银行信息安全管理指引

2006年9月，为有效防范银行业金融机构运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险，促进我国银行业安全、持续、稳健运行，银监会印发了银监发[2006]第63号文，即《银行业金融机构信息系统风险管理指引》。

2009年6月，为加强商业银行信息科技风险管理，根据《中华人民共和国银行业监督管理法》《中华人民共和国商业银行法》《中华人民共和国外资银行管理条例》及国家信息安全相关要求和有关法律法规，银监会印发了银监发[2009]第19号文，即《商业银行信息科技风险管理指引》，以替代旧的《银行业金融机构信息系统风险管理指引》。

新《指引》针对银行业信息科技风险特点，提出了“三道防线”的思路。“三道防线”是按照目前普遍的一种安全模式进行的设计：第一道防线——事先监控，即银行信息科技部门的自我管理；第二道防线——事中管理，即风险管理部门如何督促科技部门进行管理，风险管理部门会提供一些管理工具、思路和框架；第三道防线——事后审计，审计部门独立于上述两个部门之外，对两部门执行情况进行评价。因此三道防线其实是将信息科技管理、信息科技风险管理、信息科技风险审计统一纳入风险管控。通过这样的思想，可以很好地解决银行重建设、轻管理、重开发、轻运维的不足。

《商业银行信息科技风险管理指引》包括了以下内容：

第一章 总则。本章对《商业银行信息科技风险管理指引》进行了总体说明和术语定义。

第二章 信息科技治理。本章对商业银行在信息科技治理方面提出了相应的要求，包括法定代表人、董事会、首席信息官、信息科技风险管理部门、信息科技风险审计等高层人员和相关部门在信息科技风险上的职责和义务。

第三章 信息科技风险管理。本章对商业银行的具体风险管理工作提出了要求，包括信息科技风险管理策略、风险识别和评估流程、风险防范措施、信息科技风险计量和监测机制。

第四章 信息安全。本章对商业银行信息安全工作提出了要求，包括信息分类保护、人员培训、信息安全流程、物理安全、网络安全、系统应用安全、安全日志记录和加密、终端安全等内容。

第五章 信息系统开发、测试和维护。本章对商业银行在信息系统的生命周期安全控制方面提出了要求，包括信息系统需求分析、规划、采购、开发、测试、部署、维护、升级和报废等阶段的要求。

第六章 信息科技运行。本章对商业银行在信息科技日常运行过程中的要求进行了规定。包括物理环境选择、职责分离规定、交易记录保存、信息安全事故管理、性能及容量管理、变更管理等。

第七章 业务连续性管理。本章对商业银行在业务连续性方面的工作提出了要求，包括业务连续性计划、资源提供、演练和培训等。

第八章 外包管理。本章对商业银行在外包管理方面提出了相应要求。

第九章 内部审计和第十章 外部审计。分别对内、外部信息科技审计提出了要求。

第十一章 附则。本章明确了银监会监督检查、解释等职责，对《指引》的施行等内容进行了规定。(www.xing528.com)

在《商业银行信息科技风险管理指引》的第四章，对于信息安全管理进行了相应描述，指出信息安全策略应涉及以下领域：

（一）安全制度管理

（二）信息安全组织管理

（三）资产管理

（四）人员安全管理

（五）物理与环境安全管理

（六）通信与运营管理

（七）访问控制管理

（八）系统开发与维护管理

（九）信息安全事件管理

（十）业务连续性管理

（十一）合规性管理