金融机构信息网络安全

金融机构信息网络安全（精选8篇）

金融机构信息网络安全 篇1

附件

四川省银行业金融机构信息安全管理指引（试行）第一章 总 则

第一条 为切实加强四川省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。

第二条 本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。

第三条 四川省内人民银行分支机构按属地管理原则对辖内银行机构信息安全工作进行管理、指导和协调。各银行机构负责本系统（单位）的信息安全管理，完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。

第四条 各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处臵和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。

第五条 各银行机构信息安全管理工作的主要任务是：

（一）加强组织领导，健全信息安全管理体制,建立跨部门、— 3 — 跨行业协调机制；

（二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能；

（三）保证信息安全建设资金的投入，将信息安全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设；

（四）进一步加强信息安全制度和标准规范体系建设；

（五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；

（六）加强安全运行监控体系建设；

（七）大力开展信息安全风险评估，实施等级保护；

（八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；

（九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。

第六条 本指引适用于在四川省内设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。非银行机构参照执行。

第二章 组织机构

第七条 各银行机构应建立健全信息安全管理机构。应建立由行领导负责、相关部门负责人及内部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。

第八条 各银行机构应设立或指定专门负责信息安全工作的部门，配备专门负责信息安全工作的人员，实行A、B岗制度。

第九条 各银行机构应建立和完善统一的信息安全协调机制。应建立内外部协调机制，加强信息安全的交流、沟通和协作，充分发挥纵向、横向协调的组织保障作用，有效提升信息安全保障能力。

第十条 各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工，科学制定安全规划，有效组织实施安全策略。

第十一条 各银行机构应建立完善的信息安全制度管理体系。第十二条 各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后，应报当地人民银行备案。

第三章 人员管理

第十三条 各银行机构的工作人员应根据不同的岗位或工作范围，履行相应的信息安全管理职责。

第十四条 各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。凡是因违反国家法律法规和有关规定受到过处罚或处分的人员，不得从事此项工作。

第十五条 各银行机构应加大人才培养力度，每年至少对信息安全管理人员进行一次信息安全培训，适时对工作人员进行信息安全知识培训。

第十六条 各银行机构信息安全管理人员应认真履行职责：

（一）组织落实信息安全管理规定和本单位及分支机构信息安全保障工作，制定信息安全管理制度。

（二）审核信息化建设项目中的安全方案，组织实施信息安全项目建设，维护、管理信息安全专用设施。

（三）督促检查网络和信息系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。统计分析和协调处臵信息安全事件。

（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。

第十七条 加强对职工的信息安全教育，提高全员信息安全意识。加大专业技能培养，优化人员结构，形成梯队，重点加强数据中心高端系统运行人员技能的培养力度，不断增强自我运行操作能力与应急能力。合理配臵和使用人力资源，人尽其才，合理流动，广开人才来源。

第十八条 建立信息安全管理业绩评价体系，奖惩分明。

第四章 机房环境和设备资产管理

第十九条 本指引所称机房，是指网络与计算机设备放臵、运行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。

第二十条 各银行机构机房的规划、建设、改造、运行、维护和机房设施配备，应符合国家计算机机房有关标准、行业管理有关要求和内部管理有关规定。

第二十一条 计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统，通过技术和管理手段，确保计算机机房及配套设施安全。

第二十二条 计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测。

第二十三条 应建立健全计算机机房管理制度，落实专人担任机房管理员，定期巡查机房运行状况。机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。

第二十四条 对计算机机房搬迁等可能影响系统正常运行的维护事项，事前需报当地人民银行备案。

第二十五条 对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防范。

第二十六条 各银行机构应做好计算机设备的登记工作，严格设备资产管理，落实设备使用者的安全保护责任。

第二十七条 各银行机构应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未授权使用设备或信息。有特殊安全保密要求的计算机设备，应放臵在机房特殊功能区，并遵守相关安全保密规定。

第五章 密码技术及网络安全管理

第二十八条 各银行机构信息系统应根据安全需要合理运用密码技术和产品，所使用的密码技术与产品应符合国家密码管理相关规定。

第二十九条 各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施，建立规范的密钥管理制度。

第三十条 各银行机构信息系统所使用的网络应具备可信体系架构，具备身份认证、授权管理、跟踪审计等功能。

第三十一条 各银行机构信息系统所使用的网络应具备基本的

— 7 — 安全防范能力，能通过身份认证、访问控制、内容过滤、信息加密、网络隔离等措施有效防范来源于内部和外部的网络威胁。

第三十二条 各银行机构应严格网络安全配臵管理，制订合理的网络服务策略和强制路径策略，强化外部连接用户认证，加强远程诊断接口的保护。

第三十三条 各银行机构应规范划分网络安全域，利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离，加强网络边界防护，保证重要信息不被泄露、篡改或非法利用。

第六章 国产化及外包服务

第三十四条 各银行机构应积极开展国外技术和产品的国产化替代工程，降低对外资厂商的依赖程度，消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装臵带来的安全隐患，提高信息安全自主可控水平。

第三十五条 在保证可用性的条件下，各银行机构应优先考虑购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术。

第三十六条 积极开展安全管理认证工作，开展测评认证时，应选择具有资质的国内认证和咨询机构，加强信息安全和保密管理，保证重要敏感信息不出境。

第三十七条 各银行机构应在充分评估风险控制的基础上使用 — 8 —

外包服务，并建立规范的外包服务管理机构及管理制度。

第三十八条 各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。重要业务系统托管应选择具有相关资质的中资机构。

第三十九条 各银行机构加强对外包服务全过程的跟踪管理，完善过程记录，定期对外包服务的实施过程风险和完成情况进行评估。

第四十条 各银行机构加强对外包服务商的管理，选择外包服务商应符合国家和行业监管部门信息安全相关规定，明确服务等级责任（SLA），签订保密协议。

第七章 风险评估及等级保护

第四十一条 各银行机构应加强对信息系统风险评估的管理，在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。

第四十二条 各银行机构使用的信息系统要适时、有效开展风险评估，重要信息系统至少每一年进行一次评估，并根据评估结果，及时研究整改存在的问题，实施安全加固。

第四十三条 各银行机构应每半年按照《四川省银行业金融机构信息安全评估规范》开展一次全面的自评估，在2月底和10月底上报当地人民银行。

第四十四条 各银行机构要严格控制风险评估过程的管理，有

— 9 — 规范的制度和专门人员，应建立风险预案，落实预防性应对措施，确保风险评估工作不影响生产系统安全。

第四十五条 各银行机构应每年梳理本机构运营使用的信息系统，按照国家和人民银行有关要求开展规范的定级工作，按人民银行要求报送定级评审材料，二级及以上信息系统需向当地公安部门备案。

第四十六条 各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作，并针对测评问题做好整改工作，并按照属地管理原则向当地人民银行报送测评整改总结报告。

第八章 灾难恢复系统和业务连续性体系

第四十七条 各银行机构应按照国家相关规范加强灾难恢复系统建设，制定覆盖所有重要信息系统的业务连续性计划和应急预案，建立和完善各项管理制度，提高业务持续运营能力。

第四十八条 实施数据集中的银行机构应同步规划、同步建设、同步运行同城或异地信息系统灾难恢复系统，逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。

第四十九条 各银行机构核心业务系统，应实施应用级备份；对于其他业务系统，可实施系统级或数据级备份。应适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度可用性检查。

第五十条 同城灾备中心对站点级灾难恢复能力应达到《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007）中所定义 — 10 —

的灾难恢复能力等级第4级，并覆盖70%的重要信息系统（至少包含核心银行系统、支付结算系统、电子银行系统）。同城灾备中心原则上与生产中心距离应处于不同的供电区域，应回避危险区和干扰源。

第五十一条 异地灾备中心对城市级灾难恢复能力应达到《信息安全技术 信息系统灾难恢复规范》（GB/T 20988-2007）中所定义的灾难恢复能力等级第3级，并覆盖所有重要信息系统。异地灾备中心原则上与生产中心应处于不同地震板块，并应回避危险区和干扰源、回避与生产中心相同的灾患。

