个人金融信息安全管理
个人金融信息安全管理
一、个人金融信息保护法律规定
目前,我国尚未出台专门的个人金融信息保护的法律,但在《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国证券法》、《中华人民共和国保险法》等法律法规中,都有保护个人金融信息的条款。例如:
(一)《商业银行法》第六条规定:商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。第二十九条规定:商业银行办理个人储蓄存款业务,应当遵循为存款人保密的原则,对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。
(二)《中华人民共和国反洗钱法》第五条规定:对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。
(三)《刑法》修正案七规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。
(四)《征信业管理条例》第十三条规定:采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法
律、行政法规规定公开的信息除外。第十四条规定:征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,但征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意采集的除外。第二十六条规定:信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉,信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以直接向人民法院起诉。
(五)其他规范性文件。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发…2011?17号)规定,银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息和采取不正当的方式收集信息。银行业金融机构不得篡改、违法使用个人金融信息。在使用个人金融信息时,应当符合收集该信息的目的,不得出售个人金融信息,不得向本金融机构以外的其他金融机构和个人提供个人金融信息(但个人书面授权同意、以及法律法规另有规定的除外),不得在个人提出反对的情况下,将个人金融信息用于产生该信息以外的本金融机构其他营销活动。
二、金融监管部门保护措施
2011年1月21日,中国人民银行印发了《关于银行业金融机构做好个人金融信息保护工作的通知》(银发…2011?17号),要求商业银行强化个人金融信息保护工作,并从商业银行自身建设、个人金融信息的收集和使用、外包管理、商业银行报告义务和法律责任等方面提出了明确规定。
2012年3月27日,中国人民银行印发了《关于金融机构进一步做好客户个人金融信息保护工作的通知》(银发…2012?80号),要求各银行业金融机构在制度、内控管理、信息安全防范、员工教育等方面采取措施,进一步加强个人金融信息保护,并在全国银行业金融机构开展个人金融信息保护自查工作。各级人民银行分支机构适时开展了对银行业金融机构个人金融信息保护工作的专项检查,对未履行客户个人金融信息保护义务,侵害客户合法权益的,根据有关规定严肃处理。
三、金融机构保护措施
(一)采取物理隔离、防火墙等措施加强技术防范,杜绝外部非法入侵系统窃取个人金融信息;
(二)建立内控制度,对可能出现的个人金融信息泄露的环节进行排查;
(三)形成相互监督和制约的管理机制,切实防范信息泄漏事件的发生;
(四)履行客户身份识别义务,依法使用、保存和销毁客户原始凭证资料;
(五)规范查询本人、代理查询他人金融信息的程序,审核客户有效身份证件或有关法律文书;
(六)建立员工行为准则,加强员工培训教育,与涉密岗位人员签订书面保密承诺书。
四、金融消费者要强化个人金融信息风险的防范
在金融业虚拟化和网络化程度不断提升的现代社会,个人金融信息安全面临着前所未有的挑战,除了金融机构加强个人金融信息安全管理外,广大金融消费者也应增强防范意识,妥善采取保护措施,确保自己的个人金融信息等隐私信息不受侵害。
(一)切勿把自己的身份证件、银行卡等转借他人使用。
(二)在日常生活中切勿向他人透露个人金融信息、财产状况等基本信息,也不要随意在网络上留下个人金融信息。
(三)尽量亲自办理金融业务,切勿委托不熟悉的人或中介代办,谨防个人信息被盗。
(四)提供个人身份证件复印件办理各类业务时,应在复印件上注明使用用途,例如:“仅供申报**信用卡用”,以防身份证复印件被移作他用。
(五)不要随意丢弃刷卡签购单、取款凭条、信用卡对账单等,对写错、作废的金融业务单据,应撕碎或用碎纸机及时销毁,不可随意丢弃,以防不法分子捡拾后查看、抄录、破译个人金融信息。
(六)不要轻信来历不明的电话号码、手机短信和邮件。警
惕向您询问个人金融信息的电话及电子邮件,在任何情况下,法院、警方都不会要求您告知银行账户、卡号、密码或向来历不明的账户转账,如遇到此类情况,应予以拒绝,必要时立即报警。
信息安全管理规定
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
信息安全管理办法93613
