中国银行计算机信息安全策略纲要(试行)

xx银行计算机信息系统安全管理办法xx总发〔xx〕6号附件5，xx年1月12日印发第一章总则第一条为加强全行计算机信息系统安全保护工作，保障计算机信息系统安全、稳定运行，根据《中华人民共和国计算机信息系统安全保护条例》、《商业银行信息科技风险管理指引》和《金融机构计算机信息安全保护工作暂行规定》等有关法律、法规，特制定本办法。

第二条本办法适用于总行、各分支机构及所有使用xx银行网络或信息资源的其他外部机构和个人,各分支机构可根据本地情况制定实施细则。

第三条本办法适用于以下信息安全管理活动：(一)数据处理活动；(二)数据处理活动的业务流程所涉及的部门和员工；(三)与上述活动相关的应用系统及支持信息管理系统包含的全部资产；(四)我行连接互联网及相关数据传输的活动；(五)其它信息安全管理活动。

第四条本办法所涉及的名词解释：(一)信息系统是指由计算机及相关配套设备、设施(含网络)构成的，按照一定的应用目的和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统(含单机系统)；(二)信息资产包括业务系统、硬件资产、软件资产、业务数据、物理设备和IT环境设施；(三)数据是指全行业务、客户、核算的流程数据、交易数据、信息数据、加工数据及其他；(四)数据处理活动是指对信息系统数据进行查询、修改、删除、插入等的操作活动；(五)计算机病毒，除包括传统意义上的计算机病毒（指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码），还包括木马、蠕虫、流氓软件等恶意代码；(六)计算机病毒疫情，是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报；(七)本办法所称媒体，是指计算机软盘、硬盘、磁带、光盘、移动闪存卡（盘）等。

(八)本办法所称信息安全管理，是指对xx银行信息系统的物理、软件、数据等资产的使用、运行、维护及废止等所实施的保障计算机信息及其相关系统、环境、网络和操作安全的一系列管理活动。

银行计算机信息系统安全管理工作规定（暂行）第一章总则第一条为了加强银行计算机信息系统的安全管理工作，防范计算机犯罪，保证计算机系统安全、稳定地运行，根据《商业银行信息科技风险管理指引》等有关法律、法规，特制定本规定。

第二条本规定适用于我行各级机构，包括总行各部门及各分支行。

第三条我行计算机信息系统安全保护工作实行谁主管、谁负责，预防为主、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。

第四条我行各部门的分支行负责人为本部门和分支行计算机信息系统安全保护工作的第一责任人。

第五条本规定所称计算机信息系统安全防范设施包括计算机中心机房的构筑防护设施和计算机信息系统及其相关配套设备的技术防护设施。

第二章计算机机房安全防范设施及安全管理第六条我行的计算机中心机房应当符合下列基本要求：（一）中心机房在建筑内应为独立区域。

（二）中心机房周围100米内不得有危险建筑，如加油站、煤气站等。

（三）中心机房必须按照有关标准配置防火、防水、防盗设施。

（四）中心机房必须采用双回路供电，配备发电机、UPS等设施。

第七条重要的通讯控制装置及通讯线路必须有备份。

网络通讯设施要有安全技术措施。

第八条中心机房其他安全设施及管理按照《银行中心机房管理制度》和其他相关规定执行。

第三章计算机普通用户安全管理第九条计算机普通用户安全管理包括各类操作系统、数据库系统、应用系统、网络设备、其他计算机设备的用户管理。

第十条所有计算机使用者负责维护和妥善保管自己的计算机用户密码。

对于可疑情况，必须向信息技术部报告备案。

第十一条各类用户应坚持一人一用户原则，严禁使用他人的计算机用户登录计算机系统；严禁将自己的计算机用户给他人使用。

计算机用户的使用者在用户登录期间因故离开或使用结束后必须及时退出系统。

第十二条严格控制各类用户密码长度（至少6位）；密码不能和用户名相同，也不能使用本人姓名、生日、身份证号码、电话号码等容易被猜出的数字或字母。

第十三条计算机使用者每三个月必须更改用户密码一次。

发文单位：中国银行文号：中银科[2002]38号发布日期：2002-11-29执行日期：2002-11-291.前言随着信息技术的不断发展，金融信息安全与我国经济建设、社会安定和国家安全紧密相连。