第五十二条 灾难备份中心的规划应综合平衡风险与成本、运维管理与灾难恢复力量等因素，进行业务影响、可行性、成本收益分析以及建设方案风险评估，明确灾难恢复策略。

第五十三条 灾难备份中心的选址要从国家整体安全出发，接受行业监管部门的指导，合理规划布局。建设方式包括自建、联合共建或利用外部企业（组织）的灾难备份设施等。

第五十四条 各银行机构每年开展业务连续性计划演练，演练方式包括桌面演练、模拟演练、单元演练、端到端演练和全面演练。应当至少每三年对全部重要业务开展一次业务连续性计划演练。在重大业务活动、重大社会活动等关键时点，或在关键资源发生重大变化之前，应开展专项演练。已建立灾难备份系统的单位，每年应对四分之一的重要信息系统（至少包括核心银行系统）组织一次系统级灾难的应急演练。

第五十五条 各银行机构应将外部供应商纳入演练范围，积极参加金融同业单位、外部金融市场、金融服务平台和公共事业部门

— 11 — 等组织的业务连续性计划演练，确保应急协调措施的有效性。

第九章 计算机系统和数据安全管理

第五十六条 本指引所称计算机系统，是指银行机构业务处理系统、管理信息系统和日常办公自动化系统等，包括数据库、软件和硬件支撑环境等。本指引所称的数据，是指以电子形式存储的银行机构业务数据、办公信息、系统运行日志、故障维护日志以及其他内部资料。

第五十七条 计算机系统建设项目应在规划与立项阶段，按照国家政策法规、行业监管的有关规定和业务实际需要，全面分析数据在输入、处理、输出等不同状态下的安全需求，统一考虑系统总体安全策略、安全技术框架、安全管理策略等安全问题，并进行论证，形成安全设计方案配套文件。

第五十八条 计算机系统开发应依据安全需求进行安全设计，保证安全功能的完整实现。开发人员不能兼任系统管理员或业务操作人员，不得在程序中设臵后门或恶意代码程序。采取外包方式进行开发的系统，还应与外部单位签署相关知识产权保护协议和保密协议，明确外部单位不得将计算机系统采用的关键安全技术措施和核心安全功能设计对外公开。

第五十九条 涉密计算机系统集成应选择具有国家相关部门颁发的涉密系统集成资质证书的单位，并签订严格的保密协议。

第六十条 计算机系统上线运行实行安全审查制度，未通过安全审查的任何新建或改造计算机系统不得投产运行。

第六十一条 计算机系统投产运行前，应根据安全设计方案制定严谨、规范的安全运维规定。

第六十二条 应指定专人作为系统管理员，具体负责计算机系 — 12 —

统的日常运行管理。系统管理员应定期检查系统日志，并建立重要计算机系统运行维护档案，详细记录系统变更及操作过程。重要计算机系统的系统设臵要求至少双人在场。

第六十三条 系统管理员不得兼任业务操作人员，确需对计算机系统数据库进行技术维护性操作的，应征得业务部门书面同意，在业务操作人员在场的情况下进行，并详细记录维护内容、人员、时间等信息。业务数据的录入、复核分岗设立，特别重要的业务数据录入，应增设审查岗，三个岗位不得由一人兼任。

第六十四条 应严格管理业务数据的增加、删除、修改等变更操作，按照既定备份策略执行数据备份操作，并定期测试备份数据的有效性。根据业务需求，明确备份数据保存期限，及时做好备份数据的销毁审查和登记工作。

第六十五条 各单位应定期导出重要计算机系统业务日志文件，进行明确标识并妥善保存。

第六十六条 所有数据备份介质应防磁、防潮、防尘、防高温、防挤压存放。恢复及使用备份数据时需要提供相关口令密码的，应把口令密码密封后与数据备份介质一并妥善保管。

第六十七条 需要废止的计算机系统内的数据信息，根据重要性和敏感程度，应使用专用工具进行相应消除处理，确保安全。

第十章 信息通报

第六十八条 应按照《银行计算机安全事件报告管理制度》（银发„2002‟280号）要求，及时向当地人民银行分支机构报告重大网络与信息安全事件。

第六十九条 应按照《四川银行业机构重大事项报告制度》（成银发„2010‟202号）要求，及时向当地人民银行分支机构报告重

— 13 — 大网络与信息安全事项。重大事项包括组织及策略类、网络及系统类、信息技术案件类、IT舆情类事项及重要保障时期的信息通报。组织及策略类是指金融机构高层主要负责人及信息化管理组织结构变动，信息科技部、电子金融业务部门主要负责人及组织结构变动，信息技术总体方针、战略、规划、路线变动，集中式数据中心规划设立。网络及系统类包括建设项、运行维护项及其他可能对金融机构网络与信息系统安全运行造成较大影响的计划内事项。建设项是指集中式数据中心机房的投产、改造、搬迁、关键网络基础设施及重要信息系统的投产、改造、升级。运行维护项是指机构IT架构变更及重要系统版本变更。信息技术犯罪案件类是指危害金融机构网络与信息系统安全的违法犯罪案件。IT舆情类是指公共媒体发布的、与金融机构网络和信息安全相关的、影响金融机构声誉的舆论事项。重要保障时期的信息通报是指在两会等国家重要时期，人民银行要求通报的事项。

第七十条 地方性商业银行应按照《中国人民银行成都分行 中国银行业监督管理委员会四川监管局转发关于调整优化银行业金融机构灾难备份中心整体布局的指导意见的通知》(成银发„2013‟98号)要求，及时将新建灾难备份中心选址方案、第三方灾难备份服务机构违法违规行为、本单位灾难备份中心和系统年度建设情况和计划及时报送当地人民银行。

第七十一条 每年底，按照人民银行通知，地方性法人银行业机构应认真总结当年信息安全工作开展情况，形成报告，在规定时间内上报。

第七十二条 人民银行机构接到银行机构的各类信息报告后，应进行评估，如有必要，应立即组织进行检查和处臵。

第十一章 附 则

第七十三条 本指引由人民银行成都分行解释。

第七十四条 本指引自发文之日起实施。以前有关规定与本指引不一致的，以本指引为准。

附：四川省银行业金融机构信息安全风险评估规范

金融机构信息网络安全 篇2

一、中小金融机构信息安全建设存在的问题

(一) 信息安全管理薄弱。

中小金融机构普遍存在管理层重业务发展、轻信息科技投入、缺乏信息科技长期发展规划等问题, 管理层对信息系统面临的威胁认识不足, 没有形成合理的信息安全机制来指导信息安全管理工作, 缺乏信息安全意识和明确的信息安全策略。

(二) 信息安全领域规章制度执行力弱。

中小金融机构存在缺乏完整的信息安全管理制度问题, 缺乏对员工进行必要的防范安全风险的教育与培训, 现有的安全规章组织不能严格实施, 制度的执行力较弱。

(三) 系统管理缺乏内部审计。

对系统管理员、重要操作员的监控和日志审计非常重要, 然而目前中小金融机构内部审计不到位, 对信息科技领域缺乏必要的审计手段, 造成无法有效监督审核的情况。

(四) 信息化建设规划缺乏统一技术规范, 不够系统。

大部分中小金融机构信息系统缺乏整体规划, 缺乏统一的技术规范和标准。开发的信息系统分散独立并且打补丁问题比较普遍, 中小金融机构在信息化标准规范、信息安全风险评估、信息安全评价指标体系建设等方面的规划和管理不够。

(五) 信息化基础建设薄弱。

不少中小金融机构机房的建设不达标, 甚至未达到国家机房建设的最低C级标准, 机房的消防报警、接地、供电、空调、监控、门禁、漏水检测等安防措施不到位, 无法及时发现和处理场地环境隐患及系统运行故障。部分机构防火墙、外联路由器等非核心设备没有备份, 一旦出现单点故障, 极易造成业务中断。不少机构没有建立非法外联、入侵检测系统、移动存储介质管控等安全系统, 内、外网络隔离措施不严格, 只是逻辑隔离, 信息安全的整体防护水平只达到了基本要求。

(六) 科技队伍建设方面的隐患。

中小金融机构科技人才队伍与同行业相比有明显差距, 对科技人才发展规划和培训指导均不足, 普遍缺乏专业高素质人员, 缺少完整、系统的信息安全相关知识, 随着新业务系统的种类不断增加, 高素质技术人员短缺问题将更加突出。

