一、银行计算机网络安全是现代银行稳定运行的技术基础。各银行要进一步提高对银行计算机网络安全重要性的认识，加强网络安全建设，完善网络运行制度，强化运行安全管理和重要岗位人员培训。

6.1.1.1 客户端程序 基本要求： c) 客户端程序应通过指定的第三方中立测试机构的安全检测，每年至少开展一次。

6.2.2　安全策略 基本要求： b)应结合金融机构网上银行发展战略及业务特点，建立网上银行信息安全保障以及信息安全风险管理框架、策略及流程，制订针对网上银行系统设计与开发、测试与验收、运行与维护、备份与恢复、应急事件处置以及客户信息保密等的安全策略。应制订网上银行系统使用的网络设备、主机设备、安全设备的配置和使用的安全策略。 d) 应建立网上银行信息安全风险管理策略，至少包括风险评价和定级、风险偏好、容忍度及参数制订、风险控制、成本及效益评价、控制 措施有效性评价策略等，应根据网上银行发展查审计结果，定期修订策略。

6.2.5　系统建设管理 基本要求： b) 产品采购和使用 应定期查看各类信息安全产品相关日志和报表信息并定期汇总分析，若发现重大问题，立即采取控制措施并按规定程序报告。

6.2.6　系统运维管理 基本要求： m) 安全事件处置 应定期对本机构及同业发生的网上银行信息安全事件及风险进行深入研判、分析，评估现有控制措施的脆弱性，及时整改发现的问题。

2) 安全方案设计(G2)-(2级要求 通用安全数据类) a) 应根据系统的安全保护等级选择基本安全措施，依据风险分析的结果补充和调整安全措施； b) 应以书面形式描述对系统的安全保护要求、策略和措施等内容，形成系统的安全方案； c) 应对安全方案进行细化，形成能指导安全系统建设、安全产品采购和使用的详细设计方案； d) 应组织相关部门和有关安全技术专家对安全设计方案的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施。

6) 系统安全管理(G2)-(2级要求 通用安全数据类) b) 应根据业务需求和系统安全分析确定系统的访问控制策略；

2) 安全方案设计(G3)-(3级要求 通用安全数据类) a) 应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划； b) 应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施； c) 应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划、安全性需求分析、和详细设计方案，并形成配套文件； d) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、安全性需求分析、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施； e) 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、安全性需求分析、详细设计方案等相关配套文件。

2) 安全方案设计(G4)-(4级要求 通用安全数据类) a) 应指定和授权专门的部门对信息系统的安全建设进行总体规划，制定近期和远期的安全建设工作计划； b) 使用上一级机构信息系统资源或对其他机构信息系统资源与配置造成影响的区域性建设项目，项目建设方案应分别通过上一级机构业务与科技部门的审核、批准； c) 应根据系统的安全保护等级选择基本安全措施，并依据风险分析的结果补充和调整安全措施； d) 应根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划、安全性需求分析、和详细设计方案，并形成配套文件； e) 应组织相关部门和有关安全技术专家对总体安全策略、安全技术框架、安全管理策略、总体建设规划、安全性需求分析、详细设计方案等相关配套文件的合理性和正确性进行论证和审定，并且经过批准后，才能正式实施； f) 应根据等级测评、安全评估的结果定期调整和修订总体安全策略、安全技术框架、安全管理策略、总体建设规划、安全性需求分析、详细设计方案等相关配套文件。

二、加强风险识别判断。银行业金融机构应加强对境外业务经营发展环境和风险形势的分析评估，充分认识境外业务的复杂性和特殊性，加强对业务所在国家或地区政治经济形势、金融市场走势和金融监管环境的跟踪研究。 对已形成的损失或潜在的风险隐患，应及时识别发现，果断采取风险缓释和控制处置措施。

（三十四）加强信息科技风险防控。银行业金融机构要全面强化网络信息安全管理，提高身份认证机制安全性；加大对新兴电子渠道风险的管理力度，完善灾备体系，制定完善应对预案；完善外包管理体系，降低外包风险， 不得将信息科技管理责任外包。对发生严重信息科技风险事件的银行业金融机构，各级监管机构要及时采取必要的强制性监管措施。

（四十一）工作机制。各级监管机构要确定年度风险防控重点，明确工作任务和责任部门。定期召开专题风险防控会议，探索建立系统性区域性风险监测指标体系。 各级监管机构和银行业金融机构要层层落实责任制，对责任落实不到位、报告不及时、采取措施不力的单位严肃问责，对在风险防范工作中有贡献的人员在年度工作中予以表彰和奖励。

