您的位置:360文档中心› 安言咨询-个人金融信息保护技术规范重点条款及浅析

安言咨询-个人金融信息保护技术规范重点条款及浅析

安言咨询-个人金融信息保护技术规范重点条款及浅析
安言咨询-个人金融信息保护技术规范重点条款及浅析

JR/T 0171-2020

个人金融信息保护技术规范

重点条款及浅析

版本V1.0

Aryasec Ltd. All rights reserved.

本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海安言信息技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经上海安言信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。

生命周期重点技术要求

收集1、不应委托或授权无金融业相关资质的机构收集C3、C2类别信息;

2、利用加密技术确保收集个人金融信息的传输通道的保密性和完整性

3、利用技术手段提供明显的隐私政策引导个人金融信息主体查阅并授权;

4、利用技术手段确保当个人金融信息主体输入密码时,确保非明文显示;

5、停止服务时,同时应停止收集个人金融信息的活动。

传输1、传输个人金融信息前,通信双方需经过有效的身份鉴别和认证;

2、信息传输的接收方应对接收的信息进行完整性校验

存储1、C3类别个人金融信息应采用加密措施确保数据存储的保密性;

2、受理终端、个人终端及客户端软件均不应存储银行卡磁道数据、银行卡有效期、卡片验证码等信息,对于必要的交易信息应在完成交易后清除。

信息展示:

1、未登录时不应展示个人金融信息主体的C3信息;

2、登陆后除银行卡有效期外,C3类别信息不应明文显示;

共享和转让:

1、共享和转让前,应开展个人金融信息安全影响评估;

2、部署信息防泄漏监控工具,监控及报告个人金融信息的违规外发;

3、部署流量监控技术措施,对共享、转让的信息进行监控和审计;

4、定期评估信息到处通道的安全性和可靠性;

公开披露:

1、不应公开披露个人生物识别信息;

2、准确记录和保存个人金融信息的公开披露情况,包括披露的日期、规模、目的、内容、公开委托处理:

1、对委托行为进行个人金融信息安全影响评估,并确保受委托者具备足够的数据安全能力,且提供了足够的安全保护措施;

2、英规外部嵌入或接入的自动化工具开展技术检测

加工处理:

1、采取必要的技术手段和管理措施,确保在个人金融信息清晰和转换过程中对信息进行保护,对C2/C3类别信息,应采取更加严格的保护措施;

汇聚融合:

1、荣俱融合的数据不应超出收集时所明确的适用范围,因业务需要确需超范围使用的,应再次征得个人金融信息主体得明示同意。

开发测试:

1、开发测试环境分离

删除个人金融信息主体要求删除个人金融信息时,金融业机构应根据有关规定以及与个人金融信息主体的约定予以响应。

销毁1、存储个人金融信息的介质入不再使用,应采用不可恢复的方式进行销毁;

2、云环境下有关数据清除应依据JR/T0167-2018的9.6执行。

类别重点技术要求

网络安全要求承载与处理个人金融信息的信息系统应符合国家网络安全相关规定及GB/T22239-2019、JR/T0071的要求

Web应用安全要求涉及C2、C3类别信息的Web应用需满足以下内容:

1、具备对网页防篡改、网站页面源代码暴露、SQL驻入、跨站脚本攻击的防范能力

2、Web应用系统与组件上线前应进行安全评估

3、具备对系统组件的实时监测能力

使用

客户端应用软件安全要求与个人金融信息相关的客户荣及SDK应符合JR/T0092-2019、JR/T0068-2020客户端软件有关安全技术要求,并在上线前评估

密码技术

与密码产

品要求

使用的密码技术及产品应符合国家密码管理部门与行业主管部门的要求生命周期重点管理要求

收集1、 收集方式不限于柜面、信息系统、金融自助设备、受理终端、客户端应用软件等渠道;

2、收集应遵循合法、正当、必要的原则并向个人金融信息主体明示与使用的目的、方式、范围和规则等

存储1、个人金融信息的存储需符合个人金额信息主体授权使用的目的所必需的最短时间要求,超期后,应对收集的个人金融信息进行删除或匿名化处理。

使用1、原则上不应共享、转让、公开披露其收集的个人金融信息;

2、C3类别信息以及C2类别信息中的用户鉴别辅助信息不应共享、转让及公开披露;

3、境内收集的个人金融信息应在境内存储、处理和分析

类别重点管理要求

安全制度体系建立与发布金融业机构应建立个人金融信息保护制度体系,明确工作职责,规范工作流程。包含以下内容:

1、明确个人金融信息保护、目标和原则;

2、开展个人金融信息分类分级管理,针对不同级别的个人金融信息实施相应的安全策略和保障策略;

3、建立日常管理流程与个人金融信息的收集、传输、存储、使用、删除、销毁等环节提出具体保护要求;

