附件省银行业金融机构信息安全管理指引（试行）第一章总则第一条为切实加强省银行业金融机构（以下简称银行机构）信息安全工作的管理和指导，进一步增强银行机构信息安全保障能力，保障国家经济金融运行安全，保护金融消费权益和维护社会稳定，根据国家和人民银行总行有关规定和要求，特制订本指引。

第二条本指引所称信息安全管理，是指在银行机构计算机系统建设、运行、维护、使用及废止等过程中，保障计算机数据信息、计算机系统、网络、机房基础设施等安全的一系列活动。

第三条省人民银行分支机构按属地管理原则对辖银行机构信息安全工作进行管理、指导和协调。

各银行机构负责本系统（单位）的信息安全管理，完成人民银行交办的信息安全管理任务、接受人民银行的监督和检查。

第四条各银行机构信息安全管理工作的目标是：建立和完善与金融机构信息化发展相适应的信息安全保障体系，满足金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障数据安全，显著提高金融机构业务持续运行保障水平。

第五条各银行机构信息安全管理工作的主要任务是：（一）加强组织领导，健全信息安全管理体制,建立跨部门、跨行业协调机制；（二）加强信息安全队伍建设，落实岗位职责制，不断提高信息安全队伍业务技能；（三）保证信息安全建设资金的投入，将信息安全纳入“五年”发展规划和年度工作计划，不断完善信息安全基础设施建设；（四）进一步加强信息安全制度和标准规体系建设；（五）加大信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；（六）加强安全运行监控体系建设；（七）大力开展信息安全风险评估，实施等级保护；（八）加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；（九）广泛、深入开展信息安全宣传教育活动，增强全员安全意识。

第六条本指引适用于在省设立的各政策性银行、国有商业银行、股份制银行、邮政储蓄银行、城市商业银行、农村商业银行、城市信用合作社、农村信用合作社、村镇银行的总部和分支机构。

非银行机构参照执行。

第二章组织机构第七条各银行机构应建立健全信息安全管理机构。

应建立由行领导负责、相关部门负责人及部专家组成的信息安全领导机构，负责本系统（单位）信息安全管理工作，决策本系统（单位）信息安全重大事宜。

第八条各银行机构应设立或指定专门负责信息安全工作的部门，配备专门负责信息安全工作的人员，实行A、B岗制度。

第九条各银行机构应建立和完善统一的信息安全协调机制。

应建立外部协调机制，加强信息安全的交流、沟通和协作，充分发挥纵向、横向协调的组织保障作用，有效提升信息安全保障能力。

第十条各银行机构应明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工，科学制定安全规划，有效组织实施安全策略。