商业银行应当根据风险敞口制定降低、缓释、转移等应对策略。依据防范或控制风险的可行性和残余风险的可接受程度，确定风险防范和控制的原则与措施。

商业银行应制定全面的信息科技风险管理策略，包括但不限于下述领域： （一） 信息分级与保护。 （二）信息系统开发、测试和维护。 （三） 信息科技运行和维护。 （四） 访问控制。 （五） 物理安全。 （六） 人员安全。 （七）业务连续性计划与应急处置。

第四十七条 商业银行应当在银行集团层面建立信息科技风险监测机制，对于跨境跨业信息系统的稳定性、客户信息的安全性、风险数据的可获得性、应急预案的可执行性和灾备的切换能力进行定期评估，防止信息科技风险在银行集团内部的扩散。

第三条 本指引所称操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。本定义所指操作风险包括法律风险，但不包括策略风险和声誉风险。

商业银行信息科技风险管理部门应制定数据中心风险管理策略、风险识别和评估流程，定期开展风险评估工作，对风险进行分级管理，持续监督风险管理状况，及时预警，将风险控制在可接受水平。

第三十七条 商业银行应通过有效的管理信息系统，建立健全风险管理架构，充分识别、计量、监测和控制各类金融创新活动带来的风险。

行业金融机构在系统上线、系统升级、网络改造、设备更新等关键信息技术资源发生重大变更及业务种类和交易量发生重大变化时，应重新识别、分析、控制风险，并更新剩余风险评估和风险事件监测与预警。

银行业金融机构应当建立全面风险管理体系，采取定性和定量相结合的方法，识别、计量、评估、监测、报告、控制或缓释所承担的各类风险。各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险。

系统重要性金融机构要建立高效的数据收集和信息系统，实现对整体风险状况的有效监控，不断优化相关信息报送机制，强化信息披露。

各银行要对本系统的网络安全开展自查，并配合网络安全检查工作组的工作，对网络安全的薄弱环节和安全隐患，要采取切实措施，认真整改。

6.2.1 安全管理机构 基本要求： e) 审核和检查 应保证至少每年开展一次网上银行全面安全检查，检查内容至少包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 应制定安全检查方案并进行安全检查，形成安全检查汇总表、安全检查报告，并将安全检查报告上报人民银行等金融机构主管部门。

6.2.2 安全策略 基本要求： a) 应制订明确的网上银行系统总体安全保障目标，建立网上银行信息安全管理工作的总体方针和策略，将网上银行信息安全保障及信息安全风险管理纳入金融机构全面风险管理体系。 c) 应做好网上银行相关的新产品（业务）设计以及主要技术路线选择等关键规划的深入论证工作，关注产品及技术路线的合规性、相关业务及技术规则的一致性和延续性以及产品间、系统间的关联性、依赖性，平衡客户体验和安全性，通过增加关键控制机制等措施防范潜在重要安全隐患，避免产生潜在的信息安全风险。 e) 应采取科学的分析方法开展覆盖风险识别及评价、风险监测及控制、审计和评估等过程的网上银行信息安全风险管理工作。 g) 应制定分级标准，针对不同的风险规定相应的可能性等级列表，评定风险等级，对于已发现的风险应尽快修补或制订规避措施。 h) 应建立网上银行信息安全风险的持续监测机制，建立风险预警、报告、响应和处理机制，明确风险报告的内容、流程、主客体以及频率，建立符合金融机构实际状况的关键风险指标体系，实现信息安全风险监测的自动化，保证高级管理层和相关部门及时获取网上银行信息安全风险变化，验证现有控制措施的有效性。 j) 对于衍生的网上银行信息安全风险以及未按计划达到的控制目标，应重新启动信息安全风险评估流程，制定和选择新的风险控制措施，对已接受的风险，定期进行再评估。 n) 金融机构如提供跨境网上银行服务，应充分考虑境内外法律法规、监管要求等的差异性，在深入评估相关风险的基础上，妥善选择相应的安全控制措施。