中国银行各项业务已经由传统手工处理转向高科技信息系统处理模式，信息技术已成为银行赖以发展的基础。

中国银行信息系统是技术密集、资金密集、大型复杂的网络化的人机系统，其安全问题日益突出。

金融信息安全的风险来于管理层、技术层和操作层。

银行信息系统所面临的主要威胁是：（1）人为的失误：计算机技术人员及业务人员在信息系统的设计、开发、安装、使用过程中，都有机会产生人为的错误或失误。

（2）欺诈行为：来自于银行内部员工或银行外部人员，欺骗性地修改或产生信息系统的数据，盗窃银行资金，进行金融犯罪。

（3）内部人员破坏行为：由于对工作不满或其他原因，有意在程序中设置“后门”或程序炸弹，并对设备、数据、系统进行故意破坏的行为。

（4）物理资源服务丧失：设备故障或物理环境发生意外灾难（电源断电、通讯中断、水灾、火灾、地震等）而产生系统宕机事件。

（5）黑客攻击：黑客通过非法手段访问或破坏银行信息系统。

（6）商业信息泄密：部分员工利用权限之便而造成信息系统数据的外泄。

（7）病毒（恶意程序）侵袭：指编制或者在计算机程序中插入破坏计算机功能或者毁坏系统数据的计算机指令或者程序代码。

（8）程序系统自身的缺陷：程序设计开发时，对系统的安全性考虑不足，留下安全隐患，这是一种来自系统自身的威胁。

随着全行信息大中心的相继建成，数据形成了高度集中，风险也随之高度集中，因此信息安全问题所形成的现代金融风险，使传统的金融风险内涵发生了根本性变化。

中国银行信息系统的安全不但涉及国家和金融业的利益，而且还涉及到广大客户的利益，任何不安全因素都可能造成信息的丢失、资金财产的损失和金融市场的混乱，甚至影响到社会的稳定。

由于信息系统存在着自然或人为等诸多因素的脆弱性和潜在风险，中国银行在信息化建设过程中应建立明确的安全策略，加强信息化管理和技术防范措施，确保信息系统的安全稳定。

电脑技术如何加强银行内部的数据保护和隐私随着科技的迅猛发展和信息化时代的到来，银行作为金融行业的重要组成部分，承载着大量的客户个人信息和财务数据。

在这个信息爆炸的时代，保护客户数据的安全性和隐私成为了银行业务的重要课题。

电脑技术作为关键的工具和手段，如何加强银行内部的数据保护和隐私已成为亟待解决的问题。

本文将从加强网络安全、完善数据加密、强化员工培训和建立监控系统四个方面展开论述。

一、加强网络安全网络安全是保护银行内部数据的第一道防线。

银行应当加强网络防火墙的建设，及时更新网络安全设备和软件，确保网络系统的稳定和安全。

同时，定期进行网络安全检测和评估，及时发现漏洞和风险，采取相应的措施进行修复和弥补。

此外，加强对外部攻击的防范和响应，建立紧急处理机制，以应对网络攻击事件的发生。

二、完善数据加密数据加密是保障银行内部数据安全的重要手段。

银行应当采取高强度、高可靠性的加密算法和技术，对敏感数据进行加密处理，确保数据在传输和存储过程中不被窃取或篡改。

同时，对于存储在硬盘或其他存储介质上的数据，也应当进行适当的加密处理，防止数据泄露或被非法获取。

此外，银行还应当建立完善的密钥管理机制，确保密钥的安全可控。

三、强化员工培训员工是银行内部数据保护的重要环节。

银行应当加强对员工的安全意识教育和培训，让员工了解数据保护的重要性和自身的责任。

培训内容包括数据保护的基本知识、常见的数据泄露风险及相应的预防措施等。

此外，银行还应当制定相应的内部管理规定和操作流程，明确员工的权限和责任，确保员工在日常工作中能够合理、规范地处理和使用客户数据。

四、建立监控系统监控系统是银行内部数据保护的重要工具。

银行应当建立完善的监控系统，对内部网络和系统进行实时监控，及时发现异常和可疑行为。

监控系统应当具备实时报警、历史记录和溯源等功能，能够追踪和还原数据的使用过程。

此外，银行还应当建立相应的数据访问日志和操作记录，以备日后的审计和追责。

银行计算机岗位安全保密协议模板1. 概述本协议旨在规范银行计算机岗位的安全保密工作，保障银行客户信息、机构信息及机密资料的安全性。

2. 合法性本协议在合法前提下产生法律效力，对于违反协议的行为，银行将采取相应法律手段维护自身合法权益。

3. 保密原则3.1 银行计算机岗位工作人员应当严格遵守保密原则，不得将银行客户信息、机构信息及机密资料泄露给他人。

3.2 银行计算机岗位工作人员应当妥善保管存放在银行计算机系统中的敏感信息，防止非法获取或利用。

3.3 银行计算机岗位工作人员应当注意工作场所的环境安全，不得将重要信息留在不能锁上的抽屉、桌面或计算机屏幕上。

3.4 银行计算机岗位工作人员应当时刻紧急监管，对于发现泄密行为及时报告处理。

4. 保密措施4.1 银行计算机岗位工作人员应当严格遵守密级制度，对于涉及重要客户信息、机构信息及机密资料的存储、传输、使用及销毁等过程，应当采用相应的保密措施。