4、建立信息系统分级授权管理机制;

5、建立个人金融信息脱敏管理规范和制度;

6、至少每年开展一次个人金融信息安全影响评估

组织架构

岗位设置

建立个人金融信息保护组织架构并明确其职责

人员管理1、背景调查、签署保密协议或者合同中设置保密条款;

2、定期开展意识教育服务;

3、岗位调动后的访问权限管理及保密管理;

4、开发测试及运维人员之间不应兼岗;

访问控制1、访问控制权限应根据“业务需要”及“最小权限”分配;

2、对存储个人信息的数据库及操作日志实施严格的用户授权及访问控制;

监控与审

计1、日志文件和匹配规则的数据应至少保存6个月;

2、定期对所有的系统组件日志进行审计‘

3、采取技术手段对个人金融信息安全全生命周期进行安全风险识别和管控,如恶意代码检测、异常流量检测、用户行为分析等。

安全检测

风险评估1、制定个人金融信息安全影响评估制度;

2、每年至少开展一次对涉及收集、存储、传输、使用个人金融信息的信息系统进行安全检查或安全评估;

3、对于个人金融信息中的支付信息部分,应采取自行评估或委托外部机构进行检查评估,金融业机构以及与其合作的第三方机构应每年开展一次支付信息安全规评估

4、对于个人金融信息泄露事件,应及时委托外部安全评估机构重新进行相关安全评估与检查活动,并将结果报送到行业主管部门。

安全事件

处置1、制定个人金融信息安全事件应急预案、明确处置流程及岗位职责;

2、定期组织个人金融信息系统保护应急预案的培训及演练工作;

3、发现因信息系统漏洞或造成个人金融信息泄露时,应立即采取有效测试防范风险扩大,并及

时向国家及行业主管部门报告。

个人金融信息保护自查报告完整版

个人金融信息保护自查 报告 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】

X X支行个人金融信息保护自查报告 根据《中国人民银行毕节市中心支行办公室关于下发2015年金融消费权益保护监督检查实施方案的通知》(毕银办发[2015]33号精神,我行认真组织各部门进行了自查,现根据相关要求将自查工作汇报如下: 一、组织管理 成立以XX为组长,XX、XX为成员的自查工作小组。 二、自查情况 自查工作小组首先就个人进行信息保护工作的相关规章制度在全司进行了宣导,让大家对保护个人金融信息的重要性有了一个充分的认识。同时对我机构涉及到个人金融信息相关部门进行了检查,重点对涉及到财会部、信贷部两个部门进行了检查,进一步完善了内控制度建设,明确了各部门负责人为第一责任人。 在检查过程中,我小组对客户个人金融信息收集、使用和保管情况,涉及个人金融信息保护的投诉案件的处理情况等情况进行了摸排,未发现有违规操作现象,并且未发生过与个人金融信息泄露有关的金融案件。 通过此次自查工作的开展,我行充分认识到了个人金融信息保护工作的重要性,在今后的工作中将严格按照相关法律规定切实做好个人金融信息的保护工作,为有效防范金融风险,维护正常的经济金融秩序和社会稳定的市场环境做出自身应有的贡献。

一、检查本行是否强化个人金融信息保护和银行业金融机构法制意识,是否依法收集、使用和对外提供个人金融信息。其中所指的金融信息是指个人身份信息、财产信息、账户信息、信用信息、金融交易信息和其中衍生的一些信息等。 二、检查本行在收集、使用、保存、对外提供个人金融信息时,是否严格遵守法律规定,采取有效措施加强对个人金融信息保护,是否有信息泄露和信息滥用的现象。 三、检查我行是否建立健全的内部控制制度,对查易发生个人金融信息泄露的环节是否充分排查。 四、检查我行是否篡改、违法使用个人金融信息等。 依照人行相关规定我行对相关业务逐一对照自查。通过自查,发现我行涉及个人金融信息的业务基本落实到位,不存在违规行为。但是,在以后的工作中我行仍旧要加强对个人金融信息的保护,明确各岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露和滥用事件的发生。

信息安全技术保障措施.doc

信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙,并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。

8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使用日志记录,短信服务系统将保存5个月以内的系统及用户收发短信记录。

金融业信息科技风险管理

信息科技风险管理办法 第一章总则 第一条为有效防范运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进我行各项业务安全、持续、稳健运行,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《商业银行信息科技风险管理指引》、《营口沿海银操作风险管理指引》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。 第二条本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在我行业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。 第三条本管理办法所称信息科技风险,是指信息科技在我行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。 第四条信息科技风险管理的目标是通过建立有效的机制,实现对我行信息科技风险的识别、计量、监测和控制,促进我行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。

第二章机构职责 第五条根据我行信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责: (一)遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)相关监管要求。 (二)审查批准信息科技战略,确保其与银行的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。 (三)掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。 (四)规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。 (五)设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。 (六)在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。