5) 网络安全管理(G2)-(2级要求通用安全数据类) b) 应对网络环境运行状态进行巡检，巡检应保留记录，并有操作和复核人员的签名；(F2)-(2级要求金融行业增强安全保护类) c) 金融业网间互联安全实行统一规范、分级管理、各负其责的安全管理模式，未经金融机构科技主管部门核准，任何机构不得自行与外部机构实施网间互联；(F2)-(2级要求金融行业增强安全保护类) e) 各机构以不影响正常网络传输为原则，合理控制多媒体网络应用规模和范围，未经金融机构科技主管部门批准，不得在金融机构内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用；(F2)-(2级要求 金融行业增强安全保护类) f) 信息安全管理人员经本部门主管领导批准后，有权对本机构或辖内网络进行安全检测、扫描，检测、扫描结果属敏感信息，未经授权不得对外公开，未经金融机构科技主管部门授权，任何外部机构与人员不得检测或扫描金融机构内部网络；

6) 网络安全管理(G3)-(3级要求 通用安全数据类) a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作，并有操作和复核人员的签名，维护记录应至少妥善保存3 个月； e) 各机构以不影响正常网络传输为原则，合理控制多媒体网络应用规模和范围，未经科技主管部门批准，不得在内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用； (F3)-(3级要求 金融行业增强安全保护类) f) 信息安全管理人员经本部门主管领导批准后，有权对本机构或辖内网络进行安全检测、扫描，检测、扫描结果属敏感信息，未经授权不得对外公开，未经科技主管部门授权，任何外部机构与人员不得检测或扫描机构内部网络；(F3)-(3级要求 金融行业增强安全保护类) g) 金融业网间互联安全实行统一规范、分级管理、各负其责的安全管理模式，未经金融机构科技主管部门核准，任何机构不得自行与外部机构实施网间互联；(F3)-(3级要求 金融行业增强安全保护类) h) 所有网间互联应用系统和外联网络区应定期进行威胁评估和脆弱性评估并提供威胁和脆弱性评估报告。(F3)-(3级要求 金融行业增强安全保护类)

6) 网络安全管理(G4)-(4级要求 通用安全数据类) a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作； c) 应定期检查网络日志，检查违反规定拨号上网或其他违反网络安全策略的行为，管理网络资源及其配置信息，建立网络安全运行维护记录，并有操作和复核人员的签名，维护记录应至少妥善保存6个月； d) 应严格控制网络管理用户的授权，授权程序中要求必须有两人在场，并经双重认可后方可操作，操作过程应保留不可更改的审计日志； e) 网间互联由金融机构科技主管部门统一规划，按照相关标准组织实施，未经科技主管部门核准，任何机构不得自行与外部机构实施网间互联；(F4)-(4级要求 金融行业增强安全保护类) h) 各机构以不影响正常网络传输为原则，合理控制多媒体网络应用规模和范围，未经科技主管部门批准，不得在内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用； (F4)-(4级要求 金融行业增强安全保护类) i) 信息安全管理人员经本部门主管领导批准后，有权对本机构或辖内网络进行安全检测、扫描，检测、扫描结果属敏才感信息，未经授权不得对外公开，未经科技主管部门授权，任何外部机构与人员不得检测或扫描机构内部网络；(F4)-(4级要求 金融行业增强安全保护类) j) 所有网间互联应用系统和外联网络区应定期进行威胁评估和脆弱性评估并提供威胁和脆弱性评估报告；(F4)-(4级要求 金融行业增强安全保护类) k) 网络系统应采取定时巡检、定期检修和阶段性评估的措施，银行业务高峰时段和业务高峰日要加强巡检频度和力度，确保硬件可靠、运转正常；(F4)-(4级要求 金融行业增强安全保护类) l) 金融业网间互联安全实行统一规范、分级管理、各负其责的安全管理模式,未经金融机构科技主管部门核准，任何机构不得自行与外部机构实施网间互联。(F4)-(4级要求 金融行业增强安全保护类)

5) 监控管理和安全管理中心(G3)-(3级要求 通用安全数据类) b) 应建立计算机系统运行监测周报、月报或季报制度，统计分析运行状况；(F3)-(3级要求 金融行业增强安全保护类) c) 应定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，发现重大隐患和运行事故应及时协调解决，并报上一级单位相关部门； d) 应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。

