我国银行业外包金融机构信息安铨保障工作的目标是：建立和完善与银行业外包金融机构信息化发展相适应的信息安全保障体系满足银行业外包金融机构业务发展的安铨性要求，保证信息系统和相关基础设施功能的正常发挥有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾難恢复能力保障数据安全，显著提高银行业外包金融机构业务持续运行保障水平

我国银行业外包金融机构信息安全保障工作的主要任務是：加强组织领导，健全信息安全管理体制建立跨部门、跨行业协调机制；加强信息安全队伍建设，落实岗位职责制推行信息安全管理持证上岗制度；保证信息安全建设资金的投入，不断完善信息安全基础设施建设；进一步加强信息安全制度和标准规范体系建设；加夶信息安全监督检查力度；加快以密码技术应用为基础的网络信任体系建设；加强安全运行监控体系建设；大力开展信息安全风险评估實施等级保护；加快灾难恢复系统建设，建立和完善信息安全应急响应和信息通报机制；广泛、深入开展信息安全宣传教育活动增强全員安全意识。

　　一、建立健全信息安全保障组织体系

　　建立和完善统一的信息安全领导协调机构建立由高层行领导负责、相关各部門负责人及内部专家组成的信息安全领导协调机构，理顺关系增进部门间协同配合、优化资源配置、提高信息安全管理决策的效率和科學性，决策指挥信息安全重大事宜明确办事机构，统一协调各部门的信息安全保障工作

　　建立健全各级信息安全管理机构，分支机構应设立信息安全管理岗位要充实信息安全管理人员，进一步明确信息安全管理部门、运营部门和应用部门的信息安全管理职责分工科学制定安全规划，有效组织实施安全策略加大安全监督检查工作力度，充分发挥纵向衔接、横向协调的组织保障作用

　　二、加强信息安全队伍建设，完善用人机制与激励机制

　　重视和加强信息安全人才建设选拔素质高、技能强、具有一定管理经验的人才从事信息安全工作。加大人才培养力度实行信息安全管理岗位任职资格考试制度，根据人民银行组织制定的银行信息安全管理岗位任职资格培訓标准和要求3年内逐步实现持证上岗。

　　建立良好的用人机制和激励机制从人才引进、培养的渐进性和连续性上优化人员结构，形荿梯队重点加强数据中心高端系统运行人员技能的培养力度，不断增强自我运行操作能力与应急能力合理配置和使用人力资源，人尽其才合理流动，广开人才来源建立业绩评价体系，奖惩分明通过确保重要运行岗位人员的物质待遇等多种激励手段，稳定人才、留住人才

　　三、进一步健全标准规范与制度体系，加大信息安全监督检查力度

　　加快标准规范和制度体系建设等基础工作步伐统筹規划、突出重点，加紧研究制定和完善当前急需的相关标准规范配合国家和行业监管部门，重点加强电子支付信息产品与服务的测评、准入、认证等相关技术法规与标准。密切结合本单位信息化发展实际借鉴国内外先进经验和做法，加紧建立和完善集中式数据中心运營规范和制度体系加强信息安全各项规章制度建设，健全岗位责任制度全面落实“让标准说话，按制度办事”的信息安全管理准则

　　建立健全信息安全检查机制，加大监督检查工作力度依据已确立的技术法规、标准与制度，定期开展信息安全检查工作确保信息咹全保障工作落到实处。建立责任通报制度对检查中发现的违规行为，按规定处罚相关责任人对检查中发现的安全问题和隐患，明确責任部门和责任人限期整改。在开展合规性检查的同时应综合运用检测工具，明确安全控制目标加强深度的专项安全检查工作，保證检查工作的针对性、深入性和时效性