信息安全管理办法 第一章总则 第一条为保障公司信息安全,切实推行安全管理,积极预防风险,完善控制措施,制定本办法。 第二条本办法适用于公司各职能部门、分公司信息安全管理。 第二章主要内容及工作职责 第三条信息安全管理的主要工作内容包括机房安全管理、网络安全管理、主机安全管理、应用安全管理、数据安全管理和管理安全工作。 第四条IT中心工作职责 1、IT中心为公司信息安全管理主管部门。 2、负责公司信息安全管理策略制订与落实。 3、负责起草信息安全规章制度,承担信息安全保障 建设、信息安全日常管理职能,提供信息安全技术保障。 4、负责各中心、分公司、专(兼)职信息管理员信 息安全指导、培训。 第五条各中心、分公司 1、指定专人担任专职或兼职信息管理员,负责协助 IT中心开展信息安全实施工作,并提供部门内部技术支持和网络管理工作。
2、负责落实相关信息安全管理工作在部门内的实施。 3、负责业务操作层的相关信息安全保障。 4、负责做好本部门人员的信息安全教育工作,提高 人员的信息安全意识和技能水平。 第三章机房安全管理 第六条机房人员出入、巡检、操作和设备管理请参照《机房安全管理规定》。 第四章网络安全管理 第七条公司内部网络与互联网实行安全隔离,在网络边界处应部署防火墙或其他安全访问控制设备,制定访问控制规则。 第八条新增网络设备入网时,网络管理员应按照《网络设备安全配置检查表》进行检查(见附录A),经信息安全管理员确认所有检查项检查结果全部为“是”后允许网络设备进入网络运行。 第九条网络新建或改造,在投入使用前,网络管理员须进行网络连通性、冗余性和传输速度等测试,信息安全管理员全程参与,确保网络系统安全。 第十条当网络设备配置发生变更时,须及时对网络设备配置文件进行备份;网络设备配置每三个月进行全备份,网络设备配置文件由网络管理员保管。 第十一条网络管理员应建立网络技术档案,技术文档包
金融机构信息安全管理指引
附件 省银行业金融机构信息安全管理指引(试行) 第一章总则 第一条为切实加强省银行业金融机构(以下简称银行机构)信息安全工作的管理和指导,进一步增强银行机构信息安全保障能力,保障国家经济金融运行安全,保护金融消费权益和维护社会稳定,根据国家和人民银行总行有关规定和要求,特制订本指引。 第二条本指引所称信息安全管理,是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中,保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。 第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统(单位)的信息安全管理,完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。 第四条各银行机构信息安全管理工作的目标是:建立和完善与金融机构信息化发展相适应的信息安全保障体系,满足金融机构业务发展的安全性要求,保证信息系统和相关基础设施功能的正常发挥,有效防、控制和化解信息技术风险,增强信息系统安全预警、应急处置和灾难恢复能力,保障数据安全,显著提高金融机构业务持续运行保障水平。 第五条各银行机构信息安全管理工作的主要任务是: (一)加强组织领导,健全信息安全管理体制,建立跨部门、
跨行业协调机制; (二)加强信息安全队伍建设,落实岗位职责制,不断提高信息安全队伍业务技能; (三)保证信息安全建设资金的投入,将信息安全纳入“五年”发展规划和年度工作计划,不断完善信息安全基础设施建设; (四)进一步加强信息安全制度和标准规体系建设; (五)加大信息安全监督检查力度;加快以密码技术应用为基础的网络信任体系建设; (六)加强安全运行监控体系建设; (七)大力开展信息安全风险评估,实施等级保护; (八)加快灾难恢复系统建设,建立和完善信息安全应急响应和信息通报机制; (九)广泛、深入开展信息安全宣传教育活动,增强全员安全意识。 第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。 第二章组织机构 第七条各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构,负责本系统(单位)信息安全管理工作,决策本系统(单位)信息安全重大事宜。
信息安全管理制度19215
信息安全管理制度 目录 1.安全管理制度要求 1.1总则:为了切实有效的保证公司信息安全,提高信息系统为公司生产经营的服务能力,特制定交互式信息安全管理制度,设定管理部门及专业管理人员对公司整体信息安全进行管理,以确保网络与信息安全。 1.1.1建立文件化的安全管理制度,安全管理制度文件应包括: a)安全岗位管理制度; b)系统操作权限管理; c)安全培训制度; d)用户管理制度; e)新服务、新功能安全评估; f)用户投诉举报处理; g)信息发布审核、合法资质查验和公共信息巡查; h)个人电子信息安全保护; i)安全事件的监测、报告和应急处置制度; j)现行法律、法规、规章、标准和行政审批文件。 1.1.2安全管理制度应经过管理层批准,并向所有员工宣贯 2.机构要求 2.1 法律责任 2.1.1互联网交互式服务提供者应是一个能够承担法律责任的组织或个人。 2.1.2互联网交互式服务提供者从事的信息服务有行政许可的应取得相应许可。 3.人员安全管理 3.1 安全岗位管理制度 建立安全岗位管理制度,明确主办人、主要负责人、安全责任人的职责:岗位管理制度应包括保密管理。 3.2 关键岗位人员 3.2.1关键岗位人员任用之前的背景核查应按照相关法律、法规、道德规范和对应的业务要求来执行,包括: 1.个人身份核查: 2.个人履历的核查: 3.学历、学位、专业资质证明: 4.从事关键岗位所必须的能力 3.2.2 应与关键岗位人员签订保密协议。 3.3 安全培训 建立安全培训制度,定期对所有工作人员进行信息安全培训,提高全员的信息安全意识,包括: 1.上岗前的培训; 2.安全制度及其修订后的培训; 3.法律、法规的发展保持同步的继续培训。 应严格规范人员离岗过程: a)及时终止离岗员工的所有访问权限; b)关键岗位人员须承诺调离后的保密义务后方可离开; c)配合公安机关工作的人员变动应通报公安机关。
