商业银行信息安全管理办法.pdfVIP

商业银行信息安全管理办法

商业银行信息安全管理办法

第一章绪论

一、为了保障商业银行信息系统及其信息安全，规范信息安全

管理，提升信息安全保障能力，制定本办法。

二、本办法合用于商业银行信息系统及其信息安全管理。其中，

信息系统包括硬件设施、软件系统、数据资源及信息流程；信息安

全包括机密性、完整性和可用性。

第二章基本原则

一、依据法律法规，建立信息安全管理制度。

二、对信息安全事件及时响应，采取应急处置措施。

三、开展内部安全演练和测试，提升信息安全保障能力。

四、加强对员工信息安全意识和技能的培训。

第三章责任分工

一、商业银行领导层负责信息安全工作的规划、指导、监督和

检查。

二、信息安全管理部门负责信息安全管理的日常工作，制定安

全策略、安全标准和安全管理流程，进行安全风险评估和漏洞扫描，

提供安全加固方案和技术支持。

三、各部门应按照安全管理制度执行信息安全工作，并配合信

息安全管理部门的工作。

四、员工应按照安全管理制度执行信息安全工作，增强信息安

全意识，妥善保管自己的账号和密码。

第四章安全防范措施

一、外部安全防范

（一）物理安全：建立信息系统进出管理制度，采取门禁、巡

逻、监控等措施；安装防盗报警设备；保护电力、通讯路线等。

（二）网络安全：采取防火墙、入侵检测、加密传输等技术手

段；对外网址进行封堵；禁止员工安装未经授权的软件。

（三）应用安全：对系统和应用程序进行定期升级和修补；使

用安全加固软件；规定开辟和测试规范，并对其进行审计。

二、内部安全防范

（一）设备安全：规定使用设备安全制度；规定信息系统运行

环境和物理安全规范；监控设备内部操作。

（二）数据安全：加密存储重要数据资料；完善备份计划；规

定数据访问权限；监控数据修改和删除。

（三）应用安全：进行代码审计，避免漏洞；建立应用安全测

试流程，确保代码的质量；建立应用安全问题处置流程，及时解决

问题。

（四）员工安全：规定员工离职、变更部门等手续；对员工进

行信息安全培训；规定员工对信息安全责任的承担。

第五章安全管理流程

一、安全态势感知：对运行中信息系统进行安全风险扫描和漏

洞评估；对安全事件进行实时监控和分析。

二、安全事件响应：出台应急响应计划，确保处理过程顺畅；

进行事件追踪分析和溯源，确定事件根源；对事件进行评估和总结。

三、安全检查：定期对信息系统进行安全漏洞扫描和安全性评

估；定期开展安全演练和测试；对安全管理流程进行评估和完善。

四、安全事故处置：出台安全事故处理流程，保证处理过程标

准化；开展安全事故调查和处置，保证信息泄露不会对客户造成重

大影响。

第六章信息安全保障

一、安全保密协议

（一）与业务合作火伴签订保密协议，规定数据和信息的保密

等级和保密期限，防止信息泄露。

（二）与供应商签订安全服务合同，约定安全服务级别、工作

内容、责任、服务期限等。

二、应急预案

（一）建立信息安全应急响应机制和应急预案；

（二）根据应急预案开展应急演练；

（三）持续完善应急预案，提升应急响应能力。

三、数据备份

（一）制定数据备份计划，确保关键数据在任何情况下都能快

速恢复。

（二）对备份数据进行保护，并进行定期测试和验证。

（三）建立备份数据访问和传输安全规范。

第七章管理与监督

一、内部审计

（一）对信息安全管理工作进行内部审计，发现和排除管理上

的问题。

（二）对信息安全风险进行评估，发现和排除事件及潜在风险。

（三）对信息系统及其硬件设备、软件系统、数据资源及信息

流程等进行全面审计。

二、安全监督检查

（一）定期对银行信息系统的安全性进行检查。

（二）对银行开展安全性评估，提高安全性防范能力。

第八章附件

所涉及附件如下：

1、信息安全管理制度

2、安全风险评估报告

3、安全防范方案

第九章法律名词及注释

所