源浪費。對于這兩種行為我們都要進行嚴(yán)格監(jiān)控，并且需要統(tǒng)一在一個平臺下進行關(guān)聯(lián)監(jiān)控，以更好的起到安全檢測的目的。它能夠高效率地過濾包含在 HTTP、 FTP 以及SMTP 協(xié)議中的計算機病毒，實現(xiàn)病毒的網(wǎng)絡(luò)隔離，避免病毒在網(wǎng)絡(luò)之間的擴散。正在蓬勃興起的銀行中間業(yè)務(wù)的發(fā)展更是促進了不同行業(yè)之間的網(wǎng)絡(luò)連通。這里僅僅根據(jù)中國人民銀行 2021 年發(fā)布的《 銀行信息系統(tǒng)安全技術(shù)規(guī)范》和中國人民銀行 2021 年發(fā)布的關(guān)于加強銀行數(shù)據(jù)集中安全工作的指導(dǎo)意見的 260 號文件，對于構(gòu)成銀行信息 系統(tǒng)的幾個關(guān)鍵層次進行示例分析，主要從技術(shù)角度對冠群金辰的解決方案進行簡單介紹。根據(jù)銀行業(yè)務(wù)系統(tǒng)各自的特點，其各階段的具體內(nèi)容會有所不同，但基本周期保持不變。 第一：在整個受保護網(wǎng)絡(luò)環(huán)境中的每一個環(huán)節(jié)上減少可能會被入侵者利用的突出的脆弱點； 第二：對于關(guān)鍵的資源，使用多重防御策略來管理風(fēng)險，以便在一層防 御不夠時，在理想情況下，另一層防御將會削弱對被保護資源的破壞。因此，如何建立一個高效的現(xiàn)代信息安全體系，日益成為突出的問題。第一百四十八條本辦法自發(fā)布之日起執(zhí)行。 第一百四十一條如聘請第三方機構(gòu)進行安全 評估，應(yīng)報本行主管部門批準(zhǔn)，并與第三方評估機構(gòu)簽訂安全保密協(xié)議后方可進行。第一百三十七條開展安全檢查前，應(yīng)以已經(jīng)發(fā)布的相關(guān)安全管理制度為依據(jù)，制定詳細(xì)的檢查方案、提綱和計劃等，確保檢查工作的可操作性和規(guī)范性。 第一百三十條在信息系統(tǒng)推廣應(yīng)用方案中應(yīng)同時設(shè)計應(yīng)急備份策略，同步實施備份方案。 （二）應(yīng)急組織機構(gòu)。第二節(jié)災(zāi)難備份管理 第一百二十三條災(zāi)難備份是指利用技術(shù)、管理手段以及相關(guān)資源，確保已有業(yè)務(wù)數(shù)據(jù)和信息系統(tǒng)在地震、水災(zāi)、火災(zāi)、戰(zhàn)爭、恐怖襲擊、網(wǎng)絡(luò)攻擊、設(shè)備系統(tǒng)故障、人為破壞等無法預(yù)料的突發(fā)事件（以下稱“災(zāi)難”）發(fā)生后在規(guī)定 的時間內(nèi)可以恢復(fù)和繼續(xù)運營的有序管理過程。 第一百一十八條外包服務(wù)提供商提供上門維護服務(wù)的，經(jīng)信息科技部批準(zhǔn)后，由本行內(nèi)部人員現(xiàn)場陪同實施。 第一百零四條系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、業(yè)務(wù)操作人員的用戶均須設(shè)臵口令密碼，至少每三個月更換一次。 第九十八條嚴(yán)格管理業(yè)務(wù)數(shù)據(jù)的增加、修改、刪除等變更操作，進行業(yè)務(wù)數(shù)據(jù)有效性檢查，按 照既定備份策略執(zhí)行數(shù)據(jù)備份任務(wù)，并定期測試備份數(shù)據(jù)的有效性。 第九十二條做好存儲介質(zhì)在物理傳輸過程中的安全控制，選擇可靠的傳遞方式和防盜控制措施。如發(fā)現(xiàn)重大問題，立即采取控制措施并按規(guī)定程序報告。 第七十四條在信息系統(tǒng)運行維護過程中，系統(tǒng)管理人員應(yīng)遵守但不限于以下要求： （一）合理配臵操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)所提供的安全審計功能，以達(dá)到相應(yīng)安全等級標(biāo)準(zhǔn)； （二）屏蔽與應(yīng)用系統(tǒng)無關(guān)的所有網(wǎng)絡(luò)功能，防止 非法用戶的侵入； （三）及時、合理安裝正式發(fā)布的系統(tǒng)補丁，修補系統(tǒng)存在的安全漏洞； （四）啟用系統(tǒng)提供的審計功能，或使用第三方手段實現(xiàn)審計功能，監(jiān)測系統(tǒng)運行日志，掌握系統(tǒng)運行狀況； （五）按照網(wǎng)絡(luò)管理規(guī)范及其業(yè)務(wù)應(yīng)用范圍設(shè)臵設(shè)備的 IP 地址及網(wǎng)絡(luò)參數(shù)，非系統(tǒng)管理人員不得修改。 （三）信息科技部應(yīng)提出明確的測試方案和測試報告審查意見。