(七) 外包服务管理存在风险。

中小金融机构由于人才和成本的问题, 不能像大银行那样成立庞大的开发团队, 独立完成信息化建设, 其信息科技业务普遍行一定程度的外包, 但目前机构对外包项目风险认识不深, 有效评估不足。制定的外包服务合同或协议框架缺少有效的约束, 关键性技术、设备和服务严重依赖少数供应商。

二、中小金融机构信息安全面临的技术风险

(一) 渗透攻击。

中小金融机构的很多增值业务、代理业务, 都存在与外界互连的接口, 具备一定网络攻击能力的恶意攻击者, 为了获取网络中的重要信息, 可能会通过这些接口恶意攻击。这种攻击往往利用防火墙或者访问控制设置较弱以及被攻击系统的弱点, 对目标系统进行攻击。这种攻击往往使被攻击者难以觉察, 隐蔽性强, 攻击危害大, 是造成重大网络安全问题和信息泄漏的重要原因之一。

(二) 蠕虫和木马。

这种危害性强的病毒时有发生, 攻击者往往是利用一些网络服务的漏洞进行传播。这些蠕虫和木马程序出现的变种很多, 有的会在短时间内出现很多新变种, 让计算机用户防范起来十分困难, 已经日渐成为网络威胁的主要危害之一。蠕虫和木马泛滥可能导致金融行业的重要信息遭到损坏, 甚至导致金融行业网络系统瘫痪。

(三) 拒绝服务。

攻击者为了使目标网络或者服务器无法正常工作而进行的一种拒绝服务攻击, 在一定时间内能够造成被攻击网络的网络设备或者服务器“瘫痪”而无法响应正常的服务请求。拒绝服务攻击使金融行业的电子商务网站无法为客户提供正常服务, 造成经济损失, 同时也使行业形象受到损害。

(四) 内部破坏。

熟悉金融业务的内部人员利用信息系统管理的漏洞和内部审计的缺失等薄弱环节, 冒用合法用户的口令以合法身份登陆, 查看机密信息, 甚至篡改系统数据、金融交易信息, 实施金融欺诈。

(五) 耗用带宽。

中小金融机构开展中间业务、增值服务, 开拓新的支付服务渠道, 使其网络结构相对复杂, 在安全策略无法做到统一部署的情况下, 内部网络中会经常出现大量的异常流量, 如扫描、僵尸、蠕虫、木马等, 对网络、业务造成危害, 科技人员经常难以找到威胁源头。

(六) 传输泄密。

金融信息资料在传输过程中, 由于要经过多处节点, 传输中的信息的完整性需要保护, 一旦出现泄密难以查证, 因此, 隐私和机密资料的存储及传输也是威胁金融信息安全的一个重要方面。

三、建立科学、合理的中小金融机构信息安全体系

中小金融机构信息安全体系建设应按照标准性、规范性、整体性、可控性原则分步实施, 管理与技术并重。通过建立完善的信息安全管理制度和安全防御技术体系, 依靠管理机制、技术保障等多方面相互配合, 构建完整、多层次、可扩展的安全防范体系, 实现信息系统的可靠性、保密性、完整性、有效性, 保障金融机构信息系统的信息平台安全、可靠运行。

(一) 完善的信息安全管理。

信息安全管理包括组织架构、安全规划、风险管理、应急预案、安全培训、风险评估、安全认证等多方面的内容。要建立科学的安全管理流程, 提出安全加固和风险应急方案, 制订并执行各种安全制度, 提高安全管理能力, 提高安全事件处置的有效性, 为核心业务系统的安全运行提供保障。

(二) 加强信息安全体系建设。

针对不同层次的安全需求, 在物理层、网络层、业务层等建立不同的安全策略, 如物理层对服务器、网络设备实施冗余备份;网络层保证数据在传输过程中的机密性, 在有关网段设置异构的多道防火墙, 防范边界风险隐患;业务层提供加密服务、统一身份认证和权限控制服务等。

以安全为核心合理规划网络安全区域和划分安全等级, 实现内网区域划分, 建立外网边界防护, 根据安全策略控制出入网络的信息流, 加强与内部分支机构、外部网络互联的安全隔离与控制。完善入侵检测、病毒防范、日志管理、安全审计、漏洞扫描与补丁管理等诸多方面安全措施, 为金融业务提供包括物理安全、保障安全、数据安全、备份安全的完整安全保障体系和统一安全策略。

(三) 建立运维监控系统。

利用信息化专业手段, 建设自动化运维管理平台, 集中监控业务系统的运行情况, 实现系统环境全方面动态监控。集中处理各种安全事件, 实现日常IT运维工作的自动化、集约化、规范化。

(四) 结合金融机构信息系统的实际情况, 对信息资源划分不同安全等级的安全域, 进行安全等级保护。

加强核心业务系统及网络风险评估及加固工作, 及时发现安全风险, 采取控制措施排查风险, 降低风险。

(五) 加大科技投入, 规范基础设施建设。

按照国家机房等级标准积极开展核心机房改造, 加强基础架构规划建设, 完善信息系统冗余备份设施, 积极探索金融业灾难备份系统建设, 全面提高IT系统抗灾难能力。

(六) 通过激励机制, 加强科技队伍建设。

积极培养一批技术能力强的信息管理人才、运维技术人才、信息安全人才, 适应业务发展的需要, 从而真正解决好金融机构信息化安全建设的发展问题。

(七) 充分发挥跨机构的金融业信息安全协调机制作用。

金融机构信息网络安全 篇3

信息安全，尤其是金融行业的信息安全，一直是上至国家领导、下至黎民百姓都十分关注的话题。然而，我国金融行业信息系统安全问题并不容乐观。当前，虽然我国出台了一些相关政策和管理办法，但据专家分析，由于专职的安全监管机构的缺失，使得信息系统安全工作很难落实。人们不禁要问: 无人监管，又何来安全呢？

存在问题

随着我国信息化的日益推进，国民经济和社会发展对网络和信息系统的依赖越来越紧密，尤其是银行、证券等行业的信息系统已经成为国家重要基础设施，这些信息系统的安全运行直接关系到国家的安全、人民的利益和社会的稳定。

近些年来，国内外发生的一系列事件表明，如果重要信息系统没有一定的安全防范能力，一旦发生重大事故或遭遇突发事件，将会造成无可挽回的经济损失。

我国相关部门对信息安全工作十分重视，国务院信息化工作办公室司长王渝次曾指出，灾难恢复是信息安全保障的重要的基础性工作，做好国家重要信息系统灾难恢复工作，提高其抵御灾难和重大事故的能力，对于确保重要信息系统数据安全和业务的连续性，保障社会经济的稳定是非常重要的。

2003年颁发的《国家信息化领导小组关于加强信息安全保障工作的意见》，对重要信息系统的安全做出了明确要求。2004年，国务院信息办又组织起草了《重要信息系统灾难恢复指南》，并印发给各基础信息网络和重要信息系统主管部门。

然而，金融行业的信息化虽然取得了快速发展，但其背后隐藏着可怕的问题：虽然在实现了数据大集中的银行企业中，有80％的企业都做了系统灾难备份中心的建设，但真正能实现业务连续管理的，估计只有15％左右。

最近，银行业系统故障不断。就在今年，中国建设银行总行转账系统发生通信故障，数小时后系统才恢复正常。此事件殃及在中国建设银行投资证券公司全国70余家营业部开户的200万股民，致使股民们因无法进行转账交易而受到经济损失。而在这之后，银联因通信网络和主机出现故障造成全国多省市无法刷卡长达7小时，究竟造成了多大的损失，尚无可靠数据。而近期发生的网银大盗横行网络的一系列事件，也再一次为网络银行系统的信息安全敲响了警钟。

机构缺失

为何有国家政策出台，但问题却仍然如此严重呢？

国务院信息化工作办公室的专家、国家金卡工程办公室安全组组长、中国信息产业商会信息安全产业分会常务副理事长屈延文介绍，我国金融行业尤其是银行的信息化系统需要监管的风险资产很大，到目前为止，我国还没有建立基本的专业化信息资产风险监管队伍和组织。

屈延文进一步解释说，“银行信息系统事故还不可怕，可怕的是金融信息化风险有可能引发金融危机，拉丁美洲的金融危机就为我们敲响了警钟。如果发生金融危机，将会影响到我们社会的稳定、人民的切身利益。”