第十一条各银行机构应建立完善的信息安全制度管理体系。

第十二条各银行机构信息安全分管行领导、信息安全主管部门及部门负责人变更后，应报当地人民银行备案。

第三章人员管理第十三条各银行机构的工作人员应根据不同的岗位或工作围，履行相应的信息安全管理职责。

第十四条各银行机构应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。

凡是因违反国家法律法规和有关规定受到过处罚或处分的人员，不得从事此项工作。

第十五条各银行机构应加大人才培养力度，每年至少对信息安全管理人员进行一次信息安全培训，适时对工作人员进行信息安全知识培训。

第十六条各银行机构信息安全管理人员应认真履行职责：（一）组织落实信息安全管理规定和本单位及分支机构信息安全保障工作，制定信息安全管理制度。

（二）审核信息化建设项目中的安全方案，组织实施信息安全项目建设，维护、管理信息安全专用设施。

（三）督促检查网络和信息系统的安全运行状况，组织检查运行操作、备份、机房环境与文档等安全管理情况，发现问题，及时通报和预警，并提出整改意见。

统计分析和协调处置信息安全事件。

（四）定期组织信息安全宣传教育活动，开展信息安全检查、评估与培训工作。

第十七条加强对职工的信息安全教育，提高全员信息安全意识。

加大专业技能培养，优化人员结构，形成梯队，重点加强数据中心高端系统运行人员技能的培养力度，不断增强自我运行操作能力与应急能力。

合理配置和使用人力资源，人尽其才，合理流动，广开人才来源。

第十八条建立信息安全管理业绩评价体系，奖惩分明。

第四章机房环境和设备资产管理第十九条本指引所称机房，是指网络与计算机设备放置、运行的场所，包含供配电、通信、空调、消防、监控等配套环境设施。

第二十条各银行机构机房的规划、建设、改造、运行、维护和机房设施配备，应符合国家计算机机房有关标准、行业管理有关要求和部管理有关规定。

第二十一条计算机机房应配套建设消防、防雷、门禁、视频监控、环境监控等系统，通过技术和管理手段，确保计算机机房及配套设施安全。

第二十二条计算机机房配套建设的消防系统、防雷系统应通过国家主管部门的竣工验收和定期检测。

第二十三条应建立健全计算机机房管理制度，落实专人担任机房管理员，定期巡查机房运行状况。

机房管理员应经过相关专业培训，掌握机房各类设备的操作要领。

第二十四条对计算机机房搬迁等可能影响系统正常运行的维护事项，事前需报当地人民银行备案。

第二十五条对外提供柜面服务的场所与核心业务处理环境，应严格人员出入管理，并通过安装门禁、视频监控录像等系统，加强技术防。

第二十六条各银行机构应做好计算机设备的登记工作，严格设备资产管理，落实设备使用者的安全保护责任。

第二十七条各银行机构应根据计算机设备的重要程度，采取相应等级的安全保护措施，防止未授权使用设备或信息。

有特殊安全要求的计算机设备，应放置在机房特殊功能区，并遵守相关安全规定。

第五章密码技术及网络安全管理第二十八条各银行机构信息系统应根据安全需要合理运用密码技术和产品，所使用的密码技术与产品应符合国家密码管理相关规定。

第二十九条各银行机构信息系统重要信息的传输、存储要采取一定强度的加密措施，建立规的密钥管理制度。

第三十条各银行机构信息系统所使用的网络应具备可信体系架构，具备身份认证、授权管理、跟踪审计等功能。

第三十一条各银行机构信息系统所使用的网络应具备基本的安全防能力，能通过身份认证、访问控制、容过滤、信息加密、网络隔离等措施有效防来源于部和外部的网络威胁。

第三十二条各银行机构应严格网络安全配置管理，制订合理的网络服务策略和强制路径策略，强化外部连接用户认证，加强远程诊断接口的保护。

第三十三条各银行机构应规划分网络安全域，利用国际互联网提供金融服务的信息系统要与办公网实现安全隔离，加强网络边界防护，保证重要信息不被泄露、篡改或非法利用。

第六章国产化及外包服务第三十四条各银行机构应积极开展国外技术和产品的国产化替代工程，降低对外资厂商的依赖程度，消除外资产品可能植入后门、逻辑炸弹等恶意代码和记录信息装置带来的安全隐患，提高信息安全自主可控水平。

第三十五条在保证可用性的条件下，各银行机构应优先考虑购买使用国产的网络产品、服务器、终端设备、操作系统、数据库系统、中间件等软硬件产品和技术。

第三十六条积极开展安全管理认证工作，开展测评认证时，应选择具有资质的国认证和咨询机构，加强信息安全和管理，保证重要敏感信息不出境。

第三十七条各银行机构应在充分评估风险控制的基础上使用外包服务，并建立规的外包服务管理机构及管理制度。

第三十八条各银行机构涉及国计民生、银行关键业务的核心系统不得使用外包服务。

重要业务系统托管应选择具有相关资质的中资机构。

第三十九条各银行机构加强对外包服务全过程的跟踪管理，完善过程记录，定期对外包服务的实施过程风险和完成情况进行评估。

第四十条各银行机构加强对外包服务商的管理，选择外包服务商应符合国家和行业监管部门信息安全相关规定，明确服务等级责任（SLA），签订协议。

第七章风险评估及等级保护第四十一条各银行机构应加强对信息系统风险评估的管理，在信息系统方案设计、建设投产、运行维护、重大变更等各个重要环节应实施风险评估。

第四十二条各银行机构使用的信息系统要适时、有效开展风险评估，重要信息系统至少每一年进行一次评估，并根据评估结果，及时研究整改存在的问题，实施安全加固。

第四十三条各银行机构应每半年按照《省银行业金融机构信息安全评估规》开展一次全面的自评估，在2月底和10月底上报当地人民银行。

第四十四条各银行机构要严格控制风险评估过程的管理，有规的制度和专门人员，应建立风险预案，落实预防性应对措施，确保风险评估工作不影响生产系统安全。

第四十五条各银行机构应每年梳理本机构运营使用的信息系统，按照国家和人民银行有关要求开展规的定级工作，按人民银行要求报送定级评审材料，二级及以上信息系统需向当地公安部门备案。

第四十六条各银行机构应对三级及以上的信息系统按照国家有关要求开展等级保护测评工作，并针对测评问题做好整改工作，并按照属地管理原则向当地人民银行报送测评整改总结报告。

第八章灾难恢复系统和业务连续性体系第四十七条各银行机构应按照国家相关规加强灾难恢复系统建设，制定覆盖所有重要信息系统的业务连续性计划和应急预案，建立和完善各项管理制度，提高业务持续运营能力。

第四十八条实施数据集中的银行机构应同步规划、同步建设、同步运行同城或异地信息系统灾难恢复系统，逐步形成生产中心、同城灾备中心、异地灾备中心的“两地三中心”灾备架构。

第四十九条各银行机构核心业务系统，应实施应用级备份；对于其他业务系统，可实施系统级或数据级备份。

应适时备份和安全保存业务数据，定期对冗余备份系统、备份介质进行深度可用性检查。

第五十条同城灾备中心对站点级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规》（GB/T 20988-2007）中所定义的灾难恢复能力等级第4级，并覆盖70%的重要信息系统（至少包含核心银行系统、支付结算系统、电子银行系统）。

同城灾备中心原则上与生产中心距离应处于不同的供电区域，应回避危险区和干扰源。

第五十一条异地灾备中心对城市级灾难恢复能力应达到《信息安全技术信息系统灾难恢复规》（GB/T 20988-2007）中所定义的灾难恢复能力等级第3级，并覆盖所有重要信息系统。

异地灾备中心原则上与生产中心应处于不同地震板块，并应回避危险区和干扰源、回避与生产中心相同的灾患。

第五十二条灾难备份中心的规划应综合平衡风险与成本、运维管理与灾难恢复力量等因素，进行业务影响、可行性、成本收益分析以及建设方案风险评估，明确灾难恢复策略。

第五十三条灾难备份中心的选址要从国家整体安全出发，接受行业监管部门的指导，合理规划布局。

建设方式包括自建、联合共建或利用外部企业（组织）的灾难备份设施等。

第五十四条各银行机构每年开展业务连续性计划演练，演练方式包括桌面演练、模拟演练、单元演练、端到端演练和全面演练。