个人电脑信息安全指南
个人电脑信息安全指南 由于电脑的普及,越来越多的用户发现个人电脑信息安全的重要性,当你的电脑被盗、被抢、被黑,或者因为不可抗拒力被他人获得,如何才能保证自己电脑信息的损失最小化,并且自己的秘密信息不被他人所获得,这值得所有的笔记本电脑用户关注,“艳照门”事件给普通的个人电脑使用者敲响了警钟:谁没有一些重要的资料?谁没有一些只属于自己的“秘密”?从担忧甚至会产生一些“恐惧”,谁也不知道什么时候又会什么不可预期的事件发生在自己身上,因此,针对个人电脑的安全问题,我这里总结一套安全方案,供大家参考。 一、本地信息分类和分级 要想管理个人信息,先要将自己的信息进行分类,个人信息主要包括:邮件、文档(DOC、XLS、PPT、PDF、TXT)、文件(其他类型)、照片文件、视频文件等。 接着,将这些信息按照安全等级,分为三级,最机密的信息为“绝密”,其次为“秘密”,没有保密性的文件为“普通”。 二、帐号安全 系统不加入域,本地电脑只设置一个管理员,并设置一个密码,进入系统需要密码登录,常用的网络服务帐号也需要使用密码登录,关于本地电脑和网络服务帐号的密码安全性,请参考月光博客的另一篇文章《十个常用网络密码的安全保护措施》。 目前的网络服务使用Google的服务最为安全,用户需要有两个Google账户,一个是自己最常用的Google帐号,用于普通、秘密的邮件或文件操作,并使用此帐号对外联系。另一个是绝密的Google帐号,所有定义为“绝密”信息的邮件和文档均保存在这个绝密Google帐号中,不保留任何信息在本地电脑,不保存绝密Google账户密码到本地,只使用隐身窗口或隐私模式访问此绝密Google 账户。 三、日常操作 文件的处理工具分别是:邮件 - Gmail;文档 - Google Docs;即时通讯 - Gtalk(Gmail内置);其他文件 - Dropbox、TC,WinRAR等。 在日常的文件操作中要注意,尽量使用国外大公司的网络服务,并具有数据导出功能,以免因为服务关闭问题导致数据丢失,推荐Google的服务。 邮件和文档尽量放在服务器上,尽量少用邮件客户端,多用Gmail和Google Docs服务。
个人金融信息安全保护制度
个人金融信息安全保护制 度 Prepared on 22 November 2020
夷陵支行客户个人金融信息 安全保护制度 为进一步加强中信银行宜昌夷陵支行个人金融信息保护工作,履行客户个人金融信息保护义务,确保客户个人金融信息安全,我行员工要严格遵守《个人存款账户实名制规定》、《个人信用信息基础数据管理暂行办法》等法律法规,高度重视客户个人金融信息保护工作: 一、在收集、保存、使用个人金融信息时,要严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用,遵循合法、合理原则,不得收集与业务无关的信息或采取不正当方式收集信息。 二、明确规定各岗位和人员的管理责任,加强个人金融信息管理的权限设置,形成相互监督、相互制约的管理机制,切实防止信息泄露或滥用事件的发生。 三、按照省分行要求配备完善信息安全技术防范措施,确保个人金融信息在收集、传输、加工、保存、使用等环节中不被泄露。 四、按照文件要求加强对员工的培训,强化员工个人金融信息安全意识,防止员工非法使用、泄露、出售个人金融信息。 五、使用客户个人金融信息时,符合收集该信息的目的,不得发生篡改、违法使用客户个人金融信息行为。
六、通过接入中国人民银行征信系统、支付系统以及其他系统获取的个人金融信息,严格按照系统规定的用途使用,不得违反规定查询和滥用行为。 七、员工在日常工作互相监督,如若发现非法使用、泄露、出售个人金融信息的情况应立即制止并向上级领导报告。 八、对违反联社客户个人金融信息保护工作制度非法使用、泄露、出售个人金融信息的员工将根据有关规定追究法律后果。 中信银行宜昌夷陵支行宣
金融信息安全复习总结—徐成贤
1.PDRR: Protect (保护) Detect(检测) React(反应) Restore(恢复) 2.IDS:(Intrusion detection system)-入侵检测系统 3.IPS:(Intrusion Provision system)-入侵防御系统 4.VPN:(Virtual private network)-虚拟专用网技术 5.DES:(Data encryption standard)-数据加密标准 6.AES:(Advanced encryption standard)—高级加密标准 二、填空题 1.主动的信息安全防御模型可以抽象为(风险评估)、制定安全策略、实施保护、(实时监测)、及时响应和(快速恢复)6个环节。 2.安全扫描技术主要分为主机安全扫描技术和(网络安全扫描技术)。 3.IDS一般分为基于主机的HIDS和(NIDS)两类。 4.(安全策略)是信息系统安全模型与安全保护的核心。 5. (屏蔽)是防止雷电电磁脉冲辐射对电子设备影响最有效的方法。 6.(防火墙)是信息系统网络安全防御体系的第一道防线。 7.身份认证技术中,(一次性口令认证技术)最安全。 8. 金融信息系统是由客户端、(应用服务器)与(数据库服务器)组成的三层架构系统。 9. 银行事务处理系统可以划分为(核心层)、业务层、(服务层)和客户层4个层次结构。 10. EDPS、MIS、DSS3个系统之间联系的纽带为数据库、算法库以及(模型库)三库系统,他们是金融信息系统的核心。 11.金融信息系统的逻辑结构可分为(信息管理系统)、(决策支持系统)和事务处理系统三个层次。 12. 金融信息系统由客户端、(数据库服务器)、(应用服务器)、网络和用户组成。 13.