银行信息安全技术与管理

信息安全在我国银行业及其他各行各业的地位越来越高，国家和行业层面也加大了指导和监管力度。从我国来看，国家安全委员会、网络安全和信息化领导小组及其办公室、国务院、中国人民银行（图2-1）、银监会及中国信息安全测评中心、中国信息安全认证中心、国家密码管理局等机构从不同角度对信息安全制定和提出了相关的政策和要求。

2014年1月24日，中央国家安全委员会成立。中央国家安全委员会作为中央关于国家安全工作的决策和议事协调机构，向中央政治局、中央政治局常务委员会负责，统筹协调涉及国家安全的重大事项和重要工作。我国处在经济结构转型的阶段，信息化在转型过程中作用至关重要。国安委的成立，标志着信息安全战略已经成为国家安全战略的重要组成部分，在国家安全建设中占据重要地位。

2014年2月27日，中央网络安全和信息化领导小组成立。领导小组将着眼于国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。

图2-1 中国人民银行

公安部为了规范信息安全等级保护管理，于2003年7月成立了公安部信息安全等级保护评测中心，为国家管理部门在推进信息安全等级保护工作过程中的监督、检查、指导等行政执法工作提供专业技术支持，对国家基础网络和重点信息系统的安全保护状况进行权威测评并提出改进建议，负责全国信息安全等级测评体系和技术支撑体系建设的技术管理及技术指导。2007年，公安部依据《中华人民共和国计算机信息系统安全保护条例》，经法律授权，会同国家保密局、国家密码管理局和原国务院信息办共同发行了《信息安全等级保护管理办法》，对信息安全保护等级做出了明确的规定，为指导各地区、各部门开展等级保护工作提供了政策保障。

国家密码管理局为了促进我国信息科技健康有序的发展，发布了《电子认证服务密码管理办法》《证书认证系统密码及其相关安全技术规范》等规章制度和《国密SM1》《国密SM2》《国密SM3》等密码算法。2012年，国家密码管理局发布公告，批准《祖冲之序列密码算法》《SM4分组密码算法》等六项密码行业标准，用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。

中国人民银行对于银行业信息科技的发展非常重视，早在2002年，中国人民银行就发布了《银行计算机安全事件报告管理制度》来保障银行计算机安全管理，防范信息系统的技术缝隙，保证银行信息系统的安全运行。

2006年，中国人民银行发布《关于进一步加强银行业金融机构信息安全保障工作的指导意见》，对建立和完善与银行业金融机构信息化发展相适应的信息安全保障体系，满足银行业金融机构业务发展的安全性要求，保证信息系统和相关基础设施功能的正常发挥，有效防范、控制和化解信息技术风险，增强信息系统安全预警、应急处置和灾难恢复能力，保障数据安全，显著提高银行业金融机构的业务持续运行保障水平提出了要求。(www.xing528.com)

现阶段中国人民银行认真贯彻中央经济金融工作大政方针和决策部署，主动适应金融改革开放新形势，积极履行科技管理和服务职能，各项工作取得了新进展，包括制定金融业网络安全规划，组建信息安全专控队伍，启动央行应急监控指挥中心和灾备中心建设，加强数据中心风险防控，发布银行业标准化工作指南，建立央行信息技术标准体系，完善金融业检测认证基础设施，全面推进金融机构代码应用，建成我国全球法人识别码（LEI）本地注册渠道并实现国际互认，关闭金融IC卡降级交易，推进移动金融安全可信服务平台应用和创新试点工作等，为推动我国金融改革发展、维护金融稳定、促进金融服务社会民生等方面提供了重要的技术支撑。

图2-2 中国银行业监督管理委员会

针对银行业监管标准，银监会（图2-2）于2009年发布了《商业银行信息科技风险管理指引》，替代了2006年发布的《银行业金融机构信息系统风险管理指引》。新发布的《商业银行信息科技风险管理指引》具有以下几个特点：①全面涵盖商业银行的信息科技活动，进一步明确信息科技与银行业务的关系，对于认识和防范风险具有更加积极的作用。②适用范围由银行业金融机构变为法人商业银行，其他银行业金融机构参照执行。③信息科技治理作为首要内容提出，充实并细化了对商业银行在治理层面的具体要求；④重点阐述了信息科技风险管理和内外部审计要求，特别是要求审计贯穿信息科技活动的整个过程之中。⑤参照国际、国内的标准和成功实践，对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准和高要求，使操作性更强。⑥加强了对客户信息保护的要求。

为加强商业银行数据中心风险管理，银监会还于2010年发布了《商业银行数据中心监管指引》对我国商业银行设立与变更、风险管理、运行环境、运营维护、监督管理等方面做出了要求，保障数据中心安全、可靠、稳定运行，提高商业银行的业务连续性水平。

银监会于2012年8月5日对外宣布，经中央机构编制委员会办公室批准，设立信息科技监管部。该部门的主要职责是制定银行业信息科技监管政策，指导银行业信息科技发展规划，开展信息科技非现场监管和现场检查，处置信息科技突发事件，开展银行业标准化相关工作及银监会信息科技风险防范工作归口管理。其被赋予的使命是加强银行业信息科技监管督导和专项排查工作，维护银行业稳健运行。银监会系统要进一步强化银行业信息科技风险监管工作，加强信息科技风险的监测和预警，深入开展信息科技现场检查，做到风险早发现、早报告、早处置，进一步提升信息科技风险监管的及时性、前瞻性。此外，银监会还要求银行业金融机构做到风险排查到位、管理措施到位、整改落实到位，要从维护银行业稳健运行的全局出发，加强银行业信息科技监管督导和专项排查，督促提高信息系统的可靠性和稳定性。

2013年9月，银监会发布了《关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见》（39号文），明确将安全可控信息技术应用纳入战略规划，预计到2019年，安全可控信息技术在银行业使用率总体达到75%左右。

当前，银监会推动银行业“安全可控”技术应用的重点在于网络设备、存储、中低端服务器、信息安全、运维服务、文字处理软件，并将在操作系统、数据库等领域加大力度。根据上述39号文，从2015年起，银行业金融机构对安全可控信息技术的应用应以不低于15%的比例逐年增加，直至2019年达到不低于75%的总体占比。39号文中部分量化指标将纳入各行2015年年度考核，包括安全可控信息技术每年不低于15%的增加率。另外，从2015年起，银行业机构应安排不低于5%的年度信息化预算，用于支持围绕安全可控信息系统的研究。