银行客户个人金融信息保护工作自查报告

关于做好客户个人金融信息保护工作自查报告银行才中心支行: 根据人民银行中心支行《转发<中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》(银发[2012]65号)要求,我行成立了领导小组,对本单位个人金融信息保护工作规贯彻落实情况进行自查,现将自查情况汇报如下: 一、组织领导为确保本次自查工作有效开展,特成立自查领导小组。组长:。。副组长:。。成员:。。二、自查时间 三、自查内容 个人金融信息保护工作相关法律法规贯彻落实情况、本机构相关内控制度、信息安全防范技术措施的制定和实施情况、员工的培训教育情况。四、自查结果 (一)个人金融信息保护工作相关法律法规贯彻落实情况能够进行个人信息查询的相关岗位工作人员及业务主管都能够熟悉相关金融信息查询的有关规定,深刻了解法律法规、制度办法,有较强的法律意识、安全意识和责任意识,能够自觉进行个人金融信息保护工作,有效规避业务风险。 (二)本机构相关内控制度、信息安全防范技术措施的制定和实施情况 1.总行制定了《农村商业银行股份有限公司个人征信业务管理暂行规定》、《农村商业银行股份有限公司个人信用基础信息数据库查询使用管理实施细则》、《农村商业银行股份有限公司个人信用信息基础

数据库操作规程》、《农村商业银行股份有限公司个人信用报告异议信息处理管理暂行办法》、《农村商业股份有限公司反洗钱保密业务制度》、《农村商业银行股份有限公司金融机构大额交易和可疑交易报告制度》、《农村商业银行股份有限公司金融机构客户身份识别和客户身份资料及交易记录保存制度》、《农村商业银行股份有限公司反洗钱业务操作规程》等10余项相关制度。 2.总行拟对个人金融信息管理和使用的检查制度、数据库管理员操作规章制度及报告制度等相关内控制度进行逐步完善,并按照制度要求定期检查。对各支行个人金融信息采集、查询的授权、管理等方面进行不定期抽查,发现问题能够及时整改。 3.我行原有的综合业务处理系统对个人金融信息的查 询有权限设置但没有业务人员查询过程的痕迹保留,不便于事后追溯问题责任人。由于我行正在研发新的综合业务操作系统,业务管理人员已经根据相关的文件要求对新系统提出了保留查询痕迹的需求。 (三)员工的培训教育情况 通过对业务主管的专题培训,使业务主管对个人金融信息管理、使用的法律法规及制度办法有了深刻、透彻的了解。业务主管对支行员工进行了全面系统的二级培训,使相关岗位的工作人员都能够深入了解相关制度及业务操作,为有效规避业务风险奠定基础。 在人民银行中心支行的指导下,农村商业银行积极部署,完成了

信息安全保障措施

服务与质量保障措施

一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置防火墙(硬件防火墙正在采购中),做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了相应的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好访问日志的留存。网站具有保存六月以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对非法贴子或留言能做到及时删除并进行重要信息向相关部门汇报。 5、网站信息服务系统建立多机备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,可以在最短的时间内替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源,能定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成或管理,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站相关信息发布之前有一定的审核程序。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司

商业银行信息科技风险管理解决方案

商业银行信息科技风险管理解决方案 本帖最后由 infosec123 于 2009-9-23 17:16 编辑 背景 为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),这是继出台有关《商业银行操作风险管理指引》、《商业银行市场风险管理指引》和《商业银行合规风险管理指引》等一系列的监管文件之后,银监会发布的又一重要风险管理指引。该指引适用于在中华人民共和国境内依法设立的法人商业银行。政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。 信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。它和操作风险、信用风险、市场风险一样,是商业银行面临的主要风险。现阶段商业银行已经基本完成了信息化建设,在金融管制放松、业务全球化、金融创新步伐加快以及信息技术的迅猛发展的大背景下,国际银行业金融机构的信息科技风险有增大的趋势,国际银行业和监管当局都日益重视信息科技与操作风险的管理和监管。目前,国际上宣布实施新资本协议的国家和地区都按照新协议的要求,明确将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。 需求分析合规性需求: 近年来,国家各部门不断推出了各种监管要求,对IT管控领域也提出了明确的要求。其中与银行业信息科技风险相关的法律、法规与行业监管指引有: 2002年,美国国会发布了SOX《萨班斯[url=; 2004年9月30日,中国银监会发布了[url=; 2006年,银监会发布《电子银行安全评估指引》、《[url=;