请列出信息安全的主要特征(机密性Confidentially)(完整性Integrity)(可用性Availability)(可控性Controllability)(不可抵赖性Non-repudiation)。 14. 以“可信计算机系统评估准则(TCSEC)”为标志的是(信息安全阶段) 15. 体现动态安全理念的PDRR模型的5个安全环节是(物理安全)(运行安全)(数据安全)(内容安全)(管理安全)。 16. 为达到金融信息安全“看不懂”的目标,需要借助(加密)机制 17. 为达到金融信息安全“进不来”的目标,需要借助(访问控制)机制 三、简答: 1、对金融行业来说,金融信息化指的是什么? 答:金融信息化是指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架从物理性空间向信息性空间转变的过程。、 2、请列出常见的至少5种信息安全技术,并对每种技术的特征作简要描述。 答:常见的信息安全技术有防火墙、访问控制、身份认证、入侵检测系统、病毒防护、虚拟专用网(VPN)、安全审计、数据加密、电子签名、内容安全等。 1>防火墙:是一个有硬件和软件组合而成的设备,设置在计算机网络的内部网和外部网之 间的连接处,保护内部网络免遭非法用户通过外部网络的入侵。a、网络流量过滤b、网络审计监控c、形成集中式安全管理d、多功能网络技术支持服务 2>虚拟专用网(VPN virtual protect network):在不安全的公共网络中利用加密技术建设私 有网络。 3>入侵检测系统(IDS Intrusion detection system):作为防火墙的补充,用于实时发现和抵 御黑客的攻击.\ 4>病毒防护:计算机防护病毒的主要技术有检测和清除,用于及时发现并清除病毒。病毒
个人金融信息保护技术规范
个人金融信息保护技术规范 1 范围 本标准规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。 本标准适用于提供金融产品和服务的金融业机构,并为安全评估机构开展安全检查与评估工作提供参考。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 22239-2019信息安全技术网络安全等级保护基本要求 GB/T 25069-2010信息安全技术术语 GB/T 31186.2-2014银行客户基本信息描述规范第2部分:名称 GB/T 31186.3-2014银行客户基本信息描述规范第3部分:识别标识 GB/T 35273-2017信息安全技术个人信息安全规范 JR/T 0068-2020网上银行系统信息安全通用规范 JR/T 0071 金融行业信息系统信息安全等级保护实施指引 JR/T 0092-2019移动金融客户端应用软件安全管理规范
JR/T 0149-2016中国金融移动支付支付标记化技术规范 JR/T 0167-2018云计算技术金融应用规范安全技术要求 3术语和定义 GB/T 25069-2010,GB/T 35273-2017界定的以及下列术语和定义适用于本文件。 3.1金融业机构financial industry institutions 本标准中的金融业机构是指由国家金融管理部门监督管理的持 牌金融机构,以及涉及个人金融信息处理的相关机构。 3.2个人金融信息personal financial information 金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。 注1:本标准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。 注2:改写GB/T 35273-2017,定义3.1 3.3支付敏感信息payment sensitive information 支付信息中涉及支付主体隐私和身份识别的重要信息。 注:支付敏感信息包括但不限于银行卡磁道数据或芯片等效信息,卡片验证码、卡片有效期、银行卡密码、网络付交易密码等用于支付鉴权的个人金融信息。 3.4个人金融信息主体personal financial information
银行征信信息安全自查汇报
银行征信信息安全自查汇报 银行征信信息安全自查报告1 一、本行相关征信工作人员在使用办理征信业务时,严格按照中国人民银行《征信业管理条例》执行,遵循合规、审慎、保密、维护金融消费者权益的原则,对自己的查询帐号严格保密,密码定期修改。 二、在查询过程中,按照审慎和维护金融消费者权益的原则,对每一笔被查询者,由被查询者当面签订查询授权书,按照被查询者的授权的查询原因,进行授权内查询,做到无无权查询和越权查询。 并且对每一笔查询结果,做到保密制度,切实维护被查询者的个人隐私。 三、对每一笔查询者,在查询之前,做好查询登记制度,登记被查询者的姓名、住址、身份证号码、联系号码、查询原因进行详细登记,对每笔查询记录逐笔登记,并按季度对其登记簿进行装订保存。 四、现我行被查询者为借款人,对其符合发放贷款的被查询者,查询报告都做为贷款资料保存,对不符合贷款条件的贷户,我行对其查询报告进行专夹保管,查询者对其信息绝不对外宣传,保证其查询信息不泄漏,影响个人信誉。五、对其查询的个人与单位征信,本着全面、客观、合理的原则对客户进行综合评价,征信信息仅供参考,不应简单以个人与单位征信系统存在负面数据为由,正确使用征信系统,合规开展征信业务。 六、对个人贷款户进行贷款后管理查询,严格按照主管授权制