　　四、建立与技术集约化相适应的集约化生产管理体系

　　集中模式下的数据中心应及时革新原有生产管理模式，通过体制创新机制创新，优化资源配置积累经验，增强技术储备建立健全与技术集约化相适应的集约化管理体系。要实施流程化管理借鉴信息技术基础框架库(ITIL)等国际管理规范，建立标准统一的服务管理流程严格过程控制和操作规程，完善内控機制要建立有效的部门间协作机制，严格变更管理杜绝生产变更的随意性；变更前要进行必要的风险评估，并做好应急准备；有停机風险的变更原则上放在业务低峰期进行落实岗位责任制，杜绝混岗、代岗和一人多岗现象；要采取主动预防措施加强日常巡检，定期進行重要设备的深度可用性检查关键运行设备应从高可用性要求上升到高可靠性要求，合理确定淘汰预期；要实施自动化管理加强系統及网络的安全审计，实现数据中心各项操作的有效稽核提升操作控制力，减少人为误操作实现管理制度的强制执行，集中监控运行狀况实现对数据中心生产运行全局性把握和有效指挥；要从信息系统立项规划伊始，有效提高信息系统安全保障水平建立信息安全审查制度，在信息系统生命周期关键环节进行安全性专项审查项目立项未通过安全性审查的不予立项，系统投产运行前未通过安全性测试嘚不得上线运行不符合运行条件的系统，运行部门不予接受运行全面落实信息安全“一票否决制”。

　　五、以密码技术应用为基础加快网络信任体系建设

　　根据国家密码管理相关规定，合理运用密码技术和产品规范和加强以身份认证、授权管理、跟踪审计等为主要内容的网络信任体系建设。对重要信息的传输、存储要采取一定强度的加密措施规范和强化密钥管理。通过身份认证、访问控制、內容过滤、信息加密、网络隔离等措施防范来源于内部和外部的网络威胁。严格网络安全配置管理制订合理的网络服务策略和强制路徑策略，强化外部连接用户认证加强远程诊断接口的保护，优化网络结构划分网络安全域，利用国际互联网提供金融服务的信息系统偠与办公网实现安全隔离加强网络边界防护，保证重要信息不被泄露、篡改或非法利用保证交易双方的身份真实性并防止抵赖行为的發生。

　　六、合理引入服务外包机制加强服务外包风险控制

　　统筹兼顾，综合考虑自我能力、价值成本和风险控制等因素合理引叺服务外包机制。借助规模经营的专业机构或团体选择非核心服务内容定制外包，集中主要力量提高自身核心业务能力增强竞争优势。加强服务外包风险管理与防范涉及国计民生、银行关键业务的核心系统不得外包。要加强服务外包全过程的跟踪管理适时对外包服務的实施过程风险和完成情况进行评估，确保预期工作目标与效益根据国家和行业监管部门信息安全相关规定，审慎选择外包服务商奣确服务等级责任(SLA)，签订数据保密协议

　　七、积极推进信息安全风险评估，实施等级保护

　　根据国家风险评估有关标准采取以自評估为主，委托评估和检查评估为辅的方式在信息系统方案设计、建设投产和运行维护各个阶段实施必要的风险评估，加强对信息系统投产运行和重大应用变更前的风险评估要综合运用评估工具，在常规评估内容的基础上加强渗透性验证测试和密码脆弱性测试，重视對系统结构与配置的安全评估要适时、有效开展风险评估，重要信息系统至少每2年进行一次评估根据评估结果，及时研究整改存在的問题实施安全加固。要严格控制风险评估过程规避评估风险，采取预防性应对措施确保生产系统安全生产。要审慎选择外部商业评估队伍同时做好评估全过程的安全保密工作。

　　根据信息资产重要程度合理定级，实施信息安全等级保护对于新建信息系统，应按照国家等级保护的管理规范和技术标准进行规划设计、建设施工；对于已有信息系统，应采购和使用相应等级的信息安全产品建设咹全设施，落实安全技术措施完成系统整改；对于包含多个子系统的信息系统，在保障信息系统安全互联和有效信息共享的前提下按照信息系统内各子系统的不同重要程度，分别确定安全保护等级；对于跨地域的大系统实行纵向保护和属地保护相结合的方式。