也有专家说，各银行有科技部门，自己会管好自己的，不用为他们担心。

然而，从国外经验看，商业银行信息技术的运营与管理是相互分离的。但目前大多数国内银行现行的信息技术部门既具有十分明显的运营商特征，同时又具有明显的行政管理属性，是集运营、管理、监督于一身的技术垄断部门，这样的运行机制蕴藏着很大的运行风险。

一方面，由于信息技术自身的专业性极强，高级管理层和风险控制部门无法对其实施有效监管。目前，各家银行基本上还没有相应的专业管理部门负责信息业务系统的管理政策、技术标准、风险防范标准的制定，以及监督、检查以及绩效评估等工作。

另一方面，由于既当裁判员，又当运动员，集行政管理与技术管理于一身，信息技术部门本身难以胜任信息技术的监管职责，而且容易产生责任推诿、自行其事的不良风气与行为。正因为如此，直到目前为止，许多银行的信息技术还没有一个明确统一的技术故障的分级标准，信息化投入和产出严重不均衡，业务迟延、事故频繁发生等问题时有发生，银行信息化安全面临严峻挑战。

当然也有人持不同意见，认为人民银行和银监会都有信息中心，由他们统一管理不必过于担心金融行业的信息安全的问题。

然而，屈延文坚持认为，我国金融信息安全正处于监管缺失的状态。其理由有二: 一是人民银行和银监会都在管，政策交叉和死角就很难避免，各银行无法“从一而终”; 二是科技部门大多只是管技术，他们不承担也无法承担安全责任，没人负责也就没人来管。那么，缺失的监管又应由谁来填补呢？

呼吁监管

屈延文认为银行信息化安全属于整个银行监管体系的组成部分，将其从银行监管体系组成部分里面分离出来，是不符合我们银行整个监管安全体制的，同样，也不符合客观规律，不符合中央提出科学发展观，也不符合建立和谐社会、以人为本的要求。

屈延文主张，首先要加强认识，建立银行风险监管科学认识体系，即融合金融学方法、管理学方法、系统工程方法和信息化科学方法为一体化的认识理论体系，要把我国银行信息化发展纳入科学发展的轨道。

在这之后，更为重要的是银行信息化的科学发展必须建立信息资产风险监管组织机构。主要是建立一支在信息化条件下的监管专业队伍。首先是要建立安全监管机构，有了专人负责之后，很快相关标准、长效机制、审核措施等顺理成章地就会出来了，而且工作的落实也就有了监督。那么，迅速高效地推行金融信息安全工作也就不是难事了。

屈延文分析，没有一支监管专业队伍，难以提出银行企业、领域和监管当局信息化的科学发展战略，无法实现银行信息资产风险监管的综合方法，以及对人类与网络两个世界一体化的监管体系的运营和维系，也无法研究信息资产风险价值化体系、信息资产风险监管标准体系和信息资产风险监管法规体系。没有专门的信息资产监管专业机构，就不可能实现信息资产风险监管计划、管理和监控，就不可能实现实时掌控银行信息化系统的运行情况和各种风险情况。

巨大的数字化的资产与财产天天在网络上传输飞跑，依然采用“服务在网络里”和“监管在网络外”的监管方法，而无视信息化条件下的风险监管问题，其监管措施就不可能是可信与有效的。

屈延文强调，主管部门应该成立信息安全监管司，“成立这样一个机构是绝决对必要的，因为承担银行信息安全责任不是国家的哪一个部委，而是银行，是银监会。没有这样一个机构，工作也就不到位。”

出于对当前金融信息安全监管问题的担忧，屈延文曾给相关主管部门提出建议，阐明成立安全监管机构的紧迫性和必要性，相关领导也对此表示了一定的重视。

“当前不是谈网络如何建设、怎么弄防火墙的时候，先要谈如何监管信息安全的问题，这个问题不解决，其他问题没法搞。”屈延文十分担忧，这不是哪一个人的事情，也不是哪一个部门的事情，这将牵扯到整个国家的经济安全。”

屈延文呼吁：“我国银行信息化系统需要监管的风险资产如此之大，如果没有基本的专业化信息资产风险监管队伍和组织，价值与风险之间的关系也就不可能平衡。”

链接：我国银行安全监管现状及相关政策

在上市转型和外资银行进入中国金融市场的双重压力下，过去5年，特别是进入2005年以来，我国的银行监管部门明显加快了对商业银行的监管力度，初步建立了较为完善的市场准入、退出，非现场监管、现场监管、高级管理人员管理、风险预警等金融监管预警系统。比如，针对日益严重的电子支付安全问题而出台的《电子支付指引（第一号）》法令，就是人民银行在今年的重要举措。“电子支付指引”一定程度上进一步规范和引导了电子支付业务的健康发展，有利于防范电子支付业务风险，确保银行和客户资金的安全。

由于电子银行所面临的技术安全、客户利益被侵犯以及第三方过失等风险日益突出，银监会去年还出台了《电子银行业务管理办法》、《电子银行安全评估指引》和《电子银行安全评估机构业务资格认定工作规程》三个法令，目的是强化电子银行风险监管、防范电子银行业务风险、规范电子银行业务发展，银监会对商业银行监管正在加强。

金融机构信息网络安全 篇4

信息安全等级测评机构能力

要求

（试行）

Competence for operation of bodies performing testing and evaluation of classified protection of information system security

200×-××-×× 发布 200×-××-×× 实施

公安部信息安全等级保护评估中心

信息安全等级测评机构能力要求

目录 2 3 4 5 6 7 8 9 范围......................................................................3 名词解释..................................................................3 基本条件..................................................................3 组织管理能力..............................................................4 测评实施能力..............................................................5 设施和设备安全与保障能力...................................................7 质量管理能力..............................................................8 规范性保证能力............................................................8 风险控制能力.............................................................10 可持续性发展能力.........................................................10 11 测评机构能力约束性要求...................................................11 信息安全等级测评机构能力要求

前言

公安部颁布《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安[2010]303号），决定加快等级保护测评体系建设工作。信息安全等级测评机构的建设是测评体系建设的重要内容，为确保有效指导测评机构的能力建设，规范其测评活动，满足信息安全等级保护工作要求，特制定本规范。

《信息安全等级测评机构能力要求》（以下简称《能力要求》）是等级保护测评体系建设指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容，结合信息安全等级测评工作的特点，对测评机构的组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力等提出基本能力要求，为规范等级测评机构的建设和管理，及其能力评估工作的开展提供依据。

信息安全等级测评机构能力要求

信息安全等级测评机构能力要求 范围

本规范规定了测评机构的能力要求。

本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。名词解释

2.1 等级测评

等级测评是指测评机构依据国家信息安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。2.2 等级测评机构

等级测评机构，是指具备测评机构基本条件，经能力评估和审核，由省级以上信息安全等级保护工作协调（领导）小组办公室推荐，从事等级测评工作的机构。基本条件

依据《信息安全等级保护测评工作管理规范》（试行），信息安全等级测评机构（以下简称测评机构）应当具备以下基本条件：

a)在中华人民共和国境内注册成立（港澳台地区除外）；

b)由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）； c)产权关系明晰，注册资金100万元以上；

d)从事信息系统检测评估相关工作两年以上，无违法记录；

e)工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

f)具有满足等级测评工作的专业技术人员和管理人员，测评技术人员不少于10人； g)具备必要的办公环境、设备、设施，使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求；

h)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度； i)对国家安全、社会秩序、公共利益不构成威胁;j)应当具备的其他条件。信息安全等级测评机构能力要求 组织管理能力

4.1 测评机构管理者应掌握等级保护政策文件，熟悉相关的标准规范。

4.2 测评机构应按一定方式组织并设立相关部门，明确其职责、权限和相互关系，保证各项工作的有序开展。

4.3 测评机构应具有胜任等级测评工作的专业技术人员和管理人员，大学本科（含）以上学历所占比例不低于60%。其中测评技术人员不少于10人。

4.4 测评机构应设置满足等级测评工作需要的岗位，如测评技术员、测评项目组长、技术主管、质量主管、保密安全员和档案管理员等（不论称谓如何），并配备足够的、相对稳定并具备相应能力的工作人员。