6) 网络安全管理(G4)-(4级要求 通用安全数据类) a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作； c) 应定期检查网络日志，检查违反规定拨号上网或其他违反网络安全策略的行为，管理网络资源及其配置信息，建立网络安全运行维护记录，并有操作和复核人员的签名，维护记录应至少妥善保存6个月； d) 应严格控制网络管理用户的授权，授权程序中要求必须有两人在场，并经双重认可后方可操作，操作过程应保留不可更改的审计日志； e) 网间互联由金融机构科技主管部门统一规划，按照相关标准组织实施，未经科技主管部门核准，任何机构不得自行与外部机构实施网间互联；(F4)-(4级要求 金融行业增强安全保护类) h) 各机构以不影响正常网络传输为原则，合理控制多媒体网络应用规模和范围，未经科技主管部门批准，不得在内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用； (F4)-(4级要求 金融行业增强安全保护类) i) 信息安全管理人员经本部门主管领导批准后，有权对本机构或辖内网络进行安全检测、扫描，检测、扫描结果属敏才感信息，未经授权不得对外公开，未经科技主管部门授权，任何外部机构与人员不得检测或扫描机构内部网络；(F4)-(4级要求 金融行业增强安全保护类) j) 所有网间互联应用系统和外联网络区应定期进行威胁评估和脆弱性评估并提供威胁和脆弱性评估报告；(F4)-(4级要求 金融行业增强安全保护类) k) 网络系统应采取定时巡检、定期检修和阶段性评估的措施，银行业务高峰时段和业务高峰日要加强巡检频度和力度，确保硬件可靠、运转正常；(F4)-(4级要求 金融行业增强安全保护类) l) 金融业网间互联安全实行统一规范、分级管理、各负其责的安全管理模式,未经金融机构科技主管部门核准，任何机构不得自行与外部机构实施网间互联。(F4)-(4级要求 金融行业增强安全保护类)

（三）加强软件风险防范 银行业金融机构要强化安全生产意识，开展软件风险评估；全面做好软件正版化工作，健全软件产品缺陷管理机制，加强软件运维管理，加强监控和风险防范；制定风险预案，及时发现和处置各类软件风险。

（四十二）加强内外联动。 各级监管机构对外要加强与地方政府、境内外金融监管机构和司法机关的联动。对内要加强风险监管联动，协同开展防控措施，加强数据整合和信息共享；各银监局可根据需要建立跨区域风险处置协调机制，定期就重大风险处置进行会商。

商业银行应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括： （一） 制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。 （二） 确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括： 1. 最高权限用户的审查。 2. 控制对数据和系统的物理和逻辑访问。 3. 访问授权以“必需知道”和“最小授权”为原则。 4. 审批和授权。 5. 验证和调节。

商业银行应建立持续的信息科技风险计量和监测机制，其中应包括： （一） 建立信息科技项目实施前及实施后的评价机制。 （二） 建立定期检查系统性能的程序和标准。 （三） 建立信息科技服务投诉和事故处理的报告机制。 （四） 建立内部审计、外部审计和监管发现问题的整改处理机制。 （五） 安排供应商和业务部门对服务水平协议的完成情况进行定期审查。 （六） 定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。 七） 定期进行运行环境下操作风险和管理控制的检查。 八） 定期进行信息科技外包项目的风险状况评价。

商业银行在进行大规模系统开发时，应要求信息科技风险管理部门和内部审计部门参与，保证系统开发符合本银行信息科技风险管理标准。

银行业金融机构应制定全面的风险防范措施，并通过场景模拟、压力测试等手段验证风险防范措施的有效性。在突发事件应急处置后，应评估已有风险防范措施的有效性并加以改进。

银行业金融机构应依据风险防范措施对关键信息技术资源进行剩余风险评估，明确剩余风险的监测方法与预警条件，并将其纳入信息系统风险事件监测与预警体系中。

二、加强制度建设,建立与数据集中模式相适应的各项管理制度和内控机制。没有配套管理制度的数据中心和内控机制不完善的业务系统不能投入生产运行

八、建立强制维护制度和工作人员强制休假制度。强制维护内容包括系统维护、软件维护、数据维护、环境维护。操作人员休假期间,其管理的操作账户应办理移交或注销手续。

二、各银行业金融机构应采取有效措施确保客户个人金融信息安全，防止信息泄露和滥用。在制度上，应完善本机构相关内控制度，强化各部门、岗位和人员在客户个人金融信息保护方面的责任，堵塞漏洞，完善内部监督和责任追究机制；在技术上，应当严格权限管理，完善信息安全防范措施，有效降低个人金融信息被盗的风险；