信息安全技术课程报告

信息安全技术课程报告 信息安全技术是信息管理与信息系统的一门专业课。随着计算机技术的飞速发展,计算机信息安全问题越来越受人们的关注。我们在学习工作中掌握必要的信息安全管理和安全防范技术是非常必要的。通过对信息安全技术这门课程的学习,我们基本了解了计算机信息安全的基本原理和当今流行的信息安全设置、安全漏洞、防火墙的策略与实现、黑客原理与防范,以便能够在工作中胜任现在所做的工作。 在上周的课程学习中,我学到了加密技术,防火墙等知识,作为课程报告,我想简单简述一下什么是加密技术和防火墙。 加密技术:对信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。数据加密技术主要分为数据传输加密和数据存储加密。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路加密、节点加密和端到端加密三种方式。链路加密的目的是保护网络节点之间的链路信息安全;节点加密的目的是对源节点到目的节点之间的传输链路提供保护;端对端加密的目的是对源端用户到目的端用户的数据提供保护。在保障信息安全各种功能特性的诸多技术中,加密技术是信息安全的核心和关键技术,通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。一个数据加密系统包括加密算法、明文、密文以及密钥,密钥控制加密和解密过程,一个加密系统的全部安全性是基于密钥的,而不是基于算法,所以加密系统的密钥管理是一个非常重要的问题。数据加密过程就是通过加密系统把原始的数字信息(明文),按照加密算法变换成与明文完全不同得数字信息(密文)的过程。数据加密算法有很多种,密码算法标准化是信息化社会发展得必然趋势,是世界各国保密通信领域的一个重要课题。按照发展进程来分,经历了古典密码、对称密钥密码和公开密钥密码阶段,古典密码算法有替代加密、置换加密;对称加密算法包括DES 和AES;非对称加密算法包括RSA 、等。目前在数据通信中使用最普遍的算法有DES算法、RSA算法和PGP算法,而根据收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径

XX银行个人金融信息保护管理办法

XX银行个人金融信息保护管理办法 第一章总则 第一条为提高个人金融信息保护工作水平,保护客户个人合法权益,根据《中华人民共和国中国人民银行法》《中华人民共和国商业银行法》《个人存款账户实名制规定》《征信业管理条例》《个人信用信息基础数据库管理暂行办法》等法律法规,以及有关监管规定,制定本办法。 第二条本办法所称个人金融信息系指本行在开展业 务时,或通过接入中国人民银行征信系统、支付系统以及其它系统获取、加工和保存的以下个人客户信息: (一)个人身份信息。包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等。 (二)个人财产信息。包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等。 (三)个人账户信息。包括账号、账户开立时间、开户行、账户余额、账户交易情况等。 (四)个人信用信息。包括信用卡还款情况、贷款偿还情况,以及个人在经济活动中形成,能够反映其信用状况的其他信息; (五)个人金融交易信息。包括本行在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息,和

客户在通过本行与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等。 (六)衍生信息。包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息。 (七)开展业务过程中获取、保存、形成的其他个人信息。 第三条本行在开展业务时,应当妥善保护好客户个人信息和隐私,防止信息泄露和滥用,全行各级机构和员工均有保护客户个人金融信息的法定义务。 第四条各级机构应按照法律法规、监管规定以及本行制度开展工作,加强沟通和配合,共同提升个人金融信息保护工作的管理水平,切实维护客户的合法权益。 第二章职责分工 第五条总行部门个人金融信息保护工作职责 (一)内控合规部作为个人金融信息保护工作的归口管理部门,主要负责个人金融信息保护工作的统筹管理、沟通协调以及监督工作。 (二)运营管理部负责柜面个人金融信息建立、修改、维护、查询、保存等环节的日常监督、培训检查及相关管理工作,负责个人金融信息投诉和异议处理工作,组织开展客户投诉及异议的演练等相关工作。

信息安全专业认知

专业简介 本专业是计算机、通信、数学、物理、法律、管理等学科的交叉学科,主要研究确保信息安全的科学与技术。培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。目前国内已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了我国信息安全产业的雏形,但由于国内专门从事信息安全工作技术人才严重短缺,阻碍了我国信息安全事业的发展。信息安全专业是十分具有发展前途的专业。 专业培养目标 本专业是培养拥护党的基本路线,适应我国全面建设小康社会实际需要的,在生产、建设、服务和管理第一线需要的。具有必要的基础理论知识,具备信息安全必要的基本理论、基本知识、基本技能及综合应用能力;熟悉国家信息安全管理的政策和法律法规;了解信息安全的发展动向;具备对计算机网络及信息安全工程进行设计,实施及管理的能力;具有良好的职业道德,敬业与创新精神的高素质技能型人才。 课程设置 在校期间,不仅强调学生对基础知识的掌握,更强调对其专业素质和能力的培养。学生除学习理工专业公共基础课外,学习的专业基础和专业课主要有:高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理、集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。

