关于《中国银行计算机信息安全策略纲要(试行)》

关于《中国银行计算机信息安全策略纲要(试行)》介绍：

各省、自治区、直辖市分行，深圳市分行，各信息中心：

根据人民银行要求及我行工作计划，总行制定了《中国银行计算机信息安全策略纲要(试行)》(简称《纲要》)。现将该《纲要》下发各分行及信息中心，希望各单位认真组织学习、落实《纲要》相关内容，并向总行及时反馈对《纲要》的建议和意见。

特此通知。

附：

中国银行计算机信息安全策略纲要(试行)

1.前言

随着信息技术的不断发展，金融信息安全与我国经济建设、社会安定和国家安全紧密相连。中国银行各项业务已经由传统手工处理转向高科技信息系统处理模式，信息技术已成为银行赖以发展的基础。中国银行信息系统是技术密集、资金密集、大型复杂的网络化的人机系统，其安全问题日益突出。

金融信息安全的风险来于管理层、技术层和操作层。银行信息系统所面临的主要威胁是：

(1)人为的失误：计算机技术人员及业务人员在信息系统的设计、开发、安装、使用过程中，都有机会产生人为的错误或失误。

(2)欺诈行为：来自于银行内部员工或银行外部人员，欺骗性地修改或产生信息系统的数据，盗窃银行资金，进行金融犯罪。

(3)内部人员破坏行为：由于对工作不满或其他原因，有意在程序中设置“后门”或程序炸弹，并对设备、数据、系统进行故意破坏的行为。

(4)物理资源服务丧失：设备故障或物理环境发生意外灾难(电源断电、通讯中断、水灾、火灾、地震等)而产生系统宕机事件。

(5)黑客攻击：黑客通过非法手段访问或破坏银行信息系统。

(6)商业信息泄密：部分员工利用权限之便而造成信息系统数据的外泄。

(7)病毒(恶意程序)侵袭：指编制或者在计算机程序中插入破坏计算机功能或者毁坏系统数据的计算机指令或者程序代码。

(8)程序系统自身的缺陷：程序设计开发时，对系统的安全性考虑不足，留下安全隐患，这是一种来自系统自身的威胁。

随着全行信息大中心的相继建成，数据形成了高度集中，风险也随之高度集中，因此信息安全问题所形成的现代金融风险，使传统的金融风险内涵发生了根本性变化。中国银行信息系统的安全不但涉及国家和金融业的利益，而且还涉及到广大客户的利益，任何不安全因素都可能造成信息的丢失、资金财产的损失和金融市场的混乱，甚至影响到社会的稳定。由于信息系统存在着自然或人为等诸多因素的脆弱性和潜在风险，中国银行在信息化建设过程中应建立明确的安全策略，加强信息化管理和技术防范措施，确保信息系统的安全稳定。中国银行的信息安全化建设是保障自身业务稳定发展、稳定金融市场、增强竞争力和生存力的基础，信息安全强调社会责任、强调合法、合规经营，并对中国银行稳健发展具有战略意义。

2.安全策略

2.1总体目标及原则

中国银行信息系统安全总体目标是保护中国银行信息系统的硬件、软件、业务信息和数据、通讯网络设备等资源的安全，有效防范各类安全事故或人为有意的破坏事件，合法、合规发展我行各类信息系统，确保中国银行为社会各界提供安全高效稳定的金融服务。

实现中国银行信息系统安全总体目标应本着“安全第一、预防为主、职责明确、综合治理”的基本原则。建立信息资产所有人机制，明确信息资产所有人(业务部门)、代管人(信息科技部门)及安全管理人的权责并对信息资产进行分类。

2.2组织管理体系

组织管理体系建立的目标是建立中国银行自上而下的信息安全工作管理体系，确立安全管理组织机构的职责，统筹规划、专家决策，以推动中国银行全辖信息安全工作的开展。

组织管理机构由中国银行计算机安全工作委员会、计算机安全工作机构——(包含计算机安全专家小组、计算机安全检查机构、计算机技术保障机构)、利用计算机信息系统提供业务服务的计算机综合应用机构共同组成。