三、银行业金融机构应当建立健全内部控制制度，对易发生个人金融信息泄露的环节进行充分排查，明确规定各部门、岗位和人员的管理责任，加强个人金融信息管理的权限设置，形成相互监督、相互制约的管理机制，切实防止信息泄露或滥用事件的发生。

第二十二条 上海票据交易所应当结合本单位实际，制定并严格执行电子商业汇票系统业务操作管理制度和运行操作规程，做好相关记录。 单一前置机运行维护部门应当制定相应的电子商业汇票系统运行操作规程，报上海票据交易所备案。

第三十三条 上海票据交易所和单一前置机的运行维护部门应当结合本单位（或本部门）实际，制定电子商业汇票系统维护管理制度和日常检查规程，按照规程完成日常检查和系统维护并记录维护日志，发现系统异常按规定处理。 共用设备的维护管理应避免影响其他业务系统的正常运行。

6.2.1 安全管理机构 基本要求： e) 审核和检查 应制定安全审核和安全检查制度规范安全审核和安全检查工作

6.2.3　管理制度 基本要求： a) 应建立贯穿网上银行业务运作、网上银行系统设计、编码、测试、集成、运行维护以及评估、应急处置等过程，并涵盖安全制度、安全规范、安全操作规程和操作记录手册等方面的信息安全管理制度体系。 d) 安全管理制度应具有统一的格式，并进行版本控制。 e) 应定期组织相关部门和人员对安全管理制度体系的合理性和适用性进行审计，及时针对安全管理制度的不足进行修订。

6.2.4　人员安全管理 基本要求： n) 应建立外来人员管理制度，在外来人员访问网上银行相关的区域、系统、设备、信息等内容时，提出书面申请并由专人陪同或监督，并登记备案，必要时签署保密协议。对允许被外部人员访问的系统和网络资源建立存取控制机制、认证机制，列明所有用户名单及其权限，其活动应受到监控。

6.2.5　系统建设管理 基本要求： e) 工程实施 应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则。 g) 系统交付 应对系统交付的控制方法和人员行为准则进行书面规定。

6.2.6　系统运维管理 基本要求： a) 环境管理 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定。 b) 资产管理 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。 应对信息分类与标识方法作出规定，并对信息的使用、传输和存储等进行规范化管理。 c) 介质管理 应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定。 d) 设备管理 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理。 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等。 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作。 e) 监控管理和安全管理中心 应建立网络与信息系统运行监测日报、周报、月报或季报制度，统计分析运行状况。 应制定网上银行系统运行维护的服务管理规范以及相应的控制措施，包括事件处理、问题处理、变更管理等，明确岗位、职责、处理流程、升降级标准、处理时间、所需资源以及流程间的关联和衔接等，及时预警、响应和处置运行监测中发现的问题，发现重大隐患和运行事故应及时协调解决，并及时报告至人民银行等金融机构主管部门。 f) 网络安全管理 应建立网络安全管理制度，并对网络安全配置、日志保存时间、安全策略、系统升级、补丁更新、重要文件备份等方面作出规定。 g) 系统安全管理 应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。 i) 密钥管理 应制订与网上银行相关的密钥管理制度，并严格实施。 m) 安全事件处置 应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责。

6.3.2.3 交易监控 基本要求： b) 应制定网上银行异常交易监测和处理的流程和制度。

6.2 制度保障 人民银行分支机构、银行机构应根据本预案，结合自身实际情况，制订本单位的联网核查系统突发事件应急处置实施办法。 各银行机构应将应急处置实施办法报人民银行总行或分支机构支付结算部门备案。

（四） 联网机构应制定严格的网络管理制度，建立规范的运行维护流程，部署必要的运维监控管理系统，确保金融城域网安全稳定运行。

（五） 联网机构应建立完善的应急管理制度，按照人民银行要求组织开展应急演练，或者配合人民银行开展应急演练。

1) 管理制度(G3)-(3级要求通用安全数据类) a) 应制定信息安全工作的总体方针和安全策略，说明安全工作的总体目标、范围、原则和安全框架等，并编制形成信息安全方针制度文件； b) 应对安全管理活动中各类管理内容建立安全管理制度； c) 应对科技管理人员或操作人员执行的日常管理操作建立操作规程； d) 应形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系。

1) 环境管理(G2)-(2级要求通用安全数据类) a) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；

2) 资产管理(G2)-(2级要求通用安全数据类) a) 应编制与信息系统相关的资产清单，包括资产责任部门、重要程度和所处位置等内容； b) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为。