信息安全

信息安全 主要概念 网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、消息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。 定义 信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。 发展趋势 信息安全学科可分为狭义安全与广义安全两个层次,狭义的安全是建立在以密码论为基础的计算机安全领域,早期中国信息安全专业通常以此为基准,辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全本专业是一门综合性学科,从传统的计算机安全到信息安全,不但是名称的变更也是对安全发展的延伸,安全不在是单纯的技术问题,而是将管理、技术、法律等问题相结合的产物。培养能够从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深化。进入21世纪,随着信息技术的不断发展,信息安全问题也日显突出。如何确保信息系统的安全已成为全社会关注的问题。国际上对于信息安全的研究起步较早,投入力度大,已取得了许多成果,并得以推广应用。中国已有一批专门从事信息安全基础研究、技术开发与技术服务工作的研究机构与高科技企业,形成了中国信息安全产业的雏形,但由于中国专门从事信息安全工作技术人才严重短缺,阻碍了中国信息安全事业的发展。信息安全专业是十分具有发展前途的专业。 在信息交换中,“安全”是相对的,而“不安全”是绝对的,随着社会的发展和技术的进步,

进一步做好客户个人金融信息保护工作实施方案

****进一步做好客户个人金融信息保护工作 实施方案 为了进一步强化本行个人金融信息保护工作,保护金融消费者合法权益,维护金融稳定,根据中国人民银行****支行《转发<中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》(银发〔***〕**号)要求,结合我行实际情况特制定本方案。 一、组织实施 (一)成立组织、加强领导。 为切实抓好客户个人金融信息保护工作,长春农商银行成立信息保护工作小组,负责客户个人信息保护工作人员培训、日常工作管理、监督、实施、报告及检查等相关事宜。 组长: 副组长: 成员: (二)明确责任、抓好落实。 工作小组成员要根据部门职责制定计划、履职尽责、全面落实,做好管理监督工作。各成员要做到相互协调、沟通通畅,促进工作顺利进行、得到显着效果。 二、组织培训 总行通过电话会议专门对支行人员进行培训,以便支行

人员熟悉掌握客户个人金融信息保护工作的目的、依据、有关政策意图及原则、方法、步骤等。 (一)培训时间:***** (二)培训内容:《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》(银发〔****〕***号)、《转发<中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知>》(银发〔***〕***号)、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发〔***〕***号)等文件精神。 (三)培训目标:要求每名一线工作人员都能掌握客户个人金融信息保护工作的政策法律依据,并能按照相关要求解答客户的问题。 三、完善机制,明确责任 (一)明确部门相关责任。 零售业务部主要负责制定本项工作的开展方案、组织培训、汇总支行上报的泄漏或滥用个人金融信息等问题并及时上报总行及对个人金融信息保护工作的日常管理等; 风险管理部主要负责制定及完善个人征信业务和个人信用基础信息数据库查询使用的管理制度和操作规程、个人信用报告异议信息处理制度,规范个人金融信息的采集、查询、贷后管理和异议处理等操作流程,确保个人信用报告的安全合法使用。 信息科技部主要负责查询权限、密钥等金融信息安全管理、完善数据库管理员操作规章制度、加强客户个人金融信