4.2 银行计算机岗位工作人员应当定期进行保密培训，增强保密意识。

4.3 银行计算机岗位工作人员应当使用安全防范软件进行信息保护，禁止使用未经授权的移动存储设备。

4.4 银行计算机岗位工作人员应当采取措施防止网络攻击。

5. 法律责任对于违反本协议规定的行为，银行将根据相关法律法规及内部管理规定，依法进行严肃处理。

6. 附则6.1 本协议自签订之日起生效。

6.2 本协议解释权归银行所有。

6.3 本协议内容有可能根据需要进行修改或补充。

变更或补充的协议，以相应的书面形式作为协议的补充、修改，如有争议，以银行出具的书面通知为准。

以上是银行计算机岗位安全保密协议模板。

银行计算机岗位涉及大量客户信息、机构信息及机密资料，保密工作十分重要，需要全体工作人员认真履行。

中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知文章属性•【制定机关】中国人民银行•【公布日期】2010.12.28•【文号】银发[2010]366号•【施行日期】2010.12.28•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】计算机软件著作权,银行业监督管理正文中国人民银行关于印发《中国人民银行计算机系统信息安全报告制度》的通知（2010年12月28日银发[2010]366号）人民银行上海总部，各分行、营业管理部，各省会(首府)城市中心支行，各副省级城市中心支行，各直属企事业单位：为进一步做好人民银行计算机系统信息安全风险防范和事件处置工作，总行制定了《中国人民银行计算机系统信息安全报告制度》，现印发给你们，请遵照执行。

附件：中国人民银行计算机系统信息安全报告制度附件中国人民银行计算机系统信息安全报告制度一、总则第一条根据《中国人民银行计算机系统信息安全管理规定》(银发[2010]276号印发)，为加强人民银行计算机系统信息安全(以下简称信息安全)管理，规范计算机系统信息安全报告流程，提高信息安全事件和风险处置效率，制定本制度。

第二条本制度适用于人民银行总行、上海总部、各分支机构行、各直属企事业单位及其他相关单位。

第三条本制度报告范畴界定为网络与信息系统计算机系统的信息安全，报告事项包括信息安全事件和信息安全风险两类。

第四条本制度所称信息安全事件，是指由于人为、自然因素或计算机软硬件缺陷等原因，导致网络、信息系统出现异常或数据受到侵害，影响网络与信息系统正常运行或数据安全。

第五条本制度所称信息安全风险，是指人为、自然的威胁利用网络与信息系统及其管理机制中存在的脆弱性，导致信息安全事件发生的可能性。

第六条任何单位和个人均有信息安全报告的义务。

按照“谁发现、谁报告”的原则，信息安全事件发生或风险发现单位的计算机系统相关业务部门在向本单位应急办报告的同时，通报本单位科技部门。

一、编制目的为确保银行业计算机系统安全稳定运行，提高应对计算机突发事件的能力，最大程度地降低突发事件对银行业务的影响，特制定本预案。

二、编制依据1. 《中华人民共和国计算机信息网络国际联网安全保护管理办法》2. 《银行业金融机构计算机信息系统安全管理办法》3. 国家金融监督管理总局相关政策和法规4. 银行内部管理制度和操作规程三、适用范围本预案适用于银行业金融机构在计算机系统运行过程中发生的各类突发事件，包括但不限于计算机病毒、网络攻击、硬件故障、软件故障、数据泄露、系统崩溃等。

四、组织机构及职责1. 成立计算机应急领导小组，负责计算机应急工作的全面领导和指挥。

（1）组长：行长（2）副组长：分管信息科技工作的副行长（3）成员：信息科技部门负责人、安全管理部门负责人、业务部门负责人等2. 设立计算机应急办公室，负责计算机应急工作的具体实施。

（1）主任：信息科技部门负责人（2）副主任：安全管理部门负责人（3）成员：信息科技部门、安全管理部门、业务部门等相关人员五、应急预案1. 预警与预防（1）建立计算机安全预警机制，对可能发生的计算机安全事件进行预警。

（2）加强计算机系统安全防护，定期进行安全检查和漏洞修复。

（3）对员工进行计算机安全培训，提高安全意识。

2. 突发事件响应（1）发现计算机安全事件后，立即启动应急预案。

（2）计算机应急办公室组织相关人员进行分析、评估，确定事件等级。

（3）根据事件等级，采取相应的应急措施：a. 一般事件：立即通知相关部门，采取相应措施进行处理。

b. 重大事件：立即上报计算机应急领导小组，启动应急响应机制。

（4）根据事件发展情况，及时调整应急措施。

3. 应急处置（1）事件处理：根据事件类型和影响范围，采取以下措施：a. 针对计算机病毒、网络攻击等安全事件，采取隔离、清除、修复等措施。

b. 针对硬件故障、软件故障等，采取更换、升级、修复等措施。

c. 针对数据泄露、系统崩溃等，采取恢复、备份、修复等措施。