4.5 测评机构应制定完善的规章制度，包括但不限于以下内容： a)保密管理制度

制度中应明确保密对象的范围、人员保密职责、各项保密措施与要求，以及违反保密制度的罚则等内容。b)项目管理制度

测评机构应依据《信息系统安全等级保护定级指南》等技术标准制定符合自身特点的测评项目管理程序，主要应包括测评工作的组织形式、工作职责，测评各阶段的工作内容和管理要求等。

c)质量管理制度（包含设备管理和文件档案管理等）

应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度应包括对于仪器设备的购置、使用和维护的质量管理要求。文件档案管理制度应包括机构人员在文件档案管理中的相关职责、文件档案借阅、保管直至销毁的各项规定等。d)人员管理制度

应包括人员录用、考核、日常管理以及离职等方面的内容和要求。e)培训教育制度

应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建立等的内容和要求。

f)申诉、投诉及争议处理制度

应明确包括测评机构各岗位人员在申、投诉和争议处理活动中相应的职责，建立从受理、确认到处置、答复等环节的完整程序。

信息安全等级测评机构能力要求 测评实施能力

5.1 人员能力

5.1.1 测评机构从事等级测评工作的专业技术人员（以下简称测评人员）应具有把握国家政策，理解和掌握相关技术标准，熟悉等级测评的方法、流程和工作规范等方面的知识及能力，并有依据测评结果做出专业判断以及出具等级测评报告等任务的能力。

5.1.2 测评人员应参加由公安部信息安全等级保护评估中心举办的专门培训、考试并取得中心颁发的《等级测评师证书》（等级测评师分为初级、中级和高级）。等级测评人员需持证上岗。

5.1.3 初级、中级和高级等级测评师具体能力要求如下： a)初级等级测评师

 了解信息安全等级保护的相关政策、标准；  熟悉信息安全基础知识；

 熟悉信息安全产品分类，了解其功能、特点和操作方法；

 掌握等级测评方法，能够根据测评指导书客观、准确、完整地获取各项测评证据；

 掌握测评工具的操作方法，能够合理设计测试用例获取所需测试数据；  能够按照报告编制要求整理测评数据。b)中级等级测评师

 熟悉信息安全等级保护相关政策、法规；  熟悉信息安全等级保护相关政策、法规；

 正确理解信息安全等级保护标准体系和主要标准内容，能够跟踪国内、国际信息安全相关标准的发展；

 掌握信息安全基础知识，熟悉信息安全测评方法，具有信息安全技术研究的基础和实践经验；

 具有较丰富的项目管理经验, 熟悉测评项目的工作流程和质量管理的方法，具有较强的组织协调和沟通能力；

 能够独立开发测评指导书，熟悉测评指导书的开发、版本控制和评审流程；  能够根据信息系统的特点，编制测评方案，确定测评对象、测评指标和测评信息安全等级测评机构能力要求

方法；

 具有综合分析和判断的能力，能够依据测评报告模板要求编制测评报告，能够整体把握测评报告结论的客观性和准确性。具备较强的文字表达能力；  了解等级保护各个工作环节的相关要求。能够针对测评中发现的问题，提出合理化的整改建议。c)高级等级测评师

 熟悉和跟踪国内、外信息安全的相关政策、法规及标准的发展；  对信息安全等级保护标准体系及主要标准有较为深入的理解；  具有信息安全理论研究的基础、实践经验和研究创新能力；

 具有丰富的质量体系管理和项目管理经验,具有较强的组织协调和管理能力；

 熟悉等级保护工作的全过程，熟悉定级、等级测评、建设整改各个工作环节的要求。

5.1.4 测评技术员、测评项目组长和技术主管岗位人员应分别取得初、中、高级等级测评师证书，其比例应满足等级测评工作需要。

5.1.5测评机构应指定一名技术主管,全面负责等级测评方面的技术工作。5.2 测评能力

5.2.1 测评机构应通过提供案例、过程记录等资料，证明其具有从事信息系统检测评估相关工作两年以上的工作经验。

5.2.2 测评机构应保证在其能力范围内从事测评工作，并有足够的资源来满足测评工作要求，具体体现在以下方面：

a)安全技术测评实施能力，包括物理安全测评、网络安全测评、主机系统安全测评、应用安全和数据安全测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；

b)安全管理测评实施能力，包括安全管理机构测评、安全管理制度测评、人员安全管理测评、系统建设管理测评、系统运维管理测评等方面测评指导书的开发、使用、维护及获取相关结果的专业判断；

c)安全测试与分析能力，指根据实际测评要求，开发与测试相关的工作指导书，借助专用测评设备和工具，实现主流协议分析、漏洞发现与验证等方面的能力； d)整体测评实施能力，指根据测评报告的单元测评的结果记录部分、结果汇总部

信息安全等级测评机构能力要求

分和问题分析部分，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果的能力。

e)风险分析能力，指依据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测评系统安全造成的影响的能力； 5.2.3 测评机构应有完备的测评工作流程，有计划、按步骤地开展测评工作，并保证测评活动的每个环节都得到有效的控制。

a)测评准备阶段，收集被测系统的相关资料信息，填写规范的系统调查表，全面掌握被测评系统的详细情况，为测评工作的开展打下基础；

b)方案编制阶段，正确合理地确定测评对象、测评指标及测评内容等，并依据现行有效的技术标准、规范开发测评方案、测评指导书、测评结果记录表格等。测评方案应通过技术评审并有相关记录，测评指导书应进行版本有效性维护，且满足以下要求：

 符合相关的等级测评标准；

 提供足够详细的信息以确保测评数据获取过程的规范性和可操作性。c)现场测评阶段，严格执行测评方案和测评指导书中的内容和要求，并依据操作规程熟练地使用测评设备和工具，规范、准确、完整的填写测评结果记录，获取足够证据，客观、真实、科学地反映出系统的安全保护状况，测评过程应予以监督并记录；

d)报告编制阶段，找出整个信息系统安全保护现状与相应等级的保护要求之间的差距，分析差距可能导致被测评系统面临的风险，给出等级测评结论，形成测评报告，测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版（试行）》的格式和内容要求编写，测评报告应通过评审并有相关记录。设施和设备安全与保障能力

6.1 测评机构应具备必要的办公环境、设备、设施和管理系统，使用的技术装备、设施原则上应当符合以下条件：

a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的，在中华人民共和国境内具有独立的法人资格；

b)产品的核心技术、关键部件具有我国自主知识产权； 信息安全等级测评机构能力要求

c)产品研制、生产单位及其主要业务、技术人员无犯罪记录；

d)产品研制、生产单位声明没有故意留有或者设置漏洞、后门、木马等程序和功能； e)对国家安全、社会秩序、公共利益不构成危害。

f)信息安全产品应获得公安部计算机信息安全产品销售许可证。

6.2 测评机构应配备满足等级测评工作需要的测评设备和工具，如漏洞扫描器、协议分析仪、渗透测试工具等。测评设备和工具应通过权威机构的检测并可提供检测报告（见附录《信息安全等级测评设备和工具指引》）。

6.3 测评机构应具备符合相关要求的机房以及必要的软、硬件设备，用于满足信息系统仿真、技术培训和模拟测试的需要。

6.4 测评机构应确保测评设备和工具运行状态良好，并通过校准或比对等手段保证其提供准确的测评数据。

6.5 测评设备和工具均应有正确的标识。质量管理能力

7.1 管理体系建设

7.1.1 测评机构应建立、实施和维护符合等级测评工作需要的文件化的管理体系，并确保测评机构各级人员能够理解和执行。

7.1.2测评机构应当制定相应的质量目标，不断提升自身的测评质量和管理水平。7.1.3测评机构应指定一名质量主管，明确其质量保证的职责。质量主管不应受可能有损工作质量的影响或利益冲突，并有权直接与测评机构最高管理层沟通。7.2 管理体系维护

7.2.1测评机构应保证管理体系的有效运行，发现问题及时反馈并采取纠正措施，确保其有效性。

7.2.2

测评机构应当严格遵守申诉、投诉及争议处理制度，并应记录采取的措施。规范性保证能力

8.1 公正性保证能力

8.1.1 测评机构及其测评人员应当严格执行有关管理规范和技术标准，开展客观、公正、安全的测评服务。

信息安全等级测评机构能力要求

8.1.2 测评机构的人员应不受可能影响其测评结果的来自于商业、财务和其他方面的压力。

8.2 可信与保密性保证能力

8.2.1测评机构的单位法人及主要工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。

8.2.2 测评机构应通过提供单位性质、股权结构、出资情况、法人及股东身份等信息的文件材料，证明其机构合规、产权关系明晰，资金注册达到要求（100万元）。8.2.3 测评机构应建立并保存工作人员的人员档案，包括人员基本信息、社会背景、工作经历、培训记录、专业资格、奖惩情况等，保障人员的稳定和可靠。8.2.4 测评机构使用的测试设备和工具应具备全面的功能列表，且不存在功能列表之外的隐蔽功能。