专业技术人员考试——信息安全技术 单选

专业技术人员考试——信息安全技术(单选) ____是在蜜罐技术上逐步发展起来的一个新的概念,在其中可以部署一个或者多个蜜罐,来构成一个黑客诱捕网络体系架构。A 蜜网 Backup 命令的功能是用于完成UNIX /Linux 文件的备份,下面说法不正确的是____。D Backup —d 命令当备份设备为磁带时使用此选项 FTP(文件传输协议,File Transfer Protocol ,简称FFP)服务、SMTP(简单邮件传输协议,Simple Mail Transfer Protocol ,简称SMTP)服务、HTTP(超文本传输协议,Hyper Text Transport Protocol ,简称HTTP)、HTTPS(加密并通过安全端口传输的另一种HTTP)服务分别对应的端口是____。B 21 25 80 443 iptables 中默认的表名是____。A filter UNIX /Linux 操作系统的文件系统是____结构。B 树型 UNIX /Linux 系统中,下列命令可以将普通帐号变为root 帐号的是____。D /bin /su 命令 UNIX 工具(实用程序,utilities)在新建文件的时候,通常使用____作为缺省许可位,而在新建程序的时候,通常使用____作为缺省许可位。B 666 777 Windows 系统安装完后,默认隋况下系统将产生两个帐号,分别是管理员帐号和____。C 来宾帐号 Windows 系统的用户帐号有两种基本类型,分别是全局帐号和____。A 本地帐号 Window 系统中对所有事件进行审核是不现实的,下面不建议审核的事件是____。C 用户打开关闭应用程序 包过滤防火墙工作在OSI 网络参考模型的____。C 网络层 保障UNIX /Linux 系统帐号安全最为关键的措施是____。A 文件/etc /passwd 和/etc /group 必须有写保护 不能防止计算机感染病毒的措施是_____。A 定时备份重要文件 不需要经常维护的垃圾邮件过滤技术是____。B 简单DNS 测试 布置电子信息系统信号线缆的路由走向时,以下做法错误的是____。A 可以随意弯折 采用“进程注入”可以____。C 以其他程序的名义连接网络 从系统结构上来看,入侵检测系统可以不包括____。C 审计 代表了当灾难发生后,数据的恢复程度的指标是____。A RPO 代表了当灾难发生后,数据的恢复时间的指标是____。B RTO 当您收到您认识的人发来的电子邮件并发现其中有意外附件,您应该____。C 用防病毒软件扫描以后再打开附件 对电磁兼容性(Electromagnetic Compatibility ,简称EMC)标准的描述正确的是____。C 各个国家不相同 防火墙是____在网络环境中的应用。B 访问控制技术 防火墙提供的接入模式不包括____。D 旁路接入模式 符合复杂性要求的WindowsXP 帐号密码的最短长度为____。B 6 关于NA T 说法错误的是____。D 动态NAT 又叫做网络地址端口转换NAPT 关于包过滤防火墙说法错误的是____。C 包过滤防火墙可以有效防止利用应用程序漏洞进行的攻击 关于网闸的工作原理,下面说法错误的是____. C 网闸工作在OSI 模型的二层以上 关于应用代理网关防火墙说法正确的是____。B 一种服务需要一种代理模块,扩展服务较难 关于用户角色,下面说法正确的是____。B 角色与身份认证无关 会让一个用户的“删除”操作去警告其他许多用户的垃圾邮件过滤技术是____。D 分布式适应性黑名单 基于网络的入侵检测系统的信息源是____。D 网络中的数据包 计算机网络组织结构中有两种基本结构,分别是域和____。B 工作组 美国国防部发布的可信计算机系统评估标准(TCSEC)定义了____个等级。C 七 某病毒利用RPCDCOM 缓冲区溢出漏洞进行传播,病毒运行后,在%System %文件夹下生成自身的拷贝,添加注册表项,使得自身能够在系统启动时自动运行。通过以上描述可以判断这种病毒的类型为____。C 网络蠕虫病毒 某公司的工作时间是上午8点半至12点,下午1点555点半,每次系统备份需要一个半小时,下列适合作为系统数据备份的时间是____。D 凌晨l 点 目前对于大量数据存储来说,容量大、成本低、技术成熟、广泛使用的介质是____。B 磁带 内容过滤技术的含义不包括____。D 过滤用户的输入从而阻止用户传播非法内容 企业在选择防病毒产品时不应该考虑的指标为____。D 产品能够防止企业机密信息通过邮件被传出 容灾的目的和实质是____。C 保持信息系统的业务持续性 容灾项目实施过程的分析阶段,需要进行____。D 以上均正确 A B C D H G F J M N Q R R

做好个人金融信息保护工作的排查报告

做好个人金融信息保护工 作的排查报告 Prepared on 22 November 2020

关于做好客户个人金融信息保护 工作的自查报告 为了强化本机构个人金融信息保护工作,保护消费者合法权益,维护金融稳定,我社在认真学习《xxxxxxx》文件精神的基础上,组织全体员工对客户个人金融信息保护工作进行了全面的自查,现将自查结果汇报如下: 一、成立了自查领导小组 组长: 副组长: 成员: 二、自查内容 为确保此项工作落实到实处,我社对本机构相关内控制度、信息安全防范技术措施的制定实施情况以及员工培训教育情况进行了全面检查。 1.要求前台柜员对客户信息查询必须出具实名证件并进行照片比对。 2.对客户提供资料及填写客户信息表格及时装订入档保管、不得随意摆放。 3.对营业厅内客户填写的客户信息废表或作废的身份证件复印件,要求及时清理并碎掉,以免一些有作案动机的不法分子有可趁之机。 4.强调员工工作以外言行举止,防止在日常生活闲谈中无意

泄露客户信息。 三、自查结果及以后的工作重点 经过全面的自查,没有发现有客户个人金融信息泄露的情况发生,但其他金融机构暴露的案件也为我们敲响了警钟。我社会在以后的工作中严格执行相关规章制度,及时发现风险隐患,切实做好客户金融信息保护。 同时我社将进一步加强员工的风险防范和职业道德教育,采取多种形式组织员工认真学习上级下达的文件及通报的泄露客户信息的案例,引导员工认清危害,吸取教训,确保此类案件不在我社发生。同时加强员工的职业道德教育,严格遵守银行业从业人员职业操守、行内各项规章制度,不得违反禁止性规定,自觉树立金融机构从业人员的良好形象,增强风险防范意识和职业道德操守,自我约束、自觉远离各种违法违纪的行为,踏踏实实工作,树立正确的人生观、世界观和价值观,杜绝泄露客户信息等违规、违法等行为的发生。