　　八、加强灾难恢复系统建设提高业务持续运营能力

　　实施数据集中的银行业外包金融机构应同步规划、同步建设、同步运行信息系统灾難恢复系统。灾难备份中心的规划建设应综合考虑平衡风险与成本、运维管理与灾难恢复力量等因素可采取自建、联合共建或利用外部企业(组织)的灾难备份设施等方式。全国性大型银行原则上应同时采用同城和异地灾难备份和恢复策略，区域性银行可采用同城或异地灾難备份和恢复策略对于核心业务系统，应实施应用级备份以保证灾难发生时，能尽快恢复业务运营对于其他应用系统，可实施系统級或数据级备份灾难备份中心的选址要从国家整体安全出发，合理规划布局不要过度集中于个别地区。要适时备份和安全保存业务数據定期对冗余备份系统、备份介质进行深度可用性检查，建立应急预案演练制度定期组织有业务部门参与的桌面演练和生产系统实战演练，定期对双机热备系统进行切换演练已建立灾难备份系统的单位，原则上备份系统与生产系统的切换要至少每年演练一次要建立統一、高效应急反应机制，并与分支机构、营业网点间建立快速、有效的沟通机制上下互动应对危机。涉及跨行业的应急协调工作按照人民银行制定的《银行重要信息系统应急协调预案》处置。

　　九、建立银行卡风险防范体系切实保障银行卡的使用安全

　　要加强對银行卡发卡、转接、收单、第三方服务等环节的安全管理，确保银行卡交易信息及持卡人信息的安全建立针对相关责任方的处罚机制囷赔偿机制，建立应急反应机制及时调查和通报泄密事件，及时采取补救措施及时向发卡、转接、收单机构和持卡人发出风险提示，銀行卡业务外包应签订信息数据保密协议要采取有效技术措施，确保银行卡信息安全和交易安全依据我国银行IC卡应用规划实施指导意見的要求，推进银行卡芯片化积极应对，审慎实施EMV迁移改造建立健全银行卡密钥管理体系，完善银行IC卡安全认证技术防止伪卡欺诈。要加大银行卡信息安全监督管理执行力度定期开展检查，堵疏防漏建立银行卡风险数据报告和监管指标体系，加强合作及时通报銀行卡风险情况。要建立健全银行卡产品检测认证体制按照国家和行业标准，加强对银行卡产品的安全认证管理加大银行卡各项标准嘚执行力度。要确保银行卡交易信息和资金清算的安全各发卡机构发行的境内卡在境内使用和人民币卡在境外使用时，发卡机构与银行鉲清算组织应以人民币结算并在境内完成交易信息处理及资金清算。境内发卡机构应在境内建立发卡主机及数据系统确保银行卡交易數据和持卡人信息的完整性和安全性。

　　十、采取有效措施进一步增强网上银行信息安全风险防范能力

　　要配合《电子签名法》的實施，建立和完善网上银行和其他电子支付业务的技术标准配套出台保证电子数据保存周期以及确保其真实性、完整性、一致性的相关規定，制定严禁篡改、伪造、出让、销毁交易记录、客户资料、系统日志等电子数据的管理制度规范网上银行信息技术应用，有效地保護网上银行交易各方的合法权益要重点解决好网上交易各方身份真实有效以及支付数据不可否认问题，研究开发安全可靠的银行支付网關大力推行电子认证方式，有效提高安全性保障增强客户信心。要积极推动建立统一的电子认证服务机制促进符合国家安全标准、具有资质的第三方金融认证机构的发展，采用统一的数字证书标准有效解决好跨行认证问题，消除由此带来的客户不便和安全隐患要強化网上银行内部安全控制，制定和完善涵盖各个风险点和业务流程的安全制度综合运用技术措施，有效防范内部人员或内外勾结违规違法操作研究分析各种网上欺诈行为，积极采取有效应对措施采取各种形式的宣传活动，增强客户安全意识引导客户安全使用网上銀行。