8.2.5测评机构应重视安全保密工作，指派安全保密工作的责任人。

8.2.6 测评机构应根据国家有关保密规定制定保密管理制度，并定期对工作人员进行保密教育，测评机构和测评人员应当保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。

8.2.7

测评机构应明确岗位保密要求，与全体人员签订《保密责任书》，规定其应当履行的安全保密义务和承担的法律责任，并负责检查落实。

8.2.8 测评机构应采取技术和管理措施来确保等级测评相关信息的安全、保密和可控，这些信息包括但不限于： a)被测评单位提供的资料；

b)等级测评活动生成的数据和记录； c)依据上述信息做出的分析与专业判断。

8.2.9 测评机构应借助有效的技术手段，确保等级测评相关信息的整个数据生命周期的安全和保密。8.3 测评方法与程序的规范性

测评机构应保证与等级测评工作有关的所有工作程序、指导书、标准规范、工作表格、核查记录表等现行有效并便于测评人员获得。8.4 测评记录的规范性

a)测评记录应当清晰规范，并获得被测评方的书面确认； 信息安全等级测评机构能力要求

b)测评机构应具有安全保管记录的能力，所有的测评记录应保存三年以上。8.5 测评报告的规范性

a)测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版（试行）》格式出具测评报告；

b)测评报告应包括所有测评结果、根据这些结果做出的专业判断以及理解和解释这些结果所需要的所有信息，以上信息均应正确、准确、清晰地表述；

c)测评报告由测评项目组长作为第一编制人，技术主管（或质量主管）负责审核，机构管理者或其授权人员签发或批准；

d)能力评估合格的测评机构应依据《信息安全等级保护测评工作管理规范》第六条，对出具的等级测评报告统一加盖等级测评机构能力合格专用标识并登记归档。风险控制能力

9.1 测评机构应充分估计测评可能给被测系统带来的风险，风险包括但不限于以下方面：

a)测评机构由于自身能力或资源不足造成的风险；

b)测试验证活动可能对被测系统正常运行造成影响的风险； c)测试设备和工具接入可能对被测系统正常运行造成影响的风险；

d)测评过程中可能发生的被测系统重要信息（如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档等）泄漏的风险等。

9.2 测评机构应通过多种措施对上述被测系统可能面临的风险加以规避和控制。可持续性发展能力

10.1 测评机构应根据自身情况制定战略规划，通过不断的投入保证测评机构的持续建设和发展。

10.2 测评机构应定期对管理体系进行评审并持续改进，不断提高管理要求。设定中、远期目标（如获得相应管理体系资质认可），通过目标的实现，逐步提升质量管理能力。10.3 测评机构应建立文件化的培训制度，以确保其工作人员在专业技术和管理方面持续满足等级测评工作的需要。

10.4 测评机构应投入专门的力量来从事测评实践总结和测评技术研究工作，测评机构间应进行经验交流和技术研讨，保持与测评技术发展的同步性。

信息安全等级测评机构能力要求 测评机构能力约束性要求

测评机构不得从事下列活动：

a)影响被测评信息系统正常运行，危害被测评信息系统安全； b)泄露知悉的被测评单位及被测信息系统的国家秘密和工作秘密；

c)故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；

d)未按规定格式出具等级测评报告；

e)非授权占有、使用等级测评相关资料及数据文件； f)分包或转包等级测评项目；

g)信息安全产品（专用测评设备和工具以外）开发、销售和信息系统安全集成； h)限定被测评单位购买、使用其指定的信息安全产品；

新形势下我国金融行业的信息安全 篇5

--转自《赛迪智库报告》

随着信息技术的广泛应用和电子商务的快速发展，金融服务模式正由传统的柜台服务模式向网上银行、第三方支付、P2P小额贷款、企业网络融资等新型服务模式扩展。这种扩展推动了金融业务与互联网的进一步融合，我国金融业信息化正经历向信息化金融的转变，信息化金融已逐渐成为我国金融业的发展方向。但与此同时，由于这种新型服务方式虚拟化、业务边界模糊化、经营环境开放化等特点，使得互联网上的金融业务面临网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。

金融行业信息安全存在的问题

金融领域核心软硬件被国外垄断、金融行业服务外包高度依赖国外厂商、金融信息系统灾备和应急响应能力差、金融业务系统风险控制水平低等问题，严重威胁金融行业信息安全。

1．金融领域核心软硬件被国外垄断，严重威胁行业信息安全。

当前，包括金融、军工、能源、民航在内的很多涉及国计民生的领域越来越依赖信息网络系统，我国金融行业的网络基础设施、大型机、小型机、存储设备、芯片、数据库、操作系统、核心业务系统等几乎都被国外垄断，使得我国金融信息系统很容易被国外掌控，严重威胁我国金融行业信息安全。

2．金融行业服务外包高度依赖国外厂商，加大了风险控制难度。

目前金融行业服务外包高度依赖国外厂商。尤其是一些政策性银行、股份制银行和外资参股的中小金融机构，为节约成本、提高效率和规模、加快扩张速度，服务外包时高度依赖国外厂商。这种金融服务外包高度依赖国外厂商的状况，容易导致极大的信息安全风险。一是信息泄漏，在外包逐渐深化过程中，金融机构逐步将自己全部的关键信息提供给服务提供商去管理维护和开发，这些金融机构的敏感信息、核心技术就存在泄密的可能性，一旦被竞争对手或者不法分子获取，将产生严重后果。二是服务提供商在工作中越俎代庖，封闭执行全部工作，不向金融机构提供关键技术，服务提供商在系统中是否留有后门，金融机构不得而知，造成很大的信息安全隐患。三是随着金融企业信息技术平台交由国外厂商来管理，如骨干网络系统管理、业务系统运维和管理、业务系统开发与维护、数据备份及异地灾难恢复等，一旦发生问题，金融企业就处于被动地位，故障无法及时处理，风险难以得到控制，极易扩大问题的影响面而引发大的信息安全事件。

3．金融信息系统灾备建设与国外差距大，应急响应能力有待提高。

灾备体系是信息系统连续性的重要防线，维护信息和网络安全的重要措施。相关调查显示，对重要信息系统的停机容忍时限，民航系统不超过20分钟，银行系统是30分钟，证券交易系统是秒的数量级。这些重要信息系统如果停机，将给社会、国家带来非常严重的损失。虽然近年来，我国银行业金融机构陆续建立了灾难备份体系和灾备中心，但按照安全、稳定的灾备管理要求，仍存在许多不足。据人民银行在2009年对21家全国性商业银行灾备中心建设情况的调查显示，仅有3家建立了同城和异地灾备中心，9家建立了同城灾备中心，6家建立了异地灾备中心，尚有3家没有建立灾备中心。反观国外同业，多数国外银行已经做到了分行一级的灾难备份与恢复。这表明，我国金融业灾备中心建设同国外相比存在较大差距。

4．金融业务系统事故频发，业务系统风险控制水平有待提高。

我国金融系统特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面存在明显的“短板”。虽然金融业已经制定了信息安全等级保护、网上银行系统信息安全通用规范等系列标准，并开展了一系列的等级保护测评和渗透性检测，但是金融领域信息安全事关国家经济安全，仍需要进一步提高业务风险的控制水平。

金融行业信息安全面临的新挑战

随着电子商务的快速发展，以及移动互联、云计算、下一代互联网和大数据等新兴技术的运用，金融机构成为网络攻击的重点目标，网络成为犯罪分子劫掠金钱的新途径，使金融行业信息安全面临新的挑战。

（一）传统互联网威胁向金融领域辐射。

随着电子商务的快速发展，在线支付、在线结算等金融业务与互联网的结合日益紧密，病毒、木马等传统互联网威胁已经危及金融领域安全。这些潜在的安全隐患，一旦变成事实，将给中国金融系统乃至国家安全带来不可想象的损害。