度,对每笔需要贷后检查的个人征信查询,按照先登记授权,后查询的原则办理查询业务。 自查人:xx (二)系统管理情况我行健全内部控制制度, 通过权限管理设置,加强对 X-PAD 系统、CRM 系统、个人征信信息系统的管理,系统的使用人员都经过了严格的审批程序,并明确了管理责任,确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露和盗用。今年以来,我行通过对个人客户经理的风险排查和对基层网点常规业务检查对涉及个人金融信息的保密环节进行了自查和检查,目前尚未发现个人信息泄漏的情况。 (三)重点业务和关键环节的检查情况2为强化内部控制,加强个人金融业务操作风险管理,促进个人金融业务又好又快发展,预防和遏制由于内部监督控制不力、违规操作而导致的重大风险,个金部将重点业务和关键环节的检查均纳入检查计划作为常规检查项目,认真开展个人金融业务的检查。 1、银行卡业务管理 (1)在发卡审核环节,对所有申请进件进行了 100%电核,对有疑问的或批量进件由风险人员和直销领队上门核实包括真实性,所有进件均实行了“三亲见”制度,并通过身份联网核查和人行征信系统进行了身份核查和征信调查。 (2)我行严把特约商户准入关。按照各级监管部门的有关规定,
金融业信息安全事件的防范
金融业信息安全事件的防范 1信息安全事件的发生和分析 随着金融业务系统的日益复杂化,安全隐患也散布于各点,科技部门 也无法准确预测到问题会出现在什么地方,任何一个错误操作都可能 造成整个系统的瘫痪,这对科技部门操作流程的规范性提出了更高的 要求。2012年10月,某金融机构操作人员因为误操作将业务系统的交易日志文件关闭,导致系统不能正常运行;2012年11月,某金融机构维护人员错误操作,导致生产和备份系统重要系统文件丢失,造成服 务器宕机,导致重要业务系统无法正常启动。错误操作的发生源于操 作人员的粗心,但关键是因为操作流程不规范,对重要操作缺乏切实 有效的监管措施。(1)信息安全管理未贯穿于信息系统的全生命周期。部分机构忽视信息系统全生命周期的安全管理,在业务系统开发部署 上线时,未配套进行安全体系的设计和建设,或流于形式,不对方案 进行充分地测试。2012年3月,某机构生产线路发生中断,但因为技 术方案问题未能顺利切换到备份线路,导致业务发生中断;2012年11月,某机构因为未发现备份系统早已出现问题,在生产系统出现问题时,主备切换失败,导致业务中断。系统的安全体系流于形式,备份 系统测试不充分,或疏于监控维护,都可能导致安全事件的发生。(2)优先恢复业务的意识不足,应急处置能力有待提升。绝大多数金融机 构都制定了信息系统应急预案,并定期演练。但部分金融机构存有着 应急预案与实际不符,可操作性不强,对部分情况无明确处置方法的 情况,并且部分科技人员对应急预案不够熟悉,不清楚启动预案的条 件和流程,不能迅速的处置解决问题。2012年7月,某机构因为设备 故障导致业务处理速度缓慢,但因为该设备上承载了多项重要业务, 原有应急预案未充分考虑实际情况,科技部门未能按照预案执行,导 致事件处理时间延后,影响扩大。该事件的发生一方面是因为系统建 设时未充分考虑信息安全因素,不符合核心系统专机专用的安全思路,另一方面就是因为应急预案与实际不符合,可操作性不强,导致了事 件影响扩大。综合来看,银行业金融机构在信息安全方面特别是安全
个人金融部客户个人金融信息保护自查报告
XX分行个人金融部客户 个人金融信息保护自查报告 为加强我行客户信息及相关数据库安全管理,按照人民银行XX支行《关于转发《关于金融机构进一步做好客户个人金融信息保护工作的通知》的通知》(XX【20PP ] 1号)和省分行《关于开展客户个人金融信息保护自查工作的通知》(XX 【20PP ] 2号)要求,我行高度重视,对照自查方案,按照“边查边改”的原则,积极在辖内组织开展个人客户信息安全自查工作。现将自查情况报告如下: 一、自查工作的组织情况 接到省行开展客户个人金融信息保护自查工作部署的通知 后,个人金融部主任立即组织相关人员对文件进行了学习,提出了工作要求和时间安排,并成立了以分管行长为组长,部门正副主任为副组长,个金部风险经理、产品经理;各网点负责人及辖内16个营业网点的业务经理为成员的自查工作小组,按照相关要求,重点对全辖理财经理、消贷客户经理的履职及管理、P-PAD 系统、CRM系统、个人征信系统、银行卡业务个人客户信息管理等涉及客户信息保管与使用等环节中是否存在安全隐患,泄露客户信息等问题开展全面自查工作。 二、自查基本情况 (一)制度建设方面 1、我行领导历来就十分重视保密工作,在组织机构建设方面,按照《中国银行股份有限公司保密管理办法》的相关要求,设立了保密工作委员会,成立了以行长为组长,副行长为副组长,各部门主任为成员的信息保密工作领导小组,负责领导全行保密工作,领导小组下设办公室,对全行的保密工作进行进行检查、指导,督促信息保密工作的落实,并且我行保密部门及关键岗位
的工作人员均按要求签订了保密协议,自觉遵守和执行保密工作 方针政策和法律法规。 2、我行规章制度健全,从每个环节做起,保密观念强,措施得力,落实较好。比如:档案室制定档案工作人员保密职责,查阅、借阅档案手续齐备;机密文件、内部资料的传递、回收、都严格按照相关规定办理,保密干部有变动后,均及时作出调整并上报省分行。 (二)系统管理情况 我行健全内部控制制度,通过权限管理设置,加强对P-PAD 系统、CRM系统、个人征信信息系统的管理,系统的使用人员都经过了严格的审批程序,并明确了管理责任,确保个人金融信息在收集、传输、加工、保存、使用等环节不被泄露和盗用。今年以来,我行通过对个人客户经理的风险排查和对基层网点常规业务检查对涉及个人金融信息的保密环节进行了自查和检查,目前尚未发现个人信息泄漏的情况。 (三)重点业务和关键环节的检查情况 为强化内部控制,加强个人金融业务操作风险管理,促进个人金融业务又好又快发展,预防和遏制由于内部监督控制不力、违规操作而导致的重大风险,个金部将重点业务和关键环节的检查均纳入检查计划作为常规检查项目,认真开展个人金融业务的检查。 1、银行卡业务管理 (1 )在发卡审核环节,对所有申请进件进行了100%电核, 对有疑问的或批量进件由风险人员和直销领队上门核实包括真实性,所有进件均实行了“三亲见”制度,并通过身份联网核查和人行征信系统进行了身份核查和征信调查。 (2)我行严把特约商户准入关。按照各级监管部门的有关