4) 设备管理(G2)-(2级要求通用安全数据类) a) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理； e) 应做好设备登记工作，制定设备管理规范，落实设备使用者的安全保护责任；(F2)-(2级要求 金融行业增强安全保护类)

5) 网络安全管理(G2)-(2级要求通用安全数据类) a) 应建立网络安全运行管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期、重要文件备份等方面作出规定； g) 应制定网络接入管理规范，任何设备接入网络前，接入方案应经过科技部门的审核，审核批准后方可接入网络并分配相应的网络资源。

6) 系统安全管理(G2)-(2级要求通用安全数据类) a) 应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定；

1) 环境管理(G3)-(3级要求通用安全数据类) c) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；

2) 资产管理(G3)-(3级要求通用安全数据类) b) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为；

3) 介质管理(G3)-(3级要求通用安全数据类) a) 应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定； k) 应制定移动存储介质使用规范，并定期核查移动存储介质的使用情况；(F3)-(3级要求金融行业增强安全保护类)

4) 设备管理(G3)-(3级要求通用安全数据类) a) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理； b) 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； d) 制定规范化的故障处理流程，建立详细的故障日志(包括故障发生的时间、范围、现象、处理结果和处理人员等内容)；(F3)-(3级要求金融行业增强安全保护类) e) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作； h) 应做好设备登记工作，制定设备管理规范，落实设备使用者的安全保护责任；(F3)-(3级要求金融行业增强安全保护类)

6) 网络安全管理(G3)-(3级要求通用安全数据类) b) 应建立网络安全运行管理制度，对网络安全配置(最小服务配置)、日志保存时间、安全策略、升级与打补丁、口令更新周期、重要文件备份等方面作出规定； c) 应制定网络接入管理规范，任何设备接入网络前，接入方案应经过科技部门的审核，审核批准后方可接入网络并分配相应的网络资源；

7) 系统安全管理(G3)-(3级要求 通用安全数据类) a) 应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定；

1) 环境管理(G4)-(4级要求 通用安全数据类) c) 应建立机房安全管理制度，对有关机房物理访问，物品带进、带出机房和机房环境安全等方面的管理作出规定；

2) 资产管理(G4)-(4级要求 通用安全数据类) b) 应建立资产安全管理制度，规定信息系统资产管理的责任人员或责任部门，并规范资产管理和使用的行为，包括资产领用、资产用途和安全授权、资产日常操作、资产维修、资产报废等；

3) 介质管理(G4)-(4级要求 通用安全数据类) a) 应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定； k) 应制定移动存储介质使用规范，并定期核查移动存储介质的使用情况；

4) 设备管理(G4)-(4级要求 通用安全数据类) a) 应建立基于申报、审批和专人负责的设备安全管理制度，对信息系统的各种软硬件设备的选型、采购、发放和领用等过程进行规范化管理； b) 应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任、涉外维修和服务的审批、维修过程的监督控制等； d) 制定规范化的故障处理流程，建立详细的故障日志(包括故障发生的时间、范围、现象、处理结果和处理人员等内容)；(F4)-(4级要求 金融行业增强安全保护类) e) 应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理，按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作； h) 应做好设备登记工作，制定设备管理规范，落实设备使用者的安全保护责任；(F4)-(4级要求 金融行业增强安全保护类)

6) 网络安全管理(G4)-(4级要求 通用安全数据类) b) 应建立网络安全运行管理制度，对网络安全配置(最小服务配置)、日志保存时间、安全策略、升级与打补丁、口令更新周期、重要文件备份等方面作出规定； f) 应制定网络接入管理规范，应禁止便携式和移动式设备接入网络，其他任何设备接入网络前，接入方案应经过科技部门的审核，审核批准后方可接入网络并分配相应的网络资源； g) 应制定远程访问控制规范，确因工作需要进行远程访问的，应由访问发起单位科技部门核准，提请被访问单位科技部门（岗）开启远程访问服务，并采取单列账户、最小权限分配、及时关闭远程访问服务等安全防护措施；(F4)-(4级要求 金融行业增强安全保护类)

7) 系统安全管理(G4)-(4级要求 通用安全数据类) a) 应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定；

4) 自行软件开发(G3)-(3级要求 通用安全数据类) a) 应制定软件开发管理制度和代码编写安全规范，明确说明开发过程的控制方法和人员行为准则，要求开发人员参照规范编写代码，不得在程序中设置后门或恶意代码程序；(F3)-(3级要求 金融行业增强安全保护类)