中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知

中国人民银行关于银行业金融机构 做好个人金融信息保护工作的通知 人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,国有商业银行,股份制商业银行,中国邮政储蓄银行: 个人金融信息是金融机构日常业务工作中积累的一项重要基础数据,也是金融机构客户个人隐私的重要内容。如何收集、使用、对外提供个人金融信息,既涉及到银行业金融机构业务的正常开展,也涉及客户信息、个人隐私的保护。如果出现与个人金融信息有关的不当行为,不但会直接侵害客户的合法权益,也会增加银行业金融机构的诉讼风险,加大运营成本。近年来,个人金融信息侵权行为时有发生,并引起社会的广泛关注。因此,强化个人金融信息保护和银行业金融机构法制意识,依法收集、使用和对外提供个人金融信息,十分必要。对个人金融信息的保护是银行业金融机构的一项法定义务。为了规范银行业金融机构收集、使用和对外提供个人金融信息行为,保护金融消费者合法权益,维护金融稳定,根据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国反洗钱法》、《个人存款账户实名制规定》等法律、法规的规定,现就个人金融信息保护的有关事项通知如下: 一、本通知所称个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:

(一)个人身份信息,包括个人姓名、性别、国籍、民族、身份证件种类号码及有效期限、职业、联系方式、婚姻状况、家庭状况、住所或工作单位地址及照片等; (二)个人财产信息,包括个人收入状况、拥有的不动产状况、拥有的车辆状况、纳税额、公积金缴存金额等; (三)个人账户信息,包括账号、账户开立时间、开户行、账户余额、账户交易情况等; (四)个人信用信息,包括信用卡还款情况、贷款偿还情况以及个人在经济活动中形成的,能够反映其信用状况的其他信息; (五)个人金融交易信息,包括银行业金融机构在支付结算、理财、保险箱等中间业务过程中获取、保存、留存的个人信息和客户在通过银行业金融机构与保险公司、证券公司、基金公司、期货公司等第三方机构发生业务关系时产生的个人信息等; (六)衍生信息,包括个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的信息; (七)在与个人建立业务关系过程中获取、保存的其他个人信息。 二、银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别是在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。

农村合作金融机构信息科技风险管理规划

资料范本 本资料为word版本,可以直接编辑和打印,感谢您的下载 农村合作金融机构信息科技风险管理规划 地点:__________________ 时间:__________________ 说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容

附件 省农村合作金融机构 信息科技风险管理五年规划 二〇一二年三月五日

第一章引言 (3) 第二章全省农合机构信息科技风险管理现状 (5) 第一节信息科技风险管理主要成效 (5) 一、信息科技治理取得一定成效 (5) 二、信息科技风险管理策略构建取得一定成效 (6) 三、信息科技风险评估取得初步成效 (7) 四、信息系统安全等级保护取得初步进展 (7) 五、业务连续性管理初上轨道 (8) 第二节信息科技风险管理存在的问题 (8) 一、信息科技治理不够健全 (8) 二、信息科技风险管理策略不完善 (9) 三、风险控制层面的“三重控制”机制未有效构建 (10) 四、数据大集中系统安全等级定级偏低 (11) 五、业务连续性管理还比较薄弱 (11) 六、信息科技风险管理绩效体系尚未建立 (12) 第三章信息科技风险管理五年规划目标和实施路线 (12) 第一节信息科技风险管理五年规划总体目标 (13) 第二节信息科技风险管理五年规划实施路线 (14) 一、持续完善信息科技治理 (14) 二、逐步完善信息科技风险管理策略 (17) 三、构建信息科技风险控制层面的“三重控制” (20) 四、全面贯彻落实信息系统安全等级保护 (21) 五、持续完善业务连续性管理体系 (22) 六、加强分中心和法人联社的信息科技风险管理 (24) 七、探索建立信息科技风险管理绩效体系 (24) 第四章 2012年信息科技风险管理工作计划 (25) 一、进一步完善信息科技治理 (26) 二、初步建立信息科技风险管理策略 (27) 三、初步构建风险控制层面“三重控制” (29) 四、落实信息系统安全等级保护 (30) 五、初步建立业务连续性管理体系 (30) 六、落实信息科技风险隐患的整改工作 (32)

2019信息网络安全专业技术人员继续教育(信息安全技术)习题及答案

信息安全技术 第一章概述 第二章基础技术 一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。(对) 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。(对) 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。(错) 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。(对) 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型(错) 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。(错) 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。(错) 8.国密算法包括 SM2,SM3和SM4. (对)

9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。(对) 10.Hash函数的输人可以是任意大小的消息,其输出是一个长度随输入变化的消息摘要。(错) 11.数字签名要求签名只能由签名者自己产生。(对) 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。(错) 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制,而不是基于主体的身份。(对) 二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的,有两个不同密钥 D.是对称的,使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )

个人金融信息保护自查报告

XX支行 个人金融信息保护自查报告 根据《中国人民银行毕节市中心支行办公室关于下发2015年金融消费权益保护监督检查实施方案的通知》(毕银办发[2015]33号精神,我行认真组织各部门进行了自查,现根据相关要求将自查工作汇报如下: 一、组织管理 成立以XX为组长,XX、XX为成员的自查工作小组。 二、自查情况 自查工作小组首先就个人进行信息保护工作的相关规章制度在全司进行了宣导,让大家对保护个人金融信息的重要性有了一个充分的认识。同时对我机构涉及到个人金融信息相关部门进行了检查,重点对涉及到财会部、信贷部两个部门进行了检查,进一步完善了内控制度建设,明确了各部门负责人为第一责任人。 在检查过程中,我小组对客户个人金融信息收集、使用和保管情况,涉及个人金融信息保护的投诉案件的处理情况等情况进行了摸排,未发现有违规操作现象,并且未发生过与个人金融信息泄露有关的金融案件。 通过此次自查工作的开展,我行充分认识到了个人金融信息保护工作的重要性,在今后的工作中将严格按照相关法

律规定切实做好个人金融信息的保护工作,为有效防范金融风险,维护正常的经济金融秩序和社会稳定的市场环境做出自身应有的贡献。 一、检查本行是否强化个人金融信息保护和银行业金融机构法制意识,是否依法收集、使用和对外提供个人金融信息。其中所指的金融信息是指个人身份信息、财产信息、账户信息、信用信息、金融交易信息和其中衍生的一些信息等。 二、检查本行在收集、使用、保存、对外提供个人金融信息时,是否严格遵守法律规定,采取有效措施加强对个人金融信息保护,是否有信息泄露和信息滥用的现象。 三、检查我行是否建立健全的内部控制制度,对查易发生个人金融信息泄露的环节是否充分排查。 四、检查我行是否篡改、违法使用个人金融信息等。 依照人行相关规定我行对相关业务逐一对照自查。通过自查,发现我行涉及个人金融信息的业务基本落实到位,不存在违规行为。但是,在以后的工作中我行仍旧要加强对个人金融信息的保护,明确各岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露和滥用事件的发生。

银行业金融机构信息科技外包风险监管指引1

银行业金融机构信息科技外包风险监管指引 第一章总则 第一条为规银行业金融机构的信息科技外包活动,降低信息科技外包风险,根据《中华人民国银行业监督管理法》、《中华人民国商业银行法》等法律法规,制定本指引。 第二条在中华人民国境设立的政策性银行、商业银行、农村合作银行、省(自治区)农村信用社联合社适用本指引。银监会监管的其他金融机构参照本指引执行。 第三条本指引所称信息科技外包是指银行业金融机构将原本由自身负责处理的信息科技活动委托给

服务提供商进行处理的行为,包含项目外包、人力资源外包等形式。原则上包括以下类型:(一)研发咨询类外包:科技管理及科技治理等咨询设计外包,规划、需求、系统开发、测试外包; (二)系统运行维护类外包:包括数据中心(灾备中心)、机房配套设施、网络、系统的运维外包,自助设备、POS机等远程终端及办公设备的运维外包; (三)业务外包中的信息科技活动:市场拓展、业务操作、企业管理、资产处置等外包中的系统开发、运行维护和数据处理活动。 第四条本指引所称关联外包是指服务提供商为银行业金融机构的母公司或其所属集团子公司、关联公司或附属机构提供信息科技外包。 第五条信息科技外包可能产生如下风险,并导致银行业金融机构的战略、声誉、合规风险: (一)科技能力丧失:银行业金融机构过度依赖外部资源导致失去科技控制及创新能力,影响业务创新与发展; (二)业务中断:支持业务运营的外包服务无法持续提供导致业务中断;

(三)信息泄露:包含客户信息在的银行业金融机构非公开数据被服务提供商非法获得或泄露; (四)服务水平下降:由于外包服务质量问题或外部协作效率低下,使得银行业金融机构信息科技服务水平下降。 第六条本指引所称机构集中度风险是指银行业金融机构将信息科技外包服务集由少量服务提供商承接而产生的风险,该风险可能造成集中性的服务中断、质量下降、安全事件等。 第七条本指引所称同业托管机构是指作为外包服务提供商为其他同行业金融机构提供信息科技外包服务的银行业金融机构。 第八条银行业金融机构应当将信息科技外包管理纳入全面风险管理体系,建立与本机构信息科技战略目标相适应的外包管理体系,控制或降低由于外包而引发的风险。 第九条银行业金融机构应当建立信息科技外包管理组织架构,制定外包管理战略,定期进行外包风险评估,通过服务提供商准入、评价、退出等手段建立及维护符合自身战略目标的供应商关系管理策略。

相关主题
相关文档
最新文档