信息安全管理办法
银行 信息安全管理办法 第一章总则 第一条为加强*** (下称“本行”)信息安全管理,防范信息技术风险,保障本行计算机网络与信息系统安全和稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》、《金融机构计算机信息系统安全保护工作暂行规定》等,特制定本办法。 第二条本办法所称信息安全管理,是指在本行信息化项目立项、建设、运行、维护及废止等过程中保障信息及其相关系统、环境、网络和操作安全的一系列管理活动。 第三条本行信息安全工作实行统一领导和分级管理,由分管领导负责。按照“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,逐级落实部门与个人信息安全责任。 第四条本办法适用于本行。所有使用本行网络或信息资源的其他外部机构和个人均应遵守本办法。 第二章组织保障 第五条常设由本行领导、各部室负责人及信息安全员组成的信息安全领导小组,负责本行信息安全管理工作,决策信息安全重大事宜。 第六条各部室、各分支机构应指定至少一名信息安全员,
配合信息安全领导小组开展信息安全管理工作,具体负责信息安全领导小组颁布的相关管理制度及要求在本部室的落实。。 第七条本行应建立与信息安全监管机构的联系,及时报告各类信息安全事件并获取专业支持。 第八条本行应建立与外部信息安全专业机构、专家的联系,及时跟踪行业趋势,学习各类先进的标准和评估方法。 第三章人员管理 第九条本行所有工作人员根据不同的岗位或工作范围,履行相应的信息安全保障职责。 第一节信息安全管理人员 第十条本办法所指信息安全管理人员包括本行信息安全领导小组和信息安全工作小组成员。 第十一条应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和本行有关规定受到过处罚或处分的人员,不得从事此项工作。 第十二条信息安全管理人员定期参加信息安全相关培训。 第十三条安全工作小组在如下职责范围内开展信息安全管理工作: (一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调信息安全领导小组成员工作,监督检查信息安全管理工作。 (二)审核信息化建设项目中的安全方案,组织实施信息安
电脑个人信息安全管理
个人信息安全管理 几个基本安全概念 管理重于技术 总体而言,就是做好系统、信息和账户的分级管理和备份工作,即使技术能力比较低的人,也能通过管理手段,保障自己的信息安全。 有限度的防护 对安全的要求及所付出的成本是密切相关的,甚至呈几何级数放大。要评估自己的信息重要程度如何,或是说,被窃取或公开后对事业对自己造成的损失如何,再决定自己投入的技术和资金。 鸡蛋不装到一个篮子里 不要把所有的用户账号与同一个邮箱关联,不要把所有的密码记在一个文档里或放在一个地方。避免这个账号或记录密码的地方被入侵,会让所有的账号失控。 避免雪崩效应 如果一个邮箱丢失,别的邮箱或账号都以这个邮箱作备份,那丢一个就丢了其他的,也不要把所有的密码设成一样或同样的规律。 按最坏的情况做准备 经常问自己,如果电脑丢失、系统崩溃、硬盘崩溃或账号失控的情况出现,自己正在进行的工作会不会无法进行?自己的社交关系会不会无法恢复?信息安全管理,要以最坏的情况出现作预案。
把自己当成透明,他们什么都知道 不管什么人,不管做什么样的安全防护,除非不把秘密记录下来及完全不告诉任何人,否则都有泄密的可能。进行信息安全管理,是为行动争取时间,减少自己的恐惧与损失。 安全的几个层面 系统的安全 主要指的是自己使用的电脑的安全性,包括有无足够强度的登录密码,登录密码是否定期更换,有没有及时升级补丁修复漏洞,有没有安装杀毒和防火墙的软件等。当系统安全出现问题时,一则影响工作效率,二则影响资料的安全,后果不仅仅是白辛苦,也会造成不可挽回原损失。 账户的安全 主要指包括邮箱社交平台等网络应用或服务的安全,一旦失控,轻则导致情况上的恐惧,重则导致资料的丢失,还有一项容易被忽略的,就是人际关系损失。想想看,大家如果主邮箱丢失,有多少人的联系方式就没有了? 虚拟资产的安全 针对虚拟财产是网络钓鱼及木马的主要目的,反而针对民运人士、媒体人及不同信仰人士往往是少数。大家都使用贝宝支付宝,虚拟资产的安全就变得很重要。 人际网络的安全 很多人把人际网络依赖于网上的某个社交应用,如脸书微博等,如果账号被封杀或失控,在此平台上建立的人际网络也会丢失。人际网络不安全,有往往是因沟通不畅引起,让有心之人搅混水有了可乘之机,他们往往是通过单方面提供不对称信息来达到目的的,如,私下告诉你某人如何如何。
加强金融消费者权益保护工作实施意见
加强金融消费者权益保护工作实施意见 为了进一步改善金融服务,优化金融消费环境,加强金融消费者权益保护工作,维护广大金融消费者的合法权益,促进市金融业长期健康发展,现就市金融消费者权益保护工作提出如下意见: 一、充分认识金融消费者权益保护工作的重要意义 随着经济社会的快速发展,金融已经成为人民群众生活中不可或缺的社会活动之一。在金融产品与服务种类众多、金融工具创新频繁的新形势下,金融消费领域的纠纷也日渐增多,积极稳妥地处理金融消费争议,保护消费者合法权益,不仅是优化金融消费环境、维护金融行业形象、促进金融业可持续发展的根本保证,更是增强消费者信心、维护社会公平正义、推进和谐社会建设的迫切要求,也是巩固我市信用环境建设成