4) 自行软件开发(G4)-(4级要求 通用安全数据类) a) 应制定软件开发管理制度和代码编写安全规范，明确说明开发过程的控制方法和人员行为准则，要求开发人员参照规范编写代码，不得在程序中设置后门或恶意代码程序；(F4)-(4级要求 金融行业增强安全保护类)

4) 自行软件开发(G2)-(2级要求 通用安全数据类) a) 应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

6) 工程实施(G3)-(3级要求 通用安全数据类) a) 应制定工程实施方面的管理制度，明确说明实施过程的控制方法和人员行为准则； c) 应制定详细的工程实施方案控制实施过程，并制定相关过程控制文档，并要求工程实施单位能正式地执行安全工程过程；

8) 系统交付(G3)-(3级要求 通用安全数据类) a) 应对系统交付的控制方法和人员行为准则进行书面规定； b) 应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点； c) 系统建设单位应在完成建设任务后将系统建设过程文档和系统运维文档全部移交科技部门； (F3)-(3级要求 金融行业增强安全保护类) e) 应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作；

6) 工程实施(G4)-(4级要求 通用安全数据类) b) 应制定详细的工程实施方案控制实施过程，并制定相关过程控制文档，并要求工程实施单位能正式地执行安全工程过程； d) 应制定工程实施方面的管理制度明确说明实施过程的控制方法和人员行为准则；

8) 系统交付(G4)-(4级要求 通用安全数据类) a) 应对系统交付的控制方法和人员行为准则进行书面规定； b) 应制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点； c) 系统建设单位应在完成建设任务后将系统建设过程文档和系统运维文档全部移交科技部门； (F4)-(4级要求 金融行业增强安全保护类) e) 应指定或授权专门的部门负责系统交付的管理工作，并按照管理规定的要求完成系统交付工作；

11) 备份与恢复管理(G3)-(3级要求 通用安全数据类) a) 应制定数据备份与恢复相关安全管理制度，对备份信息的备份方式、备份频度、存储介质、保存期等进行规范；

11) 备份与恢复管理(G4)-(4级要求 通用安全数据类) a) 应制定金融机构的数据备份与恢复相关安全管理制度，对备份信息的备份方式、备份频度、存储介质、保存期等进行规范；

三、完善决策管理制度。银行业金融机构境外业务发展速度和规模应与自身经营管理能力相匹配；应结合自身经营特点、比较优势和风险管理能力制定境外业务的中长期发展规划；针对境外业务相对境内业务的特殊性，建立健全覆盖各类境外业务流程的管理制度，由董事会或高管层审核批准并确保全行统一实施。

2.规范软件资产使用管理。银行业金融机构要从制度和技术层面扎实推进软件资产管理工作。要建立本单位软件资产管理制度，加强软件使用管理，推动软件使用管理的规范化、标准化。可通过桌面终端管理软件等信息技术手段，实现对软件正版化工作相关制度文件、进展情况、软件购置安装及使用等信息的全面管理，提高相关信息统计分析效率。

商业银行应按照知识产权相关法律法规，制定本机构信息科技知识产权保护策略和制度，并使所有员工充分理解并遵照执行。确保购买和使用合法的软硬件产品，禁止侵权盗版；采取有效措施保护本机构自主知识产权。

商业银行应采取加密技术，防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险，并建立密码设备管理制度，以确保： （一） 使用符合国家要求的加密技术和加密设备。 （二） 管理、使用密码设备的员工经过专业培训和严格审查。 （三） 加密强度满足信息机密性的要求。 （四） 制定并落实有效的管理流程，尤其是密钥和证书生命周期管理。