外部開發(fā)單位還應(yīng)與本行簽署相關(guān)知識產(chǎn)權(quán)保護協(xié)議和保密協(xié)議，不得將信息系統(tǒng)采用的關(guān)鍵安全技術(shù)措施和核心安全功能設(shè)計對外公開。 第六十條信息系統(tǒng)安全管理實施細(xì)則 詳見《 XX 銀行計算機信息系統(tǒng)安全管理規(guī)定》。重要信息系統(tǒng)操作人員的密碼應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門負(fù)責(zé)人分段設(shè)立。 第四十九條內(nèi)部網(wǎng)絡(luò)計 算機嚴(yán)禁接入國際互聯(lián)網(wǎng)，確有必要接入國際互聯(lián)網(wǎng)的應(yīng)通過信息安全工作小組審核并上報相關(guān)領(lǐng)導(dǎo)審批，確保安裝有指定的防病毒軟件和最新補丁程序。第四十五條嚴(yán)格遠(yuǎn)程訪問控制。第二節(jié)網(wǎng)絡(luò)運行安全管理 第四十一條信息科技部應(yīng)建立健全網(wǎng)絡(luò)安全運行方面的制度，配備專職網(wǎng)絡(luò)管理員。 第三十六條本行信息中心員工應(yīng)在公共接待區(qū)接待外來人員，未經(jīng)允許，不得私自將外來人員帶入辦公區(qū)域內(nèi)。 第二十九條依據(jù)《浙江省農(nóng)村合作金融機構(gòu)機房管理指引》進一步規(guī)范機房建設(shè)、改造和驗收過程，落實機房管理。 第五章物理環(huán)境安全管理第一節(jié)機房安全管理 第二十四條本規(guī)定所稱機房是指信息系統(tǒng)主要設(shè)備放臵、運行的場所以及供配電、通信、空調(diào)、消防、監(jiān)控等配套環(huán)境設(shè)施。 （二）不得安裝與辦公和業(yè)務(wù)處理無關(guān)的其他計算機軟件和硬件，不得修改系統(tǒng)和網(wǎng)絡(luò)配臵以屏蔽信息安全防護。 （二）嚴(yán)格權(quán)限訪問，未經(jīng)業(yè)務(wù)主管部室授權(quán)不得擅自改變系統(tǒng)設(shè)臵或修改系統(tǒng)生成的任何數(shù)據(jù)。 （三）定期監(jiān)督網(wǎng)絡(luò)和信息系統(tǒng)的安全運行狀況，檢查運行操作、備份、機房環(huán)境與文檔等安全管理情況，發(fā)現(xiàn)問題，及時通報和預(yù)警，并提出整改 意見。第三章人員管理 第九條本行所有工作人員根據(jù)不同的崗位或工作范圍，履行相應(yīng)的信息安全保障職責(zé)。 第三條本行信息安全工作實行統(tǒng)一領(lǐng)導(dǎo)和分級管理，由分管領(lǐng)導(dǎo)負(fù)責(zé)。 四、開展試點工作，獲得了寶貴的經(jīng)驗啟示 通過本次試點工作，我行獲得了寶貴的經(jīng)驗啟示。我行做細(xì)、做實信息安全管理基礎(chǔ)工作，規(guī)范登記、檢查、審批等程序，使支行信息安全管理工作均符合《人民銀行信息安全綜合規(guī)范》之規(guī)定。為搞好試點工作，我行制定《中國人民銀行行信息安全規(guī)范化管理試點實施方案》，明確試點工作的指導(dǎo)思想、工作目標(biāo)、工作內(nèi)容和工作要求，使試點工作有章可循、有據(jù)可依，有效推進。有關(guān)工作做法和成功經(jīng)驗具體匯報如下： 一、明確試點思路，堅定開展信息安全規(guī)范化管理信心 為加強信息安全規(guī)范化管理，保障國家財產(chǎn)安全，保證金融事業(yè)順利發(fā)展，我行認(rèn)真學(xué)習(xí)《中華人民共和國人民銀行法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》等有關(guān)法律、法規(guī)，認(rèn)真學(xué)習(xí)中支《關(guān)于開展信息安全規(guī)范化管理試點的通知》等相關(guān)文件，提高了對開展信息安全規(guī)范化管理試點工作重要意義的認(rèn)識，堅定工作信心，認(rèn)真扎實搞好信息安全規(guī)范化管理試點工作。 四、開展試點工作，獲得了寶貴的經(jīng)驗啟示 通過本次試點工作，我行獲得了寶貴的經(jīng)驗啟示。我行 做細(xì)、做實信息安全管理基礎(chǔ)工作，規(guī)范登記、檢查、審批等程序，使支行信息安全管理工作均符合《人民銀行信息安全綜合規(guī)范》之規(guī)定。為搞好試點工作，我行制定《中國人民銀行行信息安全規(guī)范化管理試點實施方案》，明確試點工作的指導(dǎo)思想、工作目標(biāo)、工作內(nèi)容和工作要求，使試點工作有章可循、有據(jù)可依，有效推進。有關(guān)工作做法和成功經(jīng)驗具體匯報如下： 一、明確試點思路，堅定開展信息安全規(guī)