關(guān)于進(jìn)一步加強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的指導(dǎo)意見
人民銀行上?�?偛?��,各分行��、營業(yè)管理部,各省會(huì)(首府)城市中心支行�,各政策性銀行���、國有商業(yè)銀行�����、股份制商業(yè)銀行:
為進(jìn)一步增強(qiáng)銀行業(yè)金融機(jī)構(gòu)信息安全保障能力�,保障國家經(jīng)濟(jì)運(yùn)行安全,維護(hù)社會(huì)穩(wěn)定和客戶權(quán)益����,現(xiàn)就“十一五”期間銀行業(yè)金融機(jī)構(gòu)信息安全保障工作提出以下指導(dǎo)意見:
“十一五”期間�,我國銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的目標(biāo)是:建立和完善與銀行業(yè)金融機(jī)構(gòu)信息化發(fā)展相適應(yīng)的信息安全保障體系��,滿足銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)發(fā)展的安全性要求����,保證信息系統(tǒng)和相關(guān)基礎(chǔ)設(shè)施功能的正常發(fā)揮��,有效防范��、控制和化解信息技術(shù)風(fēng)險(xiǎn),增強(qiáng)信息系統(tǒng)安全預(yù)警���、應(yīng)急處置和災(zāi)難恢復(fù)能力�����,保障數(shù)據(jù)安全��,顯著提高銀行業(yè)金融機(jī)構(gòu)業(yè)務(wù)持續(xù)運(yùn)行保障水平�����。
“十一五”期間����,我國銀行業(yè)金融機(jī)構(gòu)信息安全保障工作的主要任務(wù)是:加強(qiáng)組織領(lǐng)導(dǎo)����,健全信息安全管理體制��,建立跨部門���、跨行業(yè)協(xié)調(diào)機(jī)制;加強(qiáng)信息安全隊(duì)伍建設(shè)���,落實(shí)崗位職責(zé)制���,推行信息安全管理持證上崗制度;保證信息安全建設(shè)資金的投入�����,不斷完善信息安全基礎(chǔ)設(shè)施建設(shè);進(jìn)一步加強(qiáng)信息安全制度和標(biāo)準(zhǔn)規(guī)范體系建設(shè);加大信息安全監(jiān)督檢查力度;加快以密碼技術(shù)應(yīng)用為基礎(chǔ)的網(wǎng)絡(luò)信任體系建設(shè);加強(qiáng)安全運(yùn)行監(jiān)控體系建設(shè);大力開展信息安全風(fēng)險(xiǎn)評估�,實(shí)施等級保護(hù);加快災(zāi)難恢復(fù)系統(tǒng)建設(shè)����,建立和完善信息安全應(yīng)急響應(yīng)和信息通報(bào)機(jī)制;廣泛��、深入開展信息安全宣傳教育活動(dòng)��,增強(qiáng)全員安全意識�。
一、建立健全信息安全保障組織體系
建立和完善統(tǒng)一的信息安全領(lǐng)導(dǎo)協(xié)調(diào)機(jī)構(gòu)�����。建立由高層行領(lǐng)導(dǎo)負(fù)責(zé)�����、相關(guān)各部門負(fù)責(zé)人及內(nèi)部專家組成的信息安全領(lǐng)導(dǎo)協(xié)調(diào)機(jī)構(gòu),理順關(guān)系��,增進(jìn)部門間協(xié)同配合�����、優(yōu)化資源配置��、提高信息安全管理決策的效率和科學(xué)性�,決策指揮信息安全重大事宜�����。明確辦事機(jī)構(gòu)��,統(tǒng)一協(xié)調(diào)各部門的信息安全保障工作����。
建立健全各級信息安全管理機(jī)構(gòu),分支機(jī)構(gòu)應(yīng)設(shè)立信息安全管理崗位��。要充實(shí)信息安全管理人員�,進(jìn)一步明確信息安全管理部門、運(yùn)營部門和應(yīng)用部門的信息安全管理職責(zé)分工,科學(xué)制定安全規(guī)劃��,有效組織實(shí)施安全策略����,加大安全監(jiān)督檢查工作力度,充分發(fā)揮縱向銜接��、橫向協(xié)調(diào)的組織保障作用����。
二、加強(qiáng)信息安全隊(duì)伍建設(shè)����,完善用人機(jī)制與激勵(lì)機(jī)制
重視和加強(qiáng)信息安全人才建設(shè)。選拔素質(zhì)高�����、技能強(qiáng)��、具有一定管理經(jīng)驗(yàn)的人才從事信息安全工作�����。加大人才培養(yǎng)力度,實(shí)行信息安全管理崗位任職資格考試制度�����,根據(jù)人民銀行組織制定的銀行信息安全管理崗位任職資格培訓(xùn)標(biāo)準(zhǔn)和要求�,3年內(nèi)逐步實(shí)現(xiàn)持證上崗。
建立良好的用人機(jī)制和激勵(lì)機(jī)制��。從人才引進(jìn)����、培養(yǎng)的漸進(jìn)性和連續(xù)性上優(yōu)化人員結(jié)構(gòu),形成梯隊(duì)��,重點(diǎn)加強(qiáng)數(shù)據(jù)中心高端系統(tǒng)運(yùn)行人員技能的培養(yǎng)力度�,不斷增強(qiáng)自我運(yùn)行操作能力與應(yīng)急能力����。合理配置和使用人力資源,人盡其才���,合理流動(dòng)����,廣開人才來源。建立業(yè)績評價(jià)體系�,獎(jiǎng)懲分明,通過確保重要運(yùn)行崗位人員的物質(zhì)待遇等多種激勵(lì)手段���,穩(wěn)定人才�、留住人才�����。