（二）新技术的应用使金融行业信息安全面临更大挑战。

移动互联、云计算、下一代互联网和大数据等新兴技术的蓬勃发展，极大地促进了信息的共享，改变着经济社会的运行方式，但同时也给整个金融行业的信息安全带来更大挑战，基于开放性网络的互联网金融服务对我国金融信息安全工作提出严峻的挑战。

（三）金融机构成为网络攻击的重点目标。

对金融机构进行网络攻击，不仅能够直接攫取经济利益，还能破坏一国的金融秩序，金融机构成为网络犯罪分子、恐怖分子以及国家对抗的重点目标。近年来，针对金融机构的网络攻击事件频频发生，整体信息安全形势严峻。

（四）网络成为犯罪分子劫掠金钱的新途径。

网络模糊了传统金融领域的界限，为犯罪分子“开辟”了新途径。据统计，2011年中国互联网地下黑色产业链的盈利规模，已经超过50亿元。由于地下黑色产业链的发展，网络洗钱和网上支付诈骗也成为愈发严重的社会问题。

（五）虚拟货币成为洗钱新渠道。

随着网络经济的活跃，比特币等虚拟货币与实体货币之间已经建立起了某种兑换关系。虚拟货币交易可以完全以匿名的方式进行，一旦交易完成就可以随时轻松销号，犯罪分子通过将非法所得兑换成虚拟货币，能够有效切断资金追踪链条，这为洗钱等传统金融犯罪活动提供了新渠道。

加强我国金融行业信息安全的对策及建议

通过加速建立自主可控信息安全技术产业体系和不断完善金融信息安全法规制度、标准规范体系等措施，提高金融领域信息安全防范能力。

（一）加快研发金融领域网络。

安全技术防范应是网络安全的基础防护措施，增强金融领域网络安全保障能力，应结合金融领域自身特点研发针对性的网络安全技术。第一，应加强对金融网络防火墙、加密等安全技术的研发，加强金融领域信息系统、网络、客户端及信息交互的安全保障能力；第二，应重点加强身份认证技术研发，采用基于PKI的数字证书等技术（国内PKI核心技术厂商：卫士通、山东渔翁信息等）对各方身份进行鉴别并留存不可篡改的记录，并根据身份认证结果进行授权管理，从源头上对金融领域网络犯罪进行物理阻断；第三，加强金融大数据的挖掘分析技术、云服务的数据存储和传输技术、移动支付的信息安全保障技术，互联网金融的安全交易技术等研究开发。

（二）加速建立自主可控信息安全技术产业体系。

自主技术是金融信息安全的根本保障。建立自主可控的信息安全产业体系可以从以下方面着手：一是大力改善信息安全技术自主创新的环境。二是加速建设自主可控的信息安全生态体系。通过促进上下游应用产品的开发，完善自主技术产品应用环境，提高相关技术产品的可用性。三是加强金融领域信息安全技术产品市场规范。启动核心信息技术产品的信息安全检查和强制性认证工作，依照金融信息系统安全等级设定不同的检查要求，比如对关键系统进行源代码级检测。加强对国外进口技术、产品和服务的漏洞分析工作，提升发现安全隐患的能力，明确国外信息技术企业在国内提供产品、技术和服务时的责任和义务，对从事金融数据搜集和数据分析业务的企业采取黑名单制度。建立金融领域新技术安全预警机制，并出台规范，限制新兴技术的使用方式和范围。

（三）不断完善金融信息安全法规制度和标准规范体系。

法规建设是信息金融、信息安全体系建设的重要环节之一，目前虽然我国金融领域已经出台了相关的法律规定，形成了以金融移动支付为主的系列标准，但是对于高速发展金融信息系统来说还存在一定的滞后性，还不完善。所以细化并完善金融行业相关信息安全实施细则和标准规范，对于金融信息安全具有重要意义。

针对移动支付，应加强移动支付安全保障信息安全基础和通用标准研制，为移动支付的安全保障提供标准支撑。针对金融领域大数据，建立包括数据收集、数据使用、数据开放、数据管理和数据利用在内的应用规范，为合理保护和利用大数据提供指导。针对服务外包，制定第三方安全服务机构服务质量基本评价指标体系，包括第三方安全服务机构的制度体系评价指标、服务内容合规性评价指标、人员管理水平及稳定性评价指标等。

针对灾备系统，应建立并完善相应的运行、维护、测评和应急处置的相关标准规范体系。

（四）加快建立安全运维管理服务体系。

一是建立量化的监控指标体系。监控对象的指标化是自动化监控的基础，也是优化网络效率和提升系统健壮性的重要参照，是运维技术体系的核心内容。量化监控指标应当包括传统的各种系统资源使用率，交易进度，数据状态等。

二是要加强监控的分析。要对运维监控中发现的各种异常现象，全部纳入系统运行分析，对风险隐患一追到底，并及时处理，同时根据运行分析结果加强容量的管理，定期清理生产环境，动态评估系统的处理能力，动态优化技术资源配置。

三是完善预案，提高业务连续性。随着数据集中，系统整合的不断推进，金融信息系统的技术体系日趋复杂，但是对技术体系的驾驭经验和能力有待在实践中积累、提高。所以应当提高应急预案，应急演练的重要性的认识，在遵循“优先恢复系统对外服务”原则的前提下制定应急预案，开展应急演练。

（五）开展金融一体化信息安全风险感知体系试点示范。

金融机构信息网络安全 篇6

（试行）

第一条

为规范信息安全等级测评机构管理，提高信息安全保障能力和水平，保障和促进信息化建设，根据《广东省计算机信息系统安全保护条例》和《信息安全等级保护管理办法》等规定，制定本办法。

第二条

本办法所称信息安全等级测评机构是指对信息系统的安全保护措施是否符合信息安全等级保护相关法律和标准进行评估的组织。

第三条

信息安全等级测评应当坚持实事求是、客观公正的原则，保证测评活动的独立性和测评结论的准确性。

第四条

第二级以上的计算机信息系统的安全测评应当选择符合下列条件的计算机信息系统安全等级测评机构（简称测评机构）承担：

（一）在中华人民共和国境内注册成立（港澳台地区除外），具有相应经营范围的营业执照，注册资本100万元以上；

（二）由中国公民投资、中国法人投资或者国家投资的企事业单位（港澳台地区除外）；

（三）近3年完成的测评项目总值150万元以上；

（四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人；

（五）管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事安全测评工作不少于3年，无犯罪记录；

（六）工作人员仅限于中国公民，法人及主要业务、技术人员无犯罪记录；

（七）具有与所承担项目适应的技术装备；

（八）具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度；

（九）对国家安全、社会秩序、公共利益不构成威胁。

第五条

我省对测评机构实施备案制度。符合第四条规定的条件，承担第二级以上的计算机信息系统测评工作的机构应当到公安机关公共信息网络安全监察部门备案。

第六条

信息安全等级测评机构申请备案，应当向地级以上市公安机关公共信息网络安全监察部门提交下列资料：

（一）备案申请书；

（二）营业执照复印件；

（三）管理人员和专业技术人员的身份证明、学历证明、计算机安全培训合格证书复印件和无犯罪证明；

（四）技术装备情况及组织管理制度报告。第七条

地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的，报送省公安厅公共信息网络安全监察部门审查；初审不合格的，退回申请并说明理由。

省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查，符合条件的，发给备案证书。不符合条件的，作出不予备案的决定并说明理由。

承担省直和中央驻粤单位信息安全等级测评工作的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在30日内作出备案意见。

第八条

省公安厅公共信息网络安全监察部门对已备案的信息安全等级测评机构进行公布。

第九条

备案证书分为正本和副本，正本和副本具有同等效力。

第十条

备案证书实行年检制度。年检时间为每年2月至3月，新领备案证书未满半年的不需年检。

第十二条

信息安全等级测评机构参加年检，应当持下列材料向地级以上市公安机关公共信息网络安全监察部门提出申请：

（一）备案证书年检申请书；

（二）备案证书副本；

（三）其他材料。

第十三条

地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的，报送省公安厅公共信息网络安全监察部门审查；初审不合格的，退回申请并说明理由。

省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查并作出年检结论。

持国家工商行政管理总局或省工商行政管理局核发的营业执照的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在30日内作出年检结论。