果、优化投融资环境的现实需要。全市各金融机构要从推动金融业长期健康发展的高度,充分认识金融消费者权益保护的重要性和必要性,切实加强金融消费者权益保护工作。 保护金融消费者权益,有利于规范金融机构经营行为,维护金融市场秩序。金融消费者是市场供求的关键一方,不仅是金融产品和服务的消费者,也是市场秩序的维护者和监督者。维护金融消费者的合法权益,加强对金融机构的业务监督,有利于金融机构正确执行国家的金融法律法规,主动加大金融服务和产品的宣传力度,规范经营行为,防止金融机构之间的无序竞争,维护金融市场的稳定。 保护金融消费者权益,有利于改进金融服务质量,提高金融机构核心竞争力。消费者是金融产品与服务创新的原动力。维护金融消费者权益,妥善处置金融消费纠纷,对于金融机构掌握社会公众金融消费需求,改进服务质量,优
化服务环境,提升金融产品和服务创新能力,增强金融机构核心竞争力具有积极的促进作用。 保护金融消费者权益,有利于保障和改进民生,促进社会和谐稳定。目前,我国金融消费者权益保护方面的法律制度尚不完善,金融消费者维权普遍存在较大困难,有些消费纠纷已成为影响社会和谐稳定的不利因素。切实保护金融消费者权益,是落实以人为本、构建和谐社会的重要举措,是保障公民权利、推进依法行政的具体措施,是促进社会公平正义、接受社会监督的具体体现。 二、高度重视金融消费者权益保护工作中存在的问题 近年来,市金融业发展态势良好,金融体系不断健全,金融市场规模不断扩大,金融产品日益丰富,消费者在金融业快速发展中获得了更多高效便捷的金融服务。与此同时,市各金融机构针对金融消费者维权需要,普遍开通了消费者投诉热线,基本上能够及时妥善处
金融行业信息安全解决方案
金融行业信息安全解决方案
目录 一、行业方案概述 (3) 二、功能需求分析 (4) 三、相应实施方案 (5) 四、综合价值体现 (6) 五、行业成功案例 (6)
一、行业方案概述 金融业是指经营金融商品的特殊行业,它包括银行业、保险业、信托业、证券业和租赁业。金融业具有指标性、垄断性、高风险性、效益依赖性和高负债经营性的特点。指标性是指金融的指标数据从各个角度反映了国民经济的整体和个体状况,金融业是国民经济发展的晴雨表。垄断性一方面是指金融业是政府严格控制的行业,未经中央银行审批,任何单位和个人都不允许随意开设金融机构;另一方面是指具体金融业务的相对垄断性,信贷业务主要集中在四大商业银行,证券业务主要集中在国泰、华夏、南方等全国性证券公司,保险业务主要集中在人保、平保和太保。高风险性是指金融业是巨额资金的集散中心,涉及国民经济各部门。单位和个人,其任何经营决策的失误都可能导致“多米诺骨牌效应”。效益依赖性是指金融效益取决于国民经济总体效益,受政策影响很大。高负债经营性是相对于一般工商企业而言,其自有资金比率较低。金融业在国民经济中处于牵一发而动全身的地位,关系到经济发展和社会稳定,具有优化资金配置和调节、反映、监督经济的作用。金融业的独特地位和固有特点,使得各国政府都非常重视本国金融业的发展。我国对此有一个认识和发展过程。过去我国金融业发展既缓慢又不规范,经过十几年改革,金融业以空前未有的速度和规模在成长。随着经济的稳步增长和经济、金融体制改革的深入,金融业有着美好的发展前景。 金融基础设施的现代化水平明显提高。中国现代化支付系统建设取得了突破性进展,基本建立了覆盖广泛、功能齐全的跨市场、跨境支付结算体系,人民币在香港和澳门实现清算安排。以网络为基础的电子资金交易系统不断完善,实现了银行间债券市场券款对付(DVP)清算,为投资者提供了安全、高效、便捷的资金交易和清算服务。中央银行建立和完善了一系列的金融监控信息系统,支付清算、账户管理、征信管理、国库管理、货币金银管理、反洗钱监测分析、金融统计监测管理信息等和办公政务实现了信息化。商业银行的综合业务处理、资金汇兑、银行卡服务等基本实
个人计算机信息安全
个人计算机信息安全 曾艳 (桂林空军学院教育技术中心,广西,541003) 摘 要:确保个人计算机信息安全是一个重要的问题,关系到个人各方面的利益。目前互联网上网人数超过2亿,移动达9亿,宽带达1.3亿,计算机已经普遍存在。该文主要针对普通用户,从本人所能了解的各个方面知识,结合实际中可能遇到的问题,对当今计算机信息安全方面分多个层面进行讨论,对现在以及将来一段时间内的安全问题给出简易有效的建议。 关键词:信息安全;数据备份;可信网络;主动式防御 随着个人计算机发展和网络应用的普及,不管在生活中还是在工作中,人们对计算机及网络的依赖性越来越大,而个人计算机的安全却没有引起人们的足够重视,特别是一些重要信息、数据、文档、资料,具有保密性质的文件等。对于个人而言,一些长期积累的个人资料、秘密、网路银行交易密码等重要数据,也可能遭窃,而一旦遭受破坏将给使用单位和个人造成重大损失,而有些损失甚至是无法弥补和预测的,而这些文件的重视往往是在遭受了这些损失之后才被重视和提及的。 威胁个人计算机信息安全的有计算机的原因,有来自网络的原因,更有人为的因素,而这些影响都会对个人计算机造成很大的影响。 一、个人计算机信息系统的安全问题 (一)个人计算机系统软件的安全问题 计算机操作系统是支撑计算机存储、处理、收发我们个人信息的一个系统软件工具。国内对操作系统安全问题的解决包括两种方案: 其一是基于Linux开源代码研究基础上,对Linux操作系统进行安全改造,重新构建一个新的安全操作系统,保证了操作系统的可操控性、可信性。若采用此种方案需要放弃现在使用的操作系统,使用一个全新的操作系统,这样现在针对Windows操作系统上的应用软件和数据库都不能够再继续使用,带来用户的信息系统变动比较大,用户使用起来不是很方便,难以大规模推广。 其二是上面介绍的对目前主流操作系统进行安全加固,主要通过实现基于策略的强行访问控制,包括文件及目录、注册表、进程和服务的强行访问控制技术,身份认证技术和文件/服务完整性检测技术来解决操作系统安全问题。由于是在内核层面上对操作系统进行加固,这样对安装在操作系统上的应用软件和数据库的正常工作没有任何影响,对底层硬件驱动也是透明的,是目前比较理想的一种解决方案。 (二)个人计算机系统是依赖硬件而活 物理安全是保护计算机设备、设施以及其他媒体免遭地震、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。为保证计算机的正常运行,在物理安全方面应注意采取的措施: 1.产品保障方面:主要指产品采购、运输、安装等方面的安全措施。 2.运行安全方面:网络中的设备,特别是安全类产品在使用过程中,必须能够从生产厂家或供货单位得到强有力的技术支持服务。对一些关键设备和系统,应设置备份系统。 3.防电磁辐射方面:所有重要的涉密设备都需安装防电磁辐射产品。