三���、進(jìn)一步健全標(biāo)準(zhǔn)規(guī)范與制度體系��,加大信息安全監(jiān)督檢查力度
加快標(biāo)準(zhǔn)規(guī)范和制度體系建設(shè)等基礎(chǔ)工作步伐��。統(tǒng)籌規(guī)劃���、突出重點(diǎn),加緊研究制定和完善當(dāng)前急需的相關(guān)標(biāo)準(zhǔn)規(guī)范�����,配合國家和行業(yè)監(jiān)管部門�,重點(diǎn)加強(qiáng)電子支付�����,信息產(chǎn)品與服務(wù)的測評����、準(zhǔn)入���、認(rèn)證等相關(guān)技術(shù)法規(guī)與標(biāo)準(zhǔn)��。密切結(jié)合本單位信息化發(fā)展實(shí)際�,借鑒國內(nèi)外先進(jìn)經(jīng)驗(yàn)和做法��,加緊建立和完善集中式數(shù)據(jù)中心運(yùn)營規(guī)范和制度體系��,加強(qiáng)信息安全各項(xiàng)規(guī)章制度建設(shè)��,健全崗位責(zé)任制度�����,全面落實(shí)“讓標(biāo)準(zhǔn)說話�����,按制度辦事”的信息安全管理準(zhǔn)則�����。
建立健全信息安全檢查機(jī)制�,加大監(jiān)督檢查工作力度。依據(jù)已確立的技術(shù)法規(guī)����、標(biāo)準(zhǔn)與制度,定期開展信息安全檢查工作����,確保信息安全保障工作落到實(shí)處。建立責(zé)任通報(bào)制度��,對檢查中發(fā)現(xiàn)的違規(guī)行為���,按規(guī)定處罰相關(guān)責(zé)任人���,對檢查中發(fā)現(xiàn)的安全問題和隱患,明確責(zé)任部門和責(zé)任人���,限期整改��。在開展合規(guī)性檢查的同時(shí)�,應(yīng)綜合運(yùn)用檢測工具,明確安全控制目標(biāo)��,加強(qiáng)深度的專項(xiàng)安全檢查工作��,保證檢查工作的針對性�����、深入性和時(shí)效性���。
四�、建立與技術(shù)集約化相適應(yīng)的集約化生產(chǎn)管理體系
集中模式下的數(shù)據(jù)中心應(yīng)及時(shí)革新原有生產(chǎn)管理模式����,通過體制創(chuàng)新,機(jī)制創(chuàng)新�,優(yōu)化資源配置,積累經(jīng)驗(yàn)�����,增強(qiáng)技術(shù)儲(chǔ)備�����,建立健全與技術(shù)集約化相適應(yīng)的集約化管理體系�����。要實(shí)施流程化管理�,借鑒信息技術(shù)基礎(chǔ)框架庫(ITIL)等國際管理規(guī)范,建立標(biāo)準(zhǔn)統(tǒng)一的服務(wù)管理流程�,嚴(yán)格過程控制和操作規(guī)程,完善內(nèi)控機(jī)制�����。要建立有效的部門間協(xié)作機(jī)制����,嚴(yán)格變更管理,杜絕生產(chǎn)變更的隨意性;變更前要進(jìn)行必要的風(fēng)險(xiǎn)評估����,并做好應(yīng)急準(zhǔn)備;有停機(jī)風(fēng)險(xiǎn)的變更原則上放在業(yè)務(wù)低峰期進(jìn)行。落實(shí)崗位責(zé)任制��,杜絕混崗�����、代崗和一人多崗現(xiàn)象;要采取主動(dòng)預(yù)防措施,加強(qiáng)日常巡檢��,定期進(jìn)行重要設(shè)備的深度可用性檢查��,關(guān)鍵運(yùn)行設(shè)備應(yīng)從高可用性要求上升到高可靠性要求���,合理確定淘汰預(yù)期;要實(shí)施自動(dòng)化管理���,加強(qiáng)系統(tǒng)及網(wǎng)絡(luò)的安全審計(jì),實(shí)現(xiàn)數(shù)據(jù)中心各項(xiàng)操作的有效稽核���,提升操作控制力�,減少人為誤操作���,實(shí)現(xiàn)管理制度的強(qiáng)制執(zhí)行����,集中監(jiān)控運(yùn)行狀況���,實(shí)現(xiàn)對數(shù)據(jù)中心生產(chǎn)運(yùn)行全局性把握和有效指揮;要從信息系統(tǒng)立項(xiàng)規(guī)劃伊始�����,有效提高信息系統(tǒng)安全保障水平��,建立信息安全審查制度�,在信息系統(tǒng)生命周期關(guān)鍵環(huán)節(jié)進(jìn)行安全性專項(xiàng)審查����,項(xiàng)目立項(xiàng)未通過安全性審查的不予立項(xiàng),系統(tǒng)投產(chǎn)運(yùn)行前未通過安全性測試的不得上線運(yùn)行���,不符合運(yùn)行條件的系統(tǒng)��,運(yùn)行部門不予接受運(yùn)行����,全面落實(shí)信息安全“一票否決制”�����。
如果想了解相關(guān)法規(guī)解析和案例可關(guān)注佰佰安全網(wǎng)的安全說法頻道��。讓你的生活更安心。