第十四条

年检结论分为合格、取消两种。

具备下列情形的，年审结论为合格：

（一）遵守国家有关法律法规和本省有关规定；

（二）上完成的测评项目总值不低于50万元；

（三）符合备案条件。

有下列情形之一的，年检结论为取消：

（一）违反国家有关法律法规和本省有关规定，情节严重；

（二）上完成的测评项目总值低于50万元；

（三）情况发生变更，达不到备案条件。

年检合格的，在备案证书副本和年检申请书上注明，加盖省公安厅公共信息网络安全监察专用章。

年检结论为取消的，备案证书作废，信息安全等级测评机构应当自接到年检结论之日起10日内交回备案证书。

未按时参加年检的，年审结论视为取消。

因特殊原因未年检的，应当书面说明理由，经批准，方可补办相关手续。

第十五条

备案证书登记事项发生变更的，应在30日内到地级以上市公安机关公共信息网络安全监察部门办理变更手续。

第十六条

信息安全等级测评机构应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

第十七条

公安机关公共信息网络安全监察部门对信息安全等级测评机构进行监督、检查和指导。第十八条

信息安全等级测评机构有下列行为之一的，由所在地公安机关公共信息网络安全监察部门责令改正，并予以通报。对已办理备案的，收回备案证书。触犯有关法律、法规和规章的，依法追究法律责任。

（一）伪造、冒用信息安全等级测评机构备案证书的；

（二）转让、转借信息安全等级测评机构备案证书的；

（三）出具虚假、失实的信息安全等级测评结论的；

（四）泄露测评活动中掌握的国家秘密、商业秘密和个人隐私的；

（五）违反法律、法规、规章等规定的其他行为。

第十九条

金融机构信息网络安全 篇7

在第16届亚运会即将在广州举行之际, 《华南金融电脑》杂志社和上海琮谷信息科技有限公司于4月30日在广州联合主办了“2010年广东金融行业信息安全高层专题研讨会”, 以进一步推动广东金融业信息安全建设。广东人民银行、银监局、证监局、保监局, 银行、证券、保险等金融机构科技部门的领导和安全管理人员共30多人参加了此次研讨会, 共同探讨金融业信息安全的热点和难点问题。

会议期间, 上海琮谷信息科技有限公司总经理张永勤先生结合金融业安全认证的发展趋势, 重点介绍了琮谷公司IDtrust安全认证管理平台, 并请工作人员现场示范电话认证这一具有创新意义的认证方式, 引起了与会领导的浓厚兴趣;飞塔信息科技 (北京) 有限公司中国区技术总监李宏凯先生分析了三层安全体系架构, 并向参会代表介绍了飞塔公司安全产品解决方案;EMC公司代表则重点介绍了EMC/R SA金融业信息技术风险管理解决方案。而广东省农村信用社联合社信息技术部副总经理韦旦博士则结合自身工作经验, 作了“Web时代银行信息系统的安全挑战和应对”的主题演讲, 细致地分析了银行信息系统面临的安全问题和应对策略, 引发了各位代表的深刻思考。

金融机构信息网络安全 篇8

个人金融信息安全危机四伏

事实证明，保护个人金融信息安全，仅靠宣传教育、道德约束、技术防范、自我保护等是远远不够的，更需要法律层面的支持，以对侵害个人金融信息安全的违法犯罪分子严厉惩处，和对其有不良动机的人加以震慑，避免和减少类似案件的发生，使个人金融信息安全得到有效保障。但就目前我国关于个人金融信息保护的法律制度的建设来看，还存在着许多不尽人意的地方。

例如对信息主体享有权利的认识不够到位、缺少对个人金融信息保护的专门法律、个人金融信息保护立法层级较低、个人金融信息保护的侧重点存在位移现象、对保护个人金融信息的力度欠缺、未能形成对个人金融信息的有效保护等。由于缺乏个人金融信息保护方面的法律法规，导致当个人金融信息遭受非法侵犯后，多数获得的仅仅是停止侵害、消除影响等名誉补偿方式，经济和精神赔偿请求基本得不到司法部门支持。尤其是因个人金融信息泄露导致诈骗、资金被窃以及众多垃圾信息滋扰等，除犯罪分子承担刑事责任以外，民事主体难以获得经济赔偿。

如今，我们已经进入了信息社会，尤其是随着互联网的迅猛发展和被广泛运用，信息的传播与获取等更加便捷，而信息的泄漏与被盗取等也更加多发，从近几年的司法实践中可以发现，有不少的的侵犯个人信息案件缘起互联网。2014年8月8日，备受境内外关注的汉弗莱、虞英曾非法获取公民个人信息罪一案一审在上海市第一中级人民法院公开开庭审理。起诉书指控，2009年4月至2013年7月，被告人汉弗莱和其妻子虞英曾利用在上海注册成立的摄连公司，接受境内外客户委托，对多家公司或个人进行“背景调查”。两名被告人按每条人民币800元至2000元不等的价格，先后向周某某、刘某和蔡某某（均另案处理）购买公民的户籍、出入境记录、通话记录等信息资料累计达256条，并在制作“调查报告”后卖给委托客户。

除了非法向他人购买，还有五花八门的非法手段——在代号为“黑刺李”、“丑角”、“鹅”的一个个调查项目中，他们或使用跟踪、监控等手段，或冒充公司员工、客户、投资者甚至快递员的身份秘密走访、偷拍。汉弗莱、虞英曾的供述也显示，其客户主要为在华大型跨国公司，包括制造业企业、金融机构及其他机构，涉及美国、德国、英国、法国、瑞士、日本等16个国家。被告人汉弗莱、虞英曾因非法获取公民个人信息罪，分别被判处有期徒刑2年6个月并处罚金人民币20万元及驱逐出境、有期徒刑2年并处罚金人民币15万元。这是中国审理的首起在华外国人非法获取公民个人信息案件，也是首次对庭审进行微博直播的在华外国人犯罪案件。

个人金融信息需全方位保护

当下，因为移动商务类应用与消费者的关系更加紧密，手机游戏以及互联网理财也成为表现抢眼的网络应用，在这种新形势下，保护个人金融信息安全，法律不但不能缺位，更需要加强。针对我国在个人金融信息安全方面所存在的问题，应当尽快建立健全个人金融信息的法律保护体系，出台保护个人金融信息的专门法律，以完整的内容、完善的形式、完备的措施对个人金融信息实行全方位保护。

提升个人信息法律地位。要明确规定个人信息安全权利是个人独立于隐私权的一项基本权利受到法律保护，以平衡各方当事人权利义务，提升社会各界对个人金融信息保护的重视程度;要明确个人金融信息的内涵与范围，即银行等金融机构为了开展和结算业务、防范和监控风险，向个人、国家机关和企事业单位等获取的与个人存在直接联系的个人信息以及衍生信息。

保障信息主体享有权利。信息主体至少应包括以下权利：知情权、选择权、访问权、异议权、索赔权。个人金融信息受害人有提起相关调查程序的权利，只要符合法定条件，受害人有权要求启动相关调查程序，申请个人金融信息保护，要求侵权者停止侵权活动，销毁非法占有的个人金融信息并交代其来源，进行自查并承担相应责任，以求在源头上避免个人金融信息的外泄;当个人金融信息跨境转移时，只有当第三国确实能够提供充分保护的情况下，管理个人金融信息的金融机构才可以向其转移相应的个人金融信息，若第三国无法提供相应的充分保护，则只有在获得信息主体的明确同意，为履行信息主体与信息管理者之间的契约义务或者基于公共利益的特殊需要等法定情况下才可以转移相应个人金融信息;同时，鉴于金融机构的强势地位和双方信息的严重不对称，应当适当降低个人提起相关诉讼的法定条件并将主要举证责任转移给金融企业，即在涉及个人金融信息纠纷案件的司法裁决中，当客户遭到损失且无法证明损害是由银行等金融机构泄露客户个人金融信息导致的情况下，银行方面需要承担相应的举证责任。

金融机构必须尽其责任。信息主体享有的权利，从另一方面来说，就是金融机构应尽的责任和义务。金融企业与客户间发生业务，凡涉及到个人信息的，须双方签订保密合同，以“默示条款”的形式确立金融企业的保密义务与泄密违约赔偿责任;当金融企业需要将客户的信息披露给第三方时，必须征得客户的同意，否则即是违约;另外，鉴于个人金融信息受到的侵害多属民事性质，当侵权者应当承担的民事赔偿责任时，所做出的相关规定要更具针对性，更精准细致，更具操作性。