个人客户金融信息使用和保存情况自查
个人客户金融信息使用和保存情况自查 为加强我社客户个人金融信息使用和保存及相关数据库安全管理,按照人行《转发关于金融机构进一步做好客户个人金融信息保护工作有关文件的通知》(尤银[2012]30号)的通知要求,我社根据县联社统一部署,认真学习《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,积极在辖内组织开展个人客户金融信息使用和保存情况进行自查: 充分认识此次自查对我社客户个人金融信息使用和保存情况安全管理工作的重要性,根据县联社要求详细的制定、实施方案,认真学习通知文件、组织检查,认真组织自查,确保我社客户个人金融信息安全。对照《人民银行关于银行业金融机构做好个人金融信息保护工作的通知》,重点对我社在开展开立账户、支付结算、联网核查等业务过程涉及客户信息保管与使用等环节中是否存在安全隐患,泄露客户信息等问题开展自查工作。我社在收集、保存、使用、对外提供个人金融信息时: 1.依法收集、保存、使用、对外提供个人金融信息。 2.建立健全内控制度,明确部门、岗位和人员的管理责任,加强个人金融信息管理的权限设置,强化内部管理。 3.完善信息安全技术防范措施,提高防范个人金融信息泄漏的技术保障能力。 4.加强从业人员培训,强化从业人员个人金融信息安全意识,从业人员上岗前应当书面作出保密承诺。 5.通过格式条款取得客户书面授权或者同意的,应当充分告知,并提示后果。 6.我社未发现篡改、违法使用个人金融信息。 我社在学习过程中不断强化个人金融信息法制意识,加强对个人金融信息的保护,防止信息泄露和滥用,特别是在依法收集、使用和对外提供个人金融信息方面做了以下规定:一是严禁出售个人金融信息;二是严禁向本行以外的其他机构和个人提供个人金融信息,但为个人办理相关业务所必需并经个人书面授权或同意的,以及法律法规和人民银行另有规定的除外;三是严格人民银行征信系统的用户和密码管理,严禁非制定进入查询;四是指定人员在查询个人金融信息时做好登记并备案;五是严禁以身份核查、核实系统,支付系统以及其他系统获取、加工和保存个人信息。
个人金融信息安全管理
个人金融信息安全管理 一、个人金融信息保护法律规定 目前,我国尚未出台专门的个人金融信息保护的法律,但在《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》、《中华人民共和国证券法》、《中华人民共和国保险法》等法律法规中,都有保护个人金融信息的条款。例如: (一)《商业银行法》第六条规定:商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。第二十九条规定:商业银行办理个人储蓄存款业务,应当遵循为存款人保密的原则,对个人储蓄存款,商业银行有权拒绝任何单位或者个人查询、冻结、扣划,但法律另有规定的除外。 (二)《中华人民共和国反洗钱法》第五条规定:对依法履行反洗钱职责或者义务获得的客户身份资料和交易信息,应当予以保密;非依法律规定,不得向任何单位和个人提供。 (三)《刑法》修正案七规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。 (四)《征信业管理条例》第十三条规定:采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法
律、行政法规规定公开的信息除外。第十四条规定:征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息,但征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意采集的除外。第二十六条规定:信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉,信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以直接向人民法院起诉。 (五)其他规范性文件。《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》(银发…2011?17号)规定,银行业金融机构在收集、保存、使用、对外提供个人金融信息时,应当严格遵守法律规定,采取有效措施加强对个人金融信息保护,确保信息安全,防止信息泄露和滥用。特别在收集个人金融信息时,应当遵循合法、合理原则,不得收集与业务无关的信息和采取不正当的方式收集信息。银行业金融机构不得篡改、违法使用个人金融信息。在使用个人金融信息时,应当符合收集该信息的目的,不得出售个人金融信息,不得向本金融机构以外的其他金融机构和个人提供个人金融信息(但个人书面授权同意、以及法律法规另有规定的除外),不得在个人提出反对的情况下,将个人金融信息用于产生该信息以外的本金融机构其他营销活动。 二、金融监管部门保护措施
信息安全管理制度
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全子网,信息中心对其提供指导,必要时可以中断其与骨干网连接,待子网恢复正常后再恢复连接。