数据中心应建立信息安全管理规范，保证重要信息的机密性、完整性和可用性，包括： （一）应设立专门的信息安全管理部门或岗位，制定安全管理制度和实施计划，定期对信息安全策略、制度和流程的执行情况进行检查和报告。 （二）应建立和落实人员安全管理制度，明确信息安全管理职责；通过安全教育与培训，提高人员的安全意识和技能；建立重要岗位人员备份制度和监督制约机制。 （三）应加强信息资产管理，识别信息资产并建立责任制，根据信息资产重要性实施分类控制和分级保护，防范信息资产生成、使用和处置过程中的风险。 （四）应建立和落实物理环境安全管理制度，明确安全区域、规范区域访问管理，减少未授权访问所造成的风险。 （五）应建立操作安全管理制度，制定操作规程文档，规范信息系统监控、日常维护和批处理操作等过程。 （六）应建立数据安全管理制度，规范数据的产生、获取、存储、传输、分发、备份、恢复和清理的管理，以及存储介质的台帐、转储、抽检、报废和销毁的管理，保证数据的保密、真实、完整和可用。 （七）应建立网络通信与访问安全策略，隔离不同网络功能区域，采取与其安全级别对应的预防、监测等控制措施，防范对网络的未授权访问，保证网络通信安全。 （八）应建立基础设施和重要信息的授权访问机制，制定访问控制流程，保留访问记录，防止未授权访问。

金融机构应建立电子银行安全评估的规章制度体系和工作规程，保证电子银行安全评估能够及时、客观地得以实施。

银行业金融机构应建立完善的版本管理制度，制定严格的审批、控制和操作流程

第十一条 企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。 企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。

（四）信息和信息系统的运营、使用单位及其主管部门按照等级保护的管理规范和技术标准，对已经完成安全等级保护建设的信息系统进行检查评估，发现问题及时整改，加强和完善自身信息安全等级保护制度的建设，加强自我保护。

（五）信息和信息系统的运营、使用单位按照与本系统安全保护等级相对应的管理规范和技术标准的要求，定期进行安全状 况检测评估，及时消除安全隐患和漏洞，建立安全制度，制定不同等级信息安全事件的响应、处置预案，加强信息系统的安全管理。

（一）开展信息安全等级保护安全管理制度建设，提高信息系统安全管理水平。按照管理办法、信息系统安全等级保护基本要求，参照信息系统安全管理要求、信息系统安全工程管理要求等标准规范要求，建立健全并落实符合相应等级要求的安全管理制度： 一是信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任； 二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容； 三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容； 四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。建立并落实监督检查机制，定期对各项制度的落实情况进行自查和监督检查。

第十条 互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责： （一）负责本网络的安全保护管理工作，建立健全安全保护管理制度；

第十一条 计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责： （一）建立本单位的计算机病毒防治管理制度；

第二十三条　金融机构应当建立计算机主机房的值班及人员出入管理登记等制度。

第二十四条　金融机构应当建立操作人员密码制度，分清各自责任。密码修改要有记录。

第三十一条　金融机构应当建立废弃数据、介质的处理制度。

计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。

第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第五十五条 影像交换系统运行文档包括技术资料、操作手册、运行维护手册以及在系统运行过程中产生的各种书面信息和存储介质信息等。

第五十五条 外币支付系统运行文档包括技术资料、操作手册、运行维护手册以及在系统运行过程中产生的各种纸质信息和磁介质信息等。

第六十六条 电子商业汇票系统运行文档包括技术资料、操作手册、运行维护手册，以及系统运行过程中产生的各种纸质信息和存储介质信息等。

6.2.1 安全管理机构 基本要求： c) 授权和审批 应针对网上银行业务及技术规划、架构及策略、网上银行新产品推出、网上银行重要技术路线选择、网上银行系统重要变更操作、物理访问和网上银行系统接入等事项建立审批程序，必须提交高层管理层审批，并按照审批程序执行审批过程，对重要活动建立逐级审批制度。 应定期审查审批事项，及时更新需授权和审批的项目、审批部门和审批人等信息。 应记录审批过程并保存审批文档。

6.2.3　管理制度 基本要求： b) 应对安全管理人员或操作人员执行的重要管理操作建立操作规程。

2) 制定和发布(G3)-(3级要求 通用安全数据类) a) 由金融机构总部科技部门负责制定适用全机构范围的安全管理制度，各分支机构的科技部门负责制定适用辖内的安全管理制度；(F3)-(3级要求 金融行业增强安全保护类) b) 安全管理制度应具有统一的格式，并进行版本控制； c) 应组织相关人员对制定的安全管理制度进行论证和审定； d) 安全管理制度应通过正式、有效的方式发布； e) 安全管理制度应注明发布范围，并对收发文进行登记。

3) 评审和修订(G3)-(3级要求 通用安全数据类) a) 信息安全领导小组应负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定； b) 应该建立对门户网站内容发布的审核、管理和监控机制；(F3)-(3级要求 金融行业增强安全保护类) c) 应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订。

企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